セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。
公式発表
セブン&アイHD/セブン・ペイ
- 2019年7月1日
- 2019年7月3日
- 2019年7月4日
- 2019年7月5日
- 2019年7月11日
- 2019年7月12日
- 2019年7月30日
- 2019年8月1日
- 2019年8月19日
- [PDF] 不正被害に遭われたお客様への補償対応について
- 2019年9月4日
- [PDF] 7pay サービス終了に伴うお詫びとお知らせ
- 2019年9月27日
- 2019年10月10日
- 2020年2月25日
- [PDF]
経済産業省
不正利用の状況
| 不正アクセスを受けた人数 | 約900人(7/4) ⇒1574人(7/16) ⇒807人(7/30)⇒709人(1/6) |
|
|---|---|---|
| 不正利用された金額試算 | 約5580万円(推定値)(7/4) ⇒3240万688円(7/16) ⇒3860万5335円(7/30) |
|
| 7pay登録者数 | 約150万人(開始後3日間) | |
| 被害補償の状況 | 705人に支払い済み。 |
(2019年7月11日17時時点の状況、セブン&アイHD発表*1)
- 被害金額はセブンイレブン店舗での購入金額。
- 利用者からの不正利用被害申告の金額、モニタリング調査の結果から算出。
発生事象とその対応
| 発生事象 | セブン&アイの初期対応 | 3報発表の対応一例 | セブン&アイ発表の原因一例 |
|---|---|---|---|
| アカウント不正ログイン | ID/PW管理について注意喚起 使いまわしパスワードの変更呼びかけ 海外からのアクセスを遮断。 |
2段階認証の導入 | 推測可能なID/PWを利用。 |
| 第三者による登録済クレジットカードからの入金 | すべてのチャージ方法の一時停止。*2) | 入金1回あたりの上限額見直し | 登録時の認証情報がログインに使う文字列と同一 |
| 入金したお金のセブンイレブンでの不正利用 | 顧客へ警察への被害届を出すように促す。 身に覚えのない利用履歴がある場合の連絡窓口設置 カード会社への速やかな連絡のお願い 不正利用された被害の全額を保証 監視要員を4人から20人に増強*3 |
横断的・包括的セキュリティ設計コンセプト見直し | ー |
発覚の経緯
- 顧客からの問い合わせを受けて不正利用の事態を発覚。*7
- 問い合わせを受けたのは2019年7月2日。不正利用の事態認知は3日朝。
- 当初コールセンターへ問い合わせしても同様の被害はないとし、カード会社、警察へ相談を促されていた。*8
| 日時 | 出来事 |
|---|---|
| 2019年7月1日 | 7payのサービス開始。 |
| 2019年7月2日 | 7payに対して海外のIPアドレスからアクセスが発生し始め。 |
| 同日 | セブン・ペイへ身に覚えのない取引があったとの問い合わせ(第一報) |
| 同日夜 | 7payの不正利用報告がSNS上で上がり始める。 |
| 2019年7月3日朝 | セブン&アイHDが不正利用を認知。 |
| 同日 10時半 | 7payへの海外からのアクセスを遮断。 |
| 同日 午前中 | 不正利用対応のサポートセンターの設置 |
| 同日 午前中 | セブン・ペイがID/PW管理の注意喚起を発表。 |
| 同日16時以降 | 7payへのクレジット・デビットカードからの入金を一時停止。*9 |
| 2019年7月4日 9時頃 | 7payのコールセンターをフリーダイヤルへ切り替え |
| 同日 14時 | セブン・ペイが不正利用に関する記者会見。 |
| 同日14時以降 | 7payへのすべてのチャージの一時停止。*10 |
| 同日以降 | 7payへの新規登録一時停止。 |
| 2019年7月5日 | 経済産業省が決済事業者等に対し不正利用防止のためのガイドライン徹底を要請。 |
| 同日 | 経済産業省がセブン&アイHDへ原因究明や再発防止策の策定を要請。*11 |
| 同日 | セブン&アイHDが対策強化と新組織発足を発表。 |
| 2019年7月8日 | 金融庁がセブンペイに対し資金決済法に基づく報告徴求命令。*12 |
| 2019年7月11日 17時 | 外部サービス5種類からのアプリサービスログインを一時停止。 |
| 2019年7月16日 | セブン&アイHDが7payの正確な被害金額を算出し公表。 |
| 2019年7月中旬 | これ以降、新たな被害の確認はされていない。 |
| 2019年7月30日 | セブン&アイHDが7iDに登録された利用者のパスワード一斉変更を実施。被害金額の最新のデータを公表。 |
| 2019年8月1日 | セブン&アイHDが7payのサービス終了を発表。 |
| 2019年8月19日 | nanacoポイント、チャージ残高不正利用の被害を受けた人に補償を開始。 |
| 2019年9月30日 | 7payサービス終了。 |
| 2019年10月10日 | 当該事案発生に伴う役員の報酬の返上等対応を発表 |
| 2020年1月10日 | 資金決済法に基づく7payの払い戻し期限。 |
| 2020年2月25日 | 7pay残高払い戻しに関する業務をすべて終了。 |
7月4日の記者会見でのまとめ
(1)不正利用への対応
- 一連の対応について対応が遅れたとの認識はない。
- 被害を受けた利用者の特定を最優先で進めている。被害者側からセブン・ペイへの連絡は必須ではない。
- 警察へは通報済み。被害届は出す予定で検討している。
- 再開時期は未定。利用者への迷惑を考え、速やかに再開。
- 不正検知で当初は海外(調査中だが中国からなど)からのIPを検知しこれを遮断した。
- 不正購入された商品は調査中でタバコ以外は現時点で把握できていない。
- Amazonギフト券なども購入できるが把握していない。
- 加盟店などに対して大量購入を停止する措置はとっていない。顧客を鼻から犯人と疑えないため。
(2)入金済み金額の不正利用リスクへの考え方
- セブン・ペイができる安全策をすでに行っている。
- 顧客利便性とのバランスからの継続利用を可とする経営判断。
- カードからの入金一時停止で不正利用が相当数減っている。
- 不正検知するシステムを導入している。
- カードからの入金上限は1回10万円。1日3回まで。(合計30万円)
- 万一被害が出た場合は全額補償の方針する。
- 警察へ被害届を出すことが補償を受けるための基本的なプロセス。(これについては他に方法がないか検討中)*13
(3)事前のセキュリティ対応
- 数社の協力会社と共同し7payのシステムを開発した。
- サービス、アプリ開始時点でセキュリティ診断を行っている。
- 7payでは何度もテストし安全面、脆弱性は指摘をされていなかった。
- システムのリリース優先でセキュリティをおざなりにしたわけではない。
(4)発生原因について
- 7月4日時点でセブン・ペイ側からの情報流出により発生したものではないという認識。
(5)SNS上で指摘されている問題への考え方
- SNS上で指摘の上がっている問題について詳細までは把握していない。
- 専門家を雇って調査する予定。改善すべきところは進めている。
- セキュリティが甘い等の様々指摘を受けているが、利便性とのバランスと考える。
- Web(オムニ7)側は直近1週間での特異なアクセスは認められていない。
- 個人情報が流出したかどうかを含め現在も調査を進めている。
- スマートフォン利用者を想定し、キャリア用メールアドレスが使えなくなることを想定して、パスワード変更通知先を別アドレスへ送れるつくりとした。
- 自己入金分の補償無しの規約について顧客の意思と関係なしにお金の動きが生じれば特定後に保証を含め個別対応となる。
7月30日に行われたパスワード一斉リセット
- 2019年7月30日 13時~16時にかけて7iDユーザーのパスワードが一斉にリセットされた。
- 対象者数は約1650万人。
- 7月30日時点で外部への情報流出などの被害は確認されていない。
- パスワードリセット後は複雑な文字列にしなければ設定できない。
店舗への支援
- 7pay対応に追われた店舗側へのお詫びとして1万円のクオカード配布の方針。*14
払い戻し期限時点の残高
- 残高約7000万円、約25万人が払い戻し手続きをせずに期限満了を迎えた。
- 2019年9月末時点では利用者約37万人、残高約1億9千万円だった。
- 7pay側は11日以降も受付を継続。残高が確認できれば払い戻しに応じる。*15
関連記事
事案まとめ
不正利用発生原因の推測
事案発生を受けての見解・コメント
関連した誤報・デマ
7payの騒動を受け、次のデマや誤報が流れた
その他7pay問題発覚当時*16SNS上で報告の上がっていた問題
更新履歴
- 2019年7月4日 AM 新規作成
- 2019年7月5日 AM 続報反映
- 2019年7月6日 AM 続報反映
- 2019年7月12日 PM 続報反映
- 2019年7月17日 AM 続報反映
- 2019年7月30日 PM 続報反映
- 2019年8月2日 AM 続報反映
- 2019年8月17日 AM 続報反映
- 2019年9月1日 AM 続報反映
- 2019年10月12日 AM 続報反映
- 2020年1月15日 AM 続報反映
- 2020年2月26日 AM 続報反映
*1:7pay不正、確定被害は1574人、総額3240万688円と公表。7月中に対策公表へ | Business Insider Japan
*2:7月3日まではクレジット・デビットカードからのチャージを一時停止としていた
*3:セブンが2段階認証導入を発表,産経新聞,2019年7月5日
*4:https://twitter.com/integra/status/1146243205333016576
*5:セブンペイ不正利用、被害男性「もう少し注意喚起してもらえていたら」,毎日新聞,2019年7月3日
*6: #7pay
ちなみに不正利用連絡するとペイ機能は止められ、履歴は見えなくなりますので、スクショをお勧めします pic.twitter.com/54Qr2T25Uw
*7:セブンペイで不正アクセス 身に覚えない入金通知届く,朝日新聞2019年7月3日
*8:「7pay」登録当日に被害「安心していた」,NHK,2019年7月5日
*9:7pay“パスワード変更を” 「覚えのない取り引き」相次ぐ,NHK,2019年7月3日
*10:「7pay」900人に不正アクセス 被害5500万円か,NHK,2019年7月4日
*11:セブンペイのポイント還元参加認めない可能性も 経産省,朝日新聞,2019年7月5日
*12:セブンペイ不正アクセス問題、金融庁が報告命令,朝日新聞,2019年7月12日
*13:「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” ,ITmedia,2019年7月4日
*14:セブン、全国店主に1万円クオカード ペイ問題のおわび,朝日新聞,2019年8月15日
*15:廃止のセブンペイ、払い戻し受付期限 25万人が未申請,朝日新聞,2020年1がつ11日
*16:7月4日頃から報告のあったものを列挙、既に解消済みも含まれる
*17: オムニ7のパスワードリセット、自分も試してみたけど登録メールアドレスと送付先メールアドレスの両方にパスワードリセットのメール届くようで、誰かがパスワードリセット試みてるのは気づくことはできそうだ…。ただ登録情報変えてもログイン済み端末ログアウトされないんじゃ、攻撃がわかるだけ…
*18: この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5
*19: #7PAY #セブンイレブン #セブンペイ #7ペイ ワイのメールアドレス(単純すぎた)で勝手に不正に会員登録されました、クレジットカード情報は無いので今のところメールアドレス以外の金銭的被害等はありません
他の被害者と時間帯も一致
オニギリゲット用と思われます死ねばいいのに pic.twitter.com/mSNwHi3zNc
*20: 決済の問題にばかり注目されてしまうと、もともとリスク取ってやる事業なのだから、一定の対策取って被害減ったのが確認出来てる、被害者には補償する、で、話が終わってしまうんですよ。個人情報漏洩の部分が放置されている(ろくに調査せず、被害の発生を認識出来ていない、で黙殺される可能性がある)
*22: omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww
こ れ は 大 草 原 が 広 が るwwwwwwwwwwwwwww pic.twitter.com/oPm53QTbdl
*23: 改行があると退会できないのも再現した。 pic.twitter.com/gg1z4TshpX
