「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問
既報の通り、セブン・ペイは9月30日をもってコード決済サービス「7pay(セブンペイ)」の提供を終了する。
同社の親会社であるセブン&アイ・ホールディングス(以下「7&i」)によると、サービス終了の直接的な原因となった「不正チャージ」「不正利用」(以下まとめて「不正利用」)の対象人数は808人、被害総額は3861万5473円となり、7月中旬以降は新たな被害は確認できていないという。
- →7&iのニュースリリース(リダイレクト先はPDFファイル)
8月1日に記者説明会を開催した7&iは、今回の不正利用の原因は「リスト型アカウントハッキング」(リスト型攻撃)である可能性が高いと説明している。そうなると、7payも利用している7&iグループ共通のユーザー基盤「7iD(セブンアイディー)」のセキュリティも気になる。
7&iはどのように説明したのだろうか。
8月1日の記者会見に登壇した関係者。左からセブン&アイ・ネットメディアの田口広人社長、セブン&アイ・ホールディングスの後藤克弘副社長(セキュリティ対策プロジェクトの総責任者)、同社の清水健執行役員(セキュリティ対策プロジェクトのリーダー)、セブン・ペイの奥田裕康取締役(営業部長)不正ログインの試行回数は「数千万回」
7&iは7月5日、外部の情報セキュリティ企業(社名非公表)と連携した「情報セキュリティ対策プロジェクト」を立ち上げ、7payの不正利用に関する調査を開始。その結果、先述の通りリスト型攻撃による被害である可能性が高いとの結論に至ったという。
リスト型攻撃は、その名の通りIDやパスワードの「リスト」の一覧を“総当たり”で入れていくハッキング(攻撃)だ。要するに、悪意のある第三者がリストに基づく7iDのログイン試行を行った結果、不正利用につながったということになる。
7&iグループのデジタル戦略を担うセブン&アイ・ネットメディアの田口広人社長によると、リリース翌日(7月2日)の早朝から数千万回のアタック(試行)があったという。不正利用が確認されている808人についてはログインの試行とエラーの回数の調査も済んでいる一方、その他の「入られてしまった(ログインが成功してしまった)」事例については、セキュリティ企業とともに精査を進めている最中だという。
オープンIDログイン停止とパスワードリセットで「リスクは極小」に
先述の通り、7iDは7&iグループ共通のユーザー基盤である。7iDの前身は同社のWeb通販サイト「omni7(オムニセブン)」用会員IDで、これを「セブン−イレブン」アプリを始めとする7&iグループの各種アプリでも利用できるようにして現在に至っている。
一方、omni7や各種アプリでは他社の「外部ID」によるログインもできる。ここを突いて、外部IDでセブン-イレブンアプリにログインし、そのアカウントで使っていた7payの残高を使うことも理論上は可能だった。
そのため、7&iは7月11日の夕方、7iD対応サービスにおける外部IDログインを停止した。
さらに「リスクを極小化する」観点から、7月30日付で7iD自体のパスワードもリセットした。
7&iの清水健執行役員(デジタル戦略部シニアオフィサー兼セキュリティ対策プロジェクトリーダー)によると、今回の問題を受けて、7iDのセキュリティレベルを改めて検証したという。その結果、7pay以外のサービスの利用では十分なレベルであることが確認できたという。
本当に「リスト型攻撃」だけなのか?
ただ、今回の説明には疑問も残る。1つは、「リスト型攻撃」では説明しづらい不正利用報告がある点だ。
7payでは、7iDのIDとパスワードとは別にチャージ用の「認証パスワード」の設定が必要だ。7&iの説明によると、今回不正利用に遭遇し個別相談をしてきたユーザーのほとんどは、認証パスワードとログインパスワードを同一にしていたという。この場合、リスト攻撃でログインパスワードが判明してしまえば不正利用まである意味“一直線”だ。
しかし、SNSではログインパスワードと認証パスワードを全く別個かつ容易に想像できないものに設定したにも関わらず不正利用されてしまったケースが見受けられる。この場合、リスト型攻撃は事実上困難で、総当たり攻撃をするにしても相当な試行回数が必要となる。そうなると、別のセキュリティ問題があったのではないかという疑いも出てくる。
このことについて、筆者を含め複数の報道関係者が幾度となく質問したが、7&iは社内外のセキュリティ調査の結果として、現時点ではリスト型攻撃の可能性が高いという旨の回答に終始した。調査に携わる「社外」の情報セキュリティ企業についても守秘義務があるため答えられないとした。
もう1つの疑問点が、7pay“以外”のサービスのセキュリティについての説明が不十分なことだ。
先述の通り、7iDのセキュリティは7pay以外のサービスの利用では十分なレベルであることが確認できたという。ただし「何のサービスをやるかによって、要求される(セキュリティ)レベルは変わる」(清水執行役員)こともあり、今回の発表内容からは7iDそのものがどこまでセキュアな状態なのか客観的な判断をしづらい。もっといえばomni7を始めとする7iDを使うその他のサービスがどこまでのセキュリティ体制を構築しているのかも分からない状態でもある。
肝心な部分での説明が不透明であるがゆえに、7iD、ひいてはそれを使う7&iグループのサービスが安心なのかが判然としない――客観的に評価できるよう、7&iは可能な限り多くの情報を公開してほしいと思う。
関連記事
「7pay」がサービス終了 9月末で
セブン・ペイが提供するコード決済サービス「7pay」が開始から2カ月でサービス終了を決定。現在、この件に関する記者説明会を東京都内で開催中だ。
7pay不正アクセスの原因は「リスト型攻撃の可能性が高い」 7iDパスワードを一斉リセット
セブン&アイ・ホールディングスは、7月30日に7iDのパスワードを一斉にリセットした。不正アクセスを受けた「7pay」のセキュリティ対策のため。同社によると、不正アクセスの原因は、リストが攻撃の可能性が高いという。
7pay騒動から見えた、モバイル決済の懸念 生き残るために必要なものとは?
不正利用が発覚した「7pay」の問題が収束する気配が見えない。セブン社内でも混乱が続いているようで、セキュリティ対策と顧客サポートの両面で手が回っていない印象を受ける。この7payを含む「コンビニPay」と、銀行が提供する「銀行Pay」を含めた、モバイル決済全体の課題を整理する。
「7pay」不正利用は全額補償へ 全チャージ&新規登録停止も、サービス自体は継続
セブンペイが、不正利用が発覚した「7pay」の被害状況や、今後の対応について説明した。7月4日6時時点で、不正アクセスが疑われる人数は約900人、不正に決済された金額は約5500万円。全てのチャージと新規登録受付を停止する。
7pay、2段階認証導入やチャージ上限額見直しへ
セブン&アイ・ホールディングスは、「7pay」の不正利用を受け、今後導入予定の対策を案内した。2段階認証の導入、チャージ1回あたりの上限額見直しなどを予定している。包括的なセキュリティ対策を行う組織「セキュリティ対策プロジェクト」も立ち上げた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- 引越し後にNHKが「勝手に住民票を取得」…これって違法? ネット上に広がる違和感と不信感 (2026年06月01日)
- 他社回線につなぐ「JAPANローミング」を台風6号に伴い発動 ドコモ、KDDI、ソフトバンク、楽天モバイル (2026年06月02日)
- 楽天モバイルのauローミングエリア“縮小” 8割超が電波改善を実感も、なお残る「つながらない」の声 (2026年06月02日)
- 腰に装着する送風ギア「FIELD WAIST FAN」 モバイルバッテリーや冷却プレート機能も搭載 (2026年06月02日)
- KDDIが「au Flex Style」で“とがったスマホ”を扱う理由 単に「SIMフリーを持ってきた」とは違う安心感とは (2026年06月03日)
- au PAYとPontaのキャンペーンまとめ【6月2日最新版】 最大39%還元や5000ポイント還元あり (2026年06月02日)
- ポケモンGOの起動画面が「エモい」と話題 10年前のリメークでギャラドスが再登場 (2026年06月02日)
- ソフトバンクが「今回もやる」とGalaxy S26を月額1円で販売――販売方法を早急に見直さないと撤退を迫られるメーカーも (2026年03月08日)
- 「Google Pixel 10a(256GB)」 ソフトバンクにMNPで約11万円→1年約7000円から【スマホお得情報】 (2026年06月02日)
- 「OPPO Find X9 Ultra」、日本では6月18日に発表へ 「FeliCa対応なら買い」「価格次第」などの反応 (2026年06月02日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。