セブンイレブンのキャッシュレス決済「7pay」が過去最悪のスタートを切りました。
過去にはPayPayでも同様の事件は起きましたが、今回の事件はまさか過ぎるお粗末な仕様が原因とあってそれ以上にひどく感じます。
今回は7payが不正利用された原因について解説します。
目次
7pay不正利用事件の概要
7月1日にサービスを開始した7payだが、2日にユーザーから「身に覚えのない取引があった」との問い合わせがあり、社内調査をした結果、第三者が何らかの方法でユーザーのアカウントにアクセスして、決済をしていたことが判明した。
同社の試算によると、7月4日6時時点で、不正アクセスが疑われる人数は約900人、不正に決済された金額は約5500万円。1万円をチャージをした同日に、ほぼ同額の支払いをした人の数や決済金額をベースに試算したという。なお、不正アクセスに使われたIDは既に凍結している。7payは7月1日~3日で150万強の登録があった。
被害に遭ったユーザーへの対応については、全て補償するという。この中にはクレジットカード会社からの補償も含まれるとし、「各論はいろんなステップを踏むと思うが、お客さまへのメッセージ要素が強い」とセブンペイの小林強社長は話す。
引用元:「7pay」不正利用は全額補償へ 全チャージ&新規登録停止も、サービス自体は継続(ITmedia)
https://www.itmedia.co.jp/mobile/articles/1907/04/news101.html
7月4日時点で不正アクセス900人、被害金額は約5,500万円と大規模なクレジットカード不正利用事件になっています。
PayPayの時には元々流出していたクレジットカード情報をPayPayで使われるという事件でした。
一方で今回の事件は7payを内包する「セブンイレブンアプリ」に不正アクセスすることで、アプリに登録されているクレジットカードを使って不正に7pay決済をしてしまうという事件です。
さらに怖いことにいくらパスワードを変更したり強固なものにしても、それらを一瞬で無意味なものにしてしまう手法があったのです。
7payが不正利用された3つの理由・問題点
パスワード再発行に必要な入力項目の少なさ
今回不正利用された最大の原因は7payを使うためにインストールするセブンイレブンアプリにありました。
セブンイレブンアプリは7payが提供開始となるより前から存在するクーポンや割引等が利用できるアプリです。
7payはこのアプリの7iDという会員サービスに紐付ける形で利用することができました。
そして今回の事件は7payというよりもこの7iDの仕様に最大の弱点・欠点がありました。
それは「最悪のケースでは第三者がメールアドレスだけでも分かれば乗っ取り可能」というものです。
順を追って説明していきましょう。
まず第一の問題点としてメールアドレスと生年月日を知られた時点で多くの人はパスワードの再発行をされてしまいます。
7iDにログインするためには「7iD(メールアドレス or 任意の文字列」と「パスワード」が求められます。
パスワードを忘れた場合には「ID(≒メールアドレス)」と「生年月日」を入力してパスワードの再発行ができます。
多くの人はIDがメールアドレスなので、メールアドレス情報さえ分かればIDが特定可能なのです。
メールアドレスと生年月日だけでパスワードの再発行ができるのはセキュリティ的にまずいですね。
生年月日が2019年1月1日に自動入力
さらに第二の問題点としてこの生年月日の仕様にも大きな問題がありました。Android版は生年月日必須となっていましたが、なぜかiOS版は生年月日の欄が未入力の場合には「2019年1月1日」と自動入力され、ご丁寧にもアプリ内にその表記があったのです。
つまりメールアドレスだけ分っていかれば生年月日未入力のユーザーを引き当てるまで不正アクセスを試みるというセキュリティガバガバの仕様だったのです。
しかしパスワードの再発行がかけられるというだけならこのような大きな事件にはなりませんでした。
他人のメールアドレスにパスワード再設定メールを送れる
そして第三に最大の問題点が「他人のメールアドレスにパスワードの再設定メールを送れる」です。
普通なら登録したメールアドレスにしかパスワードの再設定メールは送れません。しかし7iDの仕様では他人のメールアドレスにパスワード変更のメールを送れるという、親切だけどセキュリティ意識の低いものでした。
メールアドレスさえ分かっていれば不正アクセスしてクレカ利用できてしまうという最悪の仕様だったのです。
7payは今後お得なら使うつもり
幸い私は生年月日を入力していたので不正アクセスされませんでした。
しかし私を含め世間的には7payのイメージは最悪です。
トップの「二段階認証・SMSを知らない発言」は、まあ世の中の経営者なんてそんなもんだから別に構いません。
まず問題はこのアプリそもそも大丈夫なのか?ということですが、まあそこは天下のセブンイレブンなんで本気になれば改善してくれるでしょう。
それ以上に思うのはそもそも使う意義があるのか?ということです。
7payはセブンイレブンを利用するならまあ使ったほうがいいけれど、積極的に使いたいほどお得というわけではありません。
還元率ならPayPayやLINE Payの方がずっとお得ですし、クーポンやキャンペーンならメルペイの方がずっとお得です。
PayPayもかつてはやらかしましたが、圧倒的なお得さと利便性で復活しました。
セブンイレブンには詫び石ならぬ詫び還元50%オフを期待したいところです。