2019年07月05日 17:18 公開

あからさまなセキュリティーの欠陥をついて、日本のセブンイレブンが今月1日にサービスを開始したばかりのスマホ決済「7pay(セブンペイ)」でアプリの不正アクセスが多発した。4日に記者会見したセブン&アイ・ホールディングスによると、同日午前6時の時点で、不正アクセス被害に遭った利用者は推計約900人、被害額は約5500万円に上るという。

セブン&アイ・ホールディングスは、「第三者がなんらかの方法で『7pay』利用者のアカウントにアクセスし、本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン‐イレブン店舗において商品を購入する」事態が発生したと発表した。

同社によると、サービス開始翌日の2日に「身に覚えのない取引があったようだ」と最初の問い合わせを客から受けた。3日に社内調査を実施した結果、不正利用が発覚したため、新規登録を停止したほか、クレジットカードとデビットカードによるチャージを停止した。

同社は、「本件により被害に遭われたお客様には、全ての被害に対して補償を行ってまいります」と表明している。

米テクノロジーニュース・サイト「ZDNet」によると、「セブンペイ」のセキュリティー・システムに不備があり、利用者アカウントのパスワードを他人が簡単に再設定できた。いわゆる「2段階認証」が導入されておらず、パスワード再設定用のリンクを、アカウント利用者本人ではなく、ハッカーのメールアドレスに送らせることで、勝手にパスワードを設定し直し、アカウントを乗っ取ることができたという。

パスワード再設定のリンク要求は、本人の誕生日やメールアドレスなど、ネット上で簡単に調べられる情報さえ入力すれば可能だったという。

日本メディアによると、この問題に関連して警視庁は4日、他人名義のセブンペイで不正に決済しようとしたとして、中国籍の男2人を詐欺未遂の疑いで逮捕したと発表した。都内の男性名義のセブンペイを不正に使い、20万円相当の電子たばこカートリッジを電子決済で購入しようとした疑い。

(英語記事 Japan's 7-Eleven payment app gives easy access to scammers