セブンペイ不正利用の手口とは?なぜ簡単に乗っ取られてしまうの?

小林強社長,セブンペイ

Sponsored Links

 

さて7月1日からスタートした、「セブン&アイ・ホールディングス」が提供するキャッシュレス・サービス「セブンペイ」において、不正利用が判明しました。

スタートから、さっそく4日には「チャージのみ停止」となってしまい、緊急記者会見を開きました。

それにしても「セブンペイ不正利用の手口とは?」一体どのようなセキュリティー対策を行っていたのでしょうか?

そして、なぜこんなに簡単に乗っ取られるの?という疑問や反応についてもまとめてみました!

それにしても、始まってすぐに被害額が5,500万円ってヤバイですね。

 

Sponsored Links

「セブンペイ」不正利用が発覚で、チャージを停止してしまう

小林強社長,セブンペイ

セブンペイ「小林強社長」

それでは、今回の「セブンペイ」不正利用について、一体どのような被害があったのか、おさらいしたいと思います。

  • 7月1日「セブンペイ」(セブンイレブン・アプリ内の機能)というスマホによるバーコード決済のサービスを開始(キャッシュレス・サービス)
  • 7月2日夕方:お客様から「不正利用があったようだ・・・」という連絡があり、事態が発覚する
  • 7月4日午前6時:クレジットカード・デビットカード・現金でのチャージを停止。新規登録も一時停止。

そして、この数日間で出た被害者は、約900名であり、被害総額は5,500万円だと発表していました。

被害者の割り出し方がヤバイ
この算出方法は、セブンペイを使って「1万円以上のチャージをした人」が対象者のようです。

そしてその人物が、同日にすべて使いきった場合にこの乗っ取りの被害者だとカウントする方法で算出されたようです。

世間では、実際にはもっと被害がありそう…💦
なんてウワサもされています。

 

Sponsored Links

セブンペイ不正利用の手口とは?

それでは、実際に犯人はどのような手口で「セブンペイ」の不正を行ったのでしょうか?

https://twitter.com/straydrop411/status/1146608600032301056

このとき、ポイントとなるのが「二段階認証」なんですが、今回の緊急記者会見でも分かる通り、
セブンペイの社長・小林強社長はこのシステムのことさえ知らなかったコトが露呈されてしまい、炎上していました。

まず、「セブンペイ」は👇

  • セブンイレブン・アプリ
  • セブンイレブンID
  • セブンペイ

が簡単に言うとセットになっていて、まずはアプリをダウンロードしてIDを取得すれば、「セブンペイ」の利用もできるようになるということなんですが。。

ひとまず、だいたい「全部おんなじIDでログインできるんだ」というザックリとした解釈をしてください。

 

Sponsored Links

「セブンペイ」はなぜ簡単に乗っ取られてしまうの?

それにしても、こんなにすぐ大手会社セブンイレブン傘下の「セブンペイ」はなぜ簡単に乗っ取られてしまうの?って思っちゃうのですが…💦

まずは、インターネット通販のシステムと連動しているという所が、ツボです。

この「セブンイレブンID」は、イトーヨーカドーなどの商品も購入できる通販サイト「オムニ7」にも適応してるというわけです。

オムニ7

「オムニ7」のHPには、不正アクセスについての注意喚起が!

そして、この「オムニ7」から流入して、「パスワードを忘れた場合」へ進みます。

セブンイレブンID「パスワードを忘れた場合」のページ

セブンイレブンID「パスワードを忘れた場合」のページ

👆すると、このような画面になるわけですが。

真ん中の「7iD」会員登録済みのお客様へ進みます。

セブンペイ改正前

「登録済みメールアドレス」と、送信先メールアドレスを同一にしなくてもいいという…

👆そして、この画面が現れます。

このセキュリティー管理の方法だと、「登録済みメールアドレス」と、「送信先メールアドレス」を同一にしなくてもいいという方法が取られているので、乗っ取られたとしても本人は気づきません。

その上、パスワードの再設定に必要な個人情報の入力箇所が少なすぎるということも、誰でも簡単に乗っ取りができてしまうセキュリティーの甘さだと指摘されていたわけです。

 

Sponsored Links

セブンペイ社長「二段階認証」を記者会見で指摘され、困惑・・・

さて、それにしてもセブンペイ社長が「二段階認証」さえ知らなかったという点についても、物議を醸しているようです。

乗っ取りの方法とは?
要するに、登録に必要な情報は、「登録メールアドレス」と「生年月日」だけ。

その2点がわかれば、簡単に誰でも書き換える事ができる、とても酷いセキュリティーだったようです。

そして、会見では記者が「二段階認証はなぜ取り入れてなかったんでしょう?」と質問するも、
小林強社長は「二段階認証…(ってなんだ)?」という返答だったことから、セブンペイそして、親会社「セブンイレブン」も含めて、体制が古すぎるのではないか?などと批判されてしまうという事態となっています。

確かに、このIT社会の時代に「キャッシュレス・サービス」を取り入れておきながら、「二段階認証」を知らないということは、責任者としてどうなんだ?

となってしまうのも、しょうがないのかも知れません。

「自分でアプリをダウンロードして確かめなかったのかな?」
って個人的には、思ってしまいました。

ちなみに、現在はもっとセキュリティーを強化した内容に変更してありました。

コレで、ひとまず登録している人も安心していいかも知れませんね・・・。

今後の調査で、さらに被害者が増えたり、被害額の対応についても注目が集まりそうです。

 

Sponsored Links

「セブンペイ」不正利用で招いたセブンへの不信感とは?(世間の反応)

中継聞いてる。セブンペイ、コンビニ店舗でしか使えないなら、不正使用されたタイミングのレジ前の監視カメラ映像とかありそうだけどそっち方面の対応してるのかな、と思ったがいまだにレジでの大口利用止めてないとかで被害を止めようとすらしてないなこれ。

— myrmecoleon (@myrmecoleon) 2019年7月4日

セブンペイがいきなり5500万円も不正利用されペイしないポンコツになり下がってしまったのは邪険にされたnanacoの呪いなんかじゃなく、二段階認証も無く本人の特定がメアドと電話番号だけで出来ちゃうからw

Facebookで色々晒してたら一発アウトですわ。何故この仕様で通ったのか、学生にやらせたの?

— 周 健 (@amaneken) 2019年7月4日

ツイッターでは、被害を最小に抑えるためにも、いろんな方が有益な情報をつぶやいてくれています。

ですが、やはりセブイレブンの体制の甘さについても、けっこう厳しい意見が目立ちます。

とは言え、日本中どこにでもあって、便利だし利用している人も多いことでしょう。
まして、いまも働いている人もたくさんいるわけだから、そう簡単に人気低迷してもらっては困る!と思ってる人も多いのではないでしょうか?

今後の経営不振が心配ですが、どのような対策をしていくのかなども、気になるところですね。

 

Sponsored Links

まとめ:セブンペイ不正利用の手口とは?

セブンペイ,小林強

セブンペイ「小林強社長」

今回は、「セブンペイ」の不正利用(不正アクセス利用)について、一体どのような手口で乗っ取られたのかについて、調べてみました。

「セブンイレブンという大きな信用のある会社が出したサービスなら、大した問題はないだろう」と、やはり利用者は信用してしまいますし、事実すでに150万人以上の登録が確認されているようですから、これはおおごとです・・・。

ネット通販や、キャッシュレス決済(バーコード認証決済)がごく普通に利用され便利な時代ではありますが、やはり乗っ取りなどのリスクは考えものですよね…💦

とは言え、今回の案件は「セブイレブンという大手企業」が作ったシステム「セブンペイ」自体に、そもそも問題があったということが判明しています。

今後の対応についても、さらに注目が集まるのでは無いでしょうか?

最後までお読みいただきありがとうございました!

Sponsored Links

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です