「7pay」で不正利用の被害、原因は「調査中」 クレカからのチャージを停止

[田中聡，ITmedia]

　セブン・ペイが7月1日に提供開始したコード決済「7pay（セブンペイ）」が、不正利用されていることが判明した。

　セブン&アイ・ホールディングスによると、7月3日の午前に、「身に覚えのない取引があった」とユーザーから申告があり、一部のアカウントが第三者にアクセスされ、不正に取引されたことが確認された。問い合わせ件数や被害の規模については「調査中」とのこと。

セブン&アイ・ホールディングスのお知らせ

　不正アクセスされるケースとして、同社はログインIDとパスワードが分かりやすいものになっている場合、クレジットカードやデビットカードを登録する際に設定する「認証パスワード」と、ログインID・パスワードが同じ場合を挙げており、第三者が何らかの方法でIDとパスワードを入手、あるいは推察して、不正にログインしたものと思われる。

　その際、認証パスワードがログイン用のパスワードと同じだと、不正ログインした第三者がクレジットカードを使ってチャージができてしまう。セブン&アイ・ホールディングスは詳細な原因について「IDやパスワードが流出したのかどうかも含めて調査中」としている。セブンIDはメールアドレスで、パスワードは半角の記号・英字・数字を2種類以上組み合わせた8文字以上となっている。

セブンIDでログインして、認証パスワードで認証すれば、登録したクレジットカードからチャージができてしまう。セブンIDのパスワードと認証パスワードが同一だと、不正チャージのリスクが高い状態だった

　事態を重く見たセブン&アイ・ホールディングスは、安全に取引できることが確認できるまで、クレジットカードとデビットカードでのチャージを停止する。同社は、不正取引の被害に遭ったユーザーへの補償、今後のセキュリティ対策について「原因が分かり次第、対応を検討する」としている。

　セブン・ペイは、ログインID、パスワード、認証パスワードの管理を注意するよう呼び掛けている。ログインIDとパスワードは、マイページの「ログイン情報（メールアドレス・会員ID・パスワード」から変更できる。認証パスワードは「セブン-イレブン」アプリ→7Pay→メニュー→「認証パスワード設定・変更」から変更できる。

　身に覚えのない取引があった場合の問い合わせ先は「7payお客様サポートセンター緊急ダイヤル」（0570-012-113）。またセブン・ペイは、クレジットカードに身に覚えのない取引が見つかった場合、クレジットカード会社に連絡するよう呼び掛けている。