piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

7payの不正利用についてまとめてみた

セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。

公式発表

セブン&アイHD/セブン・ペイ

不正利用の状況

不正アクセスを受けた人数 約900人(7/4)
⇒1574人(7/16)
⇒807人(7/30)
不正利用された金額試算 約5580万円(推定値)(7/4)
⇒3240万688円(7/16)
⇒3860万5335円(7/30)
7pay登録者数 約150万人(開始後3日間)

(2019年7月11日17時時点の状況、セブン&アイHD発表*1

  • 被害金額はセブンイレブン店舗での購入金額。
  • 利用者からの不正利用被害申告の金額、モニタリング調査の結果から算出。
発生事象とその対応
発生事象 セブン&アイの初期対応 3報発表の対応一例 セブン&アイ発表の原因一例
アカウント不正ログイン ID/PW管理について注意喚起
使いまわしパスワードの変更呼びかけ
海外からのアクセスを遮断。
2段階認証の導入 推測可能なID/PWを利用。
第三者による登録済クレジットカードからの入金 すべてのチャージ方法の一時停止。*2 入金1回あたりの上限額見直し 登録時の認証情報がログインに使う文字列と同一
入金したお金のセブンイレブンでの不正利用 顧客へ警察への被害届を出すように促す。
身に覚えのない利用履歴がある場合の連絡窓口設置
カード会社への速やかな連絡のお願い
不正利用された被害の全額を保証
監視要員を4人から20人に増強*3
横断的・包括的セキュリティ設計コンセプト見直し
  • 別端末でアプリにログイン後は元のログインしていた端末はログアウトされる。*4
  • 不正利用被害者への取材では「過去に利用したパスワードを使っていた」と回答している。*5
  • 7payへすでに入金済みの金額は引き続き利用可能。
  • 不正利用連絡後にアカウントが停止されると詳細は利用者側で履歴等閲覧は不可となる。*6

発覚の経緯

  • 顧客からの問い合わせを受けて不正利用の事態を発覚。*7
  • 問い合わせを受けたのは2019年7月2日。不正利用の事態認知は3日朝。
  • 当初コールセンターへ問い合わせしても同様の被害はないとし、カード会社、警察へ相談を促されていた。*8
日時 出来事
2019年7月1日 7payのサービス開始。
2019年7月2日 7payに対して海外のIPアドレスからアクセスが発生し始め。
同日 セブン・ペイへ身に覚えのない取引があったとの問い合わせ(第一報)
同日夜 7payの不正利用報告がSNS上で上がり始める。
2019年7月3日朝 セブン&アイHDが不正利用を認知。
同日 10時半 7payへの海外からのアクセスを遮断。
同日 午前中 不正利用対応のサポートセンターの設置
同日 午前中 セブン・ペイがID/PW管理の注意喚起を発表。
同日16時以降 7payへのクレジット・デビットカードからの入金を一時停止。*9
2019年7月4日 9時頃 7payのコールセンターをフリーダイヤルへ切り替え
同日 14時 セブン・ペイが不正利用に関する記者会見。
同日14時以降 7payへのすべてのチャージの一時停止。*10
同日以降 7payへの新規登録一時停止。
2019年7月5日 経済産業省が決済事業者等に対し不正利用防止のためのガイドライン徹底を要請。
同日 経済産業省がセブン&アイHDへ原因究明や再発防止策の策定を要請。*11
同日 セブン&アイHDが対策強化と新組織発足を発表。
2019年7月8日 金融庁がセブンペイに対し資金決済法に基づく報告徴求命令。*12
2019年7月11日 17時 外部サービス5種類からのアプリサービスログインを一時停止。
2019年7月16日 セブン&アイHDが7payの正確な被害金額を算出し公表。
2019年7月中旬 これ以降、新たな被害の確認はされていない。
2019年7月30日 セブン&アイHDが7iDに登録された利用者のパスワード一斉変更を実施。被害金額の最新のデータを公表。
2019年8月1日 セブン&アイHDが7payのサービス終了を発表。
2019年8月19日 nanacoポイント、チャージ残高不正利用の被害を受けた人に補償を開始。
2019年9月30日 7payサービス終了予定

7月4日の記者会見でのまとめ

(1)不正利用への対応
  • 一連の対応について対応が遅れたとの認識はない。
  • 被害を受けた利用者の特定を最優先で進めている。被害者側からセブン・ペイへの連絡は必須ではない。
  • 警察へは通報済み。被害届は出す予定で検討している。
  • 再開時期は未定。利用者への迷惑を考え、速やかに再開。
  • 不正検知で当初は海外(調査中だが中国からなど)からのIPを検知しこれを遮断した。
  • 不正購入された商品は調査中でタバコ以外は現時点で把握できていない。
  • Amazonギフト券なども購入できるが把握していない。
  • 加盟店などに対して大量購入を停止する措置はとっていない。顧客を鼻から犯人と疑えないため。
(2)入金済み金額の不正利用リスクへの考え方
  • セブン・ペイができる安全策をすでに行っている。
  • 顧客利便性とのバランスからの継続利用を可とする経営判断。
  • カードからの入金一時停止で不正利用が相当数減っている。
  • 不正検知するシステムを導入している。
  • カードからの入金上限は1回10万円。1日3回まで。(合計30万円)
  • 万一被害が出た場合は全額補償の方針する。
  • 警察へ被害届を出すことが補償を受けるための基本的なプロセス。(これについては他に方法がないか検討中)*13
(3)事前のセキュリティ対応
  • 数社の協力会社と共同し7payのシステムを開発した。
  • サービス、アプリ開始時点でセキュリティ診断を行っている。
  • 7payでは何度もテストし安全面、脆弱性は指摘をされていなかった。
  • システムのリリース優先でセキュリティをおざなりにしたわけではない。
(4)発生原因について
  • 7月4日時点でセブン・ペイ側からの情報流出により発生したものではないという認識。
(5)SNS上で指摘されている問題への考え方
  • SNS上で指摘の上がっている問題について詳細までは把握していない。
  • 専門家を雇って調査する予定。改善すべきところは進めている。
  • セキュリティが甘い等の様々指摘を受けているが、利便性とのバランスと考える。
  • Web(オムニ7)側は直近1週間での特異なアクセスは認められていない。
  • 個人情報が流出したかどうかを含め現在も調査を進めている。
  • スマートフォン利用者を想定し、キャリア用メールアドレスが使えなくなることを想定して、パスワード変更通知先を別アドレスへ送れるつくりとした。
  • 自己入金分の補償無しの規約について顧客の意思と関係なしにお金の動きが生じれば特定後に保証を含め個別対応となる。

7月30日に行われたパスワード一斉リセット

  • 2019年7月30日 13時~16時にかけて7iDユーザーのパスワードが一斉にリセットされた。
  • 対象者数は約1650万人。
  • 7月30日時点で外部への情報流出などの被害は確認されていない。
  • パスワードリセット後は複雑な文字列にしなければ設定できない。

店舗への支援

  • 7pay対応に追われた店舗側へのお詫びとして1万円のクオカード配布の方針。*14

関連記事

事案発生を受けての見解・コメント
その他7pay問題発覚当時*15SNS上で報告の上がっていた問題
  • Web(オムニ7)からパスワード変更後もアプリでログアウトされない。*16
  • iOS版会員登録時に生年月日を登録無しとした場合に2019年1月1日が自動入力され、未登録者は実質的に生年月日抜きにパスワードリセットができる。*17
  • メールアドレスを勝手に登録でき、登録確認が行われない。*18
  • オムニ7で登録している個人情報が盗み見られた可能性がある。*19
  • 生年月日、電話番号、会員IDでパスワードリセットができる*20
  • パスワードリセットの問題への対応が不十分。*21
  • 退会理由に改行コードが含まれると退会ができない。*22
  • 第三者による7payへのチャージがチャットを通じて可能だった。*23

更新履歴

  • 2019年7月4日 AM 新規作成
  • 2019年7月5日 AM 続報反映
  • 2019年7月6日 AM 続報反映
  • 2019年7月12日 PM 続報反映
  • 2019年7月17日 AM 続報反映
  • 2019年7月30日 PM 続報反映
  • 2019年8月2日 AM 続報反映
  • 2019年8月17日 AM 続報反映
  • 2019年9月1日 AM 続報反映

*1:7pay不正、確定被害は1574人、総額3240万688円と公表。7月中に対策公表へ | BUSINESS INSIDER JAPAN

*2:7月3日まではクレジット・デビットカードからのチャージを一時停止としていた

*3:セブンが2段階認証導入を発表,産経新聞,2019年7月5日

*4:https://twitter.com/integra/status/1146243205333016576

*5:セブンペイ不正利用、被害男性「もう少し注意喚起してもらえていたら」,毎日新聞,2019年7月3日

*6:

*7:セブンペイで不正アクセス 身に覚えない入金通知届く,朝日新聞2019年7月3日

*8:「7pay」登録当日に被害「安心していた」,NHK,2019年7月5日

*9:7pay“パスワード変更を” 「覚えのない取り引き」相次ぐ,NHK,2019年7月3日

*10:「7pay」900人に不正アクセス 被害5500万円か,NHK,2019年7月4日

*11:セブンペイのポイント還元参加認めない可能性も 経産省,朝日新聞,2019年7月5日

*12:セブンペイ不正アクセス問題、金融庁が報告命令,朝日新聞,2019年7月12日

*13:「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” ,ITmedia,2019年7月4日

*14:セブン、全国店主に1万円クオカード ペイ問題のおわび,朝日新聞,2019年8月15日

*15:7月4日頃から報告のあったものを列挙、既に解消済みも含まれる

*16:

*17:

*18:

*19:

*20:www.itmedia.co.jp

*21:

*22:

*23:https://www.yomiuri.co.jp/economy/20190715-OYT1T50072/