コンビニ PR

【7Pay】セブンペイの不正利用の手口とユーザーが注意すべきこと

【7Pay】セブンペイの不正利用の手口とユーザーが注意すべきこと
記事内に商品プロモーションを含む場合があります
【7pay 入門】『セブンペイ』の使い方を4ステップで紹介する
運営会社株式会社セブンペイ
サービス名7pay(セブンペイ)
リリース2019年7月予定
特徴スマホ決済(QRコード)
アプリセブンイレブンアプリより
使えるいお店セブンアンドアイグループを中心に利用可能
公式サイトhttps://www.7pay.co.jp/
よしたけ
よしたけ

どうもキャッシュレスJAPAN編集部です。

今回はセブンイレブンの『セブンペイ』不正利用の手口を紹介していきます。

【7pay入門】スマホ決済『セブンペイ』の使い方を4ステップで紹介する 運営会社 株式会社セブンペイ サービス名 7pay(セブンペイ) リリース 2019年7月予定...

【セブンペイ】不正利用の概要

リリースから不正利用まで
  • 7月1日:セブンペイリリース
  • 7月2日:ユーザーからの連絡で不正利用発覚
  • 7月4日:クレジットや現金チャージを停止+新規登録も停止中
  • 被害者数:約900名
  • 被害総額:5500万円

被害にあった方も

【セブンペイの対応】お客様への対応について

本件により被害に遭われたお客様には、全ての被害に対して補償

お客様サポートセンター緊急ダイヤル(TEL:0120‐192‐044)

よしたけ
よしたけ

不正利用の被害については、全て補償の対象になり、問い合わせ窓口も用意されてますね。

 

セブンペイの不正利用で社長が緊急会見

セブンペイのリリースからすぐに不正利用が発覚し、今回の事態に発展しました。


社長が二段階認証のことを知らなかったり、いろいろな甘さが目立つ会見でした。

PayPayでも100億円キャンペーンの時に、クレジットカードの不正利用の問題が起こり、セキュリティを強化しましたよね。

よしたけ
よしたけ

おいおいって感じですね(^_^;)

では、どのような手口で今回の不正利用が行われたのか紹介していきます。

【手口】セブンペイは簡単に乗っ取ることができる

ネット通販『オムニ7』と連携していること

【手口】セブンペイは簡単に乗っ取ることができる ネット通販『オムニ7』と連携していること画像出典:オムニ7より

  1. メールアドレス
  2. 生年月日
  3. 電話番号

たったそれだけの個人情報で、セブンペイ経由のクレジットカードを使うことができます。

オムニ7のパスワード再設定項目が脆弱すぎる

『オムニ7』のパスワードの再設定項目は

  • 7iDのメールアドレス
  • 送付先のメールアドレス

が異なっても大丈夫ということ。

よしたけ
よしたけ

これでは、利用ユーザーも知らない内に乗っ取られていても非常に気付きにくいシステムです。

オムニ7の不正利用は足がつくが、セブンペイなら足がつかない

で犯行に及んだ方は、いつかオムニ7の脆弱性を活かして、不正利用をしようと淡々と待っていたということになります。

よしたけ
よしたけ

見る人から見れば、簡単乗っ取れるということがわかるということ。

セブンペイのリリースも半年ほど前から発表されてましたしね。

アプリ提供側は2段階認証や3Dセキュアなどは必須

アプリ提供側は2段階認証や3Dセキュアなどは必須

本人認証サービス(3Dセキュア)とは、各クレジットカード会社が推奨している『本人認証サービス』のことです。

事前にクレジットカード会社に登録したパスワードを入力することで、他の人による『なりすまし』を防止するための仕組みになります。

自分で直接クレジットカードで支払うならいざ知らず、ネット通販ではクレジットカード情報を知っているだけで買い物ができてしまいますよね。

しっかりした通販サイトなどでは、必ずクレジットカードの本人認証サービスを通してしか買い物ができないケースがあります。

PayPayのようにスマホ決済とクレジットカードを紐づけする時などにも『本人認証サービス』は大切になるのです。

よしたけ
よしたけ

PayPayも今回のセブンペイのような不正利用の発覚をきっかけに、本人認証サービスを強化し、セキュリティを高めました。

利用するユーザーもこの辺りもしっかりしているか確認できるようにすべきですね。

【これで安心】PayPay(ペイペイ)の『本人認証』方法を紹介する【3Dセキュア】
【これで安心】PayPay(ペイペイ)の『本人認証』方法を紹介する【3Dセキュア】 基本還元率 0.5%~3% 決済方法 銀行口座・クレジットカード 支払い限度 クレカは1日2万...

アプリを提供する企業も問題だが、ユーザーも自分で判断する力が必要

これからほとんど個人情報や金融資産はデータで管理される時代になります。

そのプラットフォームを扱うセブンペイなどはもちろんその対策をすべきです。

そして利用するユーザーも自分が扱うキャッシュレス決済やサービスに関して、脆弱性に気付けるネットリテラシーも必要になると痛感させられる出来事ですね。

なんせ、セブンイレブンクラスの大企業であっても、少し考えればわかりそうな脆弱性だったにも関わらず、サービスとしてリリースしてしまったくらいです。

Twitterなどで情報を収集していると、セブンイレブンの内部の人も脆弱性を把握していたみたいですが、無対策だったみたいですね。

大きい企業ほど、問題が発覚しても修正に動きづらい側面もあるかもしれません。

コンビニ関連の記事一覧

主要コンビニに対応のスマホ決済・キャッシュレスをまとめてみた。
コンビニ(ローソン・ファミマ・セブンイレブン)使えるスマホ決済まとめ スマホ決済とは!? https://cashless-japan.net/sumahoke...
【2021年最新版】多すぎ!「スマホ決済」おすすめランキング【QRコード決済】
【2021年最新版】多すぎ!「スマホ決済」おすすめランキング【QRコード決済】 そもそも「QRコード決済」とは? 事前にアプリをインストールして、利用できる店舗でアプリの「QRコード」を掲示する...