7pay(セブンペイ)の不正利用問題と対策
コンビニ系のスマホ決済サービスとして7月1日にリリースされた7Pay(セブンペイ)。期待は集まっていたものの、リリース直後に不正問題が発生してしまいました。
登録してしまった人、これから利用を検討している人にとっては不安が尽きないでしょう。
今回は7Pay(セブンペイ)で起きた不正利用問題につき、「なぜ起きたのか」「対応策は何か」「どうすればアプリを退会できるか」などを解説します。
目次
1.セブンペイの不正利用被害の概要
まずはセブンペイの不正利用問題の概要と対応をまとめます。
最初の被害の報告は、セブンペイのリリース直後でした。その後、続々と被害報告が寄せられるようになり、2019年7月31日時点で808名のユーザーが第三者によって不正チャージおよび不正利用されたと確認されました。
不正アクセスされた後、登録されたクレジットカードやデビットカードを通じて、チャージ・商品購入を行われており、2019年7月31日時点で被害総額は約3860万円です。
既にセブンペイに登録したユーザーだけではなく、第三者によって自分のメールアドレスを勝手に登録された、といった被害も生じています。
2.不正利用被害に対するセブンペイの対応
セブンペイの対応は、大きく分けると4つです。
(1)新規登録・チャージの停止
7月4日 14時ごろに、サービスの新規登録の停止を発表しました。
さらに、クレジットカードや店頭・ATMなどのチャージも全面的に停止しました。
チャージの再開予定などは発表されていないため、現状、セブンペイの利用は実質的に不可能です(もっとも、停止前にチャージした金額については利用可能)。
(2)被害の補償
不正利用によって生じた被害ついて、セブンペイは「全ての被害に対して補償を行う」と発表しています。
被害の補償については、専用の緊急ダイヤルで対応するとのことです。
[お客様サポートセンター緊急ダイヤル:0120-192-044]
(3)対策組織の立ち上げ
原因分析と包括的なセキュリティ対策を行うための独立組織として、「セキュリティ対策プロジェクト」を立ち上げました。
被害の原因を特定や、自社のサービスを安心して利用してもらうための対応策を実施する組織です。
具体的な対応策として、現時点で、下記4つの対応策が予定されています。
- 「セブンペイ」二段階認証の導入
- 「セブンペイ」チャージ1回あたりの上限額の見直し
- グループ横断的・包括的なセキュリティ設計コンセプトの見直し
- セキュリティ評価方法および範囲の見直し
その他、セブンペイ社内でのモニタリング対応人数を増員し、モニタリング項目を拡大するなどの対応も行われています。
【参考】 セブンペイ不正利用問題への対策について
(4)サービス廃止
セブンペイは2019年9月30日(月)24:00をもってサービスを廃止すると発表しました。廃止に至った要因としては、下記3つがあります。
- セブンペイについて、チャージを含めてすべてのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されるため
- その間、サービスを継続するとすれば「利用(支払い)のみ」、という不完全な形とせざるを得ないため
- 顧客のセブンペイに対する依然とした不安を拭うのは困難だと判断したため
尚、セブンペイに入っているチャージ残高の払い戻し、出金はサービス終了後の10月以降になる模様です。
しかし、具体的な時期や方法についてはまだ発表されていないため、続報が発表され次第更新します。
3.セブンペイ不正利用の原因
そもそもなぜ、このような不正利用が発生したのでしょうか。
2019年8月1日に不正利用の原因について①セブンペイに関わるシステム上の認証レベル ②セブンペイの開発体制 ③セブンペイにおけるシステムリスク管理体制 の3つがあると公式に発表されました。
しかし、第三者の不正利用(アカウントの乗っ取り)が簡単に出来てしまった要因として、細かい記載がなかったため、SNSで話題となった4つの要素についてここでは記載します。
(1)メールアドレスをIDとしている
セブンペイでは、登録に「ID」と「パスワード」を設定することになっています。
ここでIDは「メールアドレス」を設定するため、他のサービスでセブンペイと同じメールアドレスとパスワードを使用しており、それが流出していた場合、不正利用が可能になるということです。
(2)パスワードの再設定の方法が杜撰
「パスワードの再設定」においても問題が指摘されています。
セブンペイアプリではパスワードの再設定に「メールアドレス」「生年月日」「電話番号」を入力する手順となっています。
そして、パスワード再設定用のURLを指定したメールアドレスに送信する流れになるのですが、このパスワード再設定用URLの送信先が自由に選べるようになっています。
極端な話、不正利用を考えた者が、自分のメールアドレス宛にパスワード再設定用のメールを送ることも可能です。
こうなると、「メールアドレス」「生年月日」「電話番号」の3つが分かれば誰でもパスワードリセットが可能であり、不正アクセスできてしまいます。
(3)生年月日の設定がないと、「2019年1月1日」になる
更に言えば、生年月日が分からなくても不正利用できる場合もあります。
少し文字が小さいですが、画像の一番下の「青枠」部分を見てください。
セブンペイアプリでは生年月日の設定を「任意」としており、設定しなければ「2019年1月1日」となります。
不正利用者の立場から考えれば、生年月日が分からなければ、とりあえず「2019年1月1日」と入力することで、パスワードリセットできる可能性があるということです。
「メールアドレス」と「電話番号」の二つが流出するだけで、不正アクセスのリスクが飛躍的に高まるという、極めて脆弱なセキュリティシステムだったことが批判されています。
(4)二段階認証がない
ネットサービスのセキュリティでは、「二段階認証」というシステムが一般的に導入されています。
新規登録やアカウント情報・パスワードなどの変更など重要な手続きにおいて、登録した電話番号にSMSを通じて暗証番号を送信し、入力させるなどの方法によって認証を行うシステムです。
「ID」と「パスワード」が一段目の認証システム、SMSを使った暗証番号による認証が2段目の認証システムと、二段構えでセキュリティを確保するシステムです。
こうしたシステムを導入しておけば、登録した電話番号の持ち主にしか暗証番号が分からないため、第三者による不正なアクセスを防止することが可能になっています。
しかし、セブンペイでは二段階認証にも対応しておらず、不正利用しやすい状態になっていました。
4.万が一、不正利用されてしまった時の対応
今回のセブンペイ不正利用問題では、1,574名のユーザーが被害に遭っています。
ここでは、実際にセブンペイで不正利用された場合の対応を紹介します。
ネットサービス全般で使える対応なので、ぜひ理解して実践しましょう。
クレジットカードの連携を解除する
現金チャージだけなら、チャージ金額を超えて被害は出ません。しかし、クレジットカードを連携している場合、連携を解除しない限り被害が拡大します。
まずはクレジットカードの連携解除を速やかに行いましょう。
IDやパスワードを変更する
IDやパスワードが流出している場合、そのID/パスワードを使い続けるのは危険です。
こうしたアカウント情報は、即座に変更しましょう。
手続きはアプリ内の会員情報ページから可能です。
カード会社に連絡し、警察に被害届を出す
不正利用されたクレジットカード会社に問い合わせを行い、不正利用された旨と利用停止手続きを行なってください。
あわせて、警察に連絡をして被害届を出しましょう。
サポートセンターに電話する
セブンペイのサポートセンターへの問い合わせを行い、被害の補償をしてもらいましょう。
[お客様サポートセンター緊急ダイヤル:0120-192-044]
5.不正利用されないための対策
不正アクセス・不正利用といった問題は、セブンペイに限らずあらゆるネットサービスで起こりうる可能性があります。個人情報が流出する可能性もありますし、金銭的な被害が生じることも考えられます。
ここでは、不正利用されないための対策を紹介していきます。
(1)ID・パスワードの使い回しを避ける
IDやパスワードの使い回しは、不正アクセスの被害に遭う確率を高めてしまいます。1つのサービスでID、パスワードが流出した場合に、他サービスでも不正アクセスの被害に遭ってしまう可能性があります。できればIDやパスワードはサービスによって使い分けるのが得策です。
また、IDとパスワードの設定にも注意すべきです。例えば「個人情報(誕生日など)を使う」「パスワードが短い」「固有名詞をパスワードに設定する」などもリスクを高めてしまいます。パスワードは長すぎない程度に長く、不規則な文字列、できれば「大文字」「小文字」「数字」「記号」などを組み合わせた複雑なパスワードを設定するとよりリスクを軽減できます。
(2)現金でチャージする
クレジットカードを登録することによる不正利用の可能性もあります。クレジットカードの場合、不正利用されるとチャージ残高がなくなっても被害に遭い続けてしまいます。
そういったリスクを避けるために、クレジットカードではなく、現金でチャージするというのも1つの方法です。
現金チャージであれば、不正利用されてもチャージした金額内で被害を止めることができます。
6.7payアプリを辞めたいときは?
PayPayの不正利用問題のときもそうでしたが、スマホ決済サービスに対する不安が拭えない場合、退会するというのもいいでしょう。
もし今回の1件でセブンペイを利用する気持ちがなくなってしまったのであれば、アカウントをそのままにしておくのではなく、退会した方が得策です。
ここでは、セブンペイアプリの退会方法を説明します。
(1)7payに登録しているクレジットカードを消去する方法
セブンペイにクレジットカードを登録している場合は、連携を解除しておきましょう。
▼トップページから「メニュー」をタップし、「登録カード一覧」をタップします
▼「カード選択」の画面で「クレジットカード/デビットカード」を選択します。
その後、「カードの追加・削除」をタップし、クレジットカードの横に表示された「削除」をタップすれば完了となります。
(2)セブンペイを退会する方法
▼まずトップ画面から左上の「設定」を開きます
▼「7iD会員情報」をタップします
▼一番下に「退会する」という項目があるので、それをタップします
▼退会手続きが行われるので退会理由などを入力し「確認する」をタップすれば完了です
(3)退会時の注意点
今すぐにでもセブンペイアプリを退会したい、と思っている人も多いかと思いますが、退会前に確認しておくべきことを挙げておきます。
7payだけの退会は不可
セブンペイは、セブンイレブンアプリ内の機能の1つであるため、セブンペイだけを退会することができません。手続き上はセブンイレブンアプリを退会するという形になります。セブンイレブンアプリを退会することによって、セブンペイの退会も完了します。
おにぎりクーポンが消える
セブンペイでは、新規登録者におにぎり1個を無料でプレゼントするクーポンを配布していました。おにぎり目当てに登録した人も多いかと思いますが、退会すれば当然ながらクーポンも消失します。おにぎりが欲しい人はクーポンを使ってから退会しましょう。
nanacoネットポイントが消失
セブンイレブンアプリを退会するということは、アプリ内で貯めたポイントも消失することになります。この場合nanacoネットポイントが無くなってしまいます。ただしnanacoはこれまで通り利用できます。
7payマネー残高が失効
クレジットカードや現金で行なったチャージの残高がある状態で退会すると、これらの残高も失効となってしまいます。セブンペイでは現状停止前にチャージされた残高に関しては利用可能なので、退会するときにはチャージ分を使い切ってからにしたほうがいいでしょう。
7.まとめ
2018年にはPayPayでの不正利用問題が生じたことは皆さんの記憶に新しいと思います。せっかくスマホ決済サービスへのセキュリティ問題に対する不安が少しづつ拭えてきたところに水を差す形でセブンペイの問題が生じてしまいました。
また、スマホ決済サービスのみならず、不正アクセスや不正利用などの問題はネットサービスにおいて課題が残る部分でもあります。1人のユーザーとして、自分を守るという意味でもネットサービスのセキュリティや個人情報について一度考えてみるべきでしょう。
服部 貞昭(はっとり さだあき)
CFP(日本FP協会認定)、2級ファイナンシャル・プランニング技能士(国家資格)。
ベンチャーIT企業のCTOおよび会計・経理を担当。
税金やお金に関することが大好きで、それらの記事を2000本以上、執筆・監修。
「マネー現代」にも寄稿している。
エンジニアでもあり、賞与計算ツールなど各種ツールも開発。
