7payがわずか1ヶ月で「廃止」を発表――不可解な「サービス開始直後の不正アタック」：石川温のスマホ業界新聞

[石川温]

　7payがサービス開始1ヶ月で「廃止」を余儀なくされた。

　7月1日のサービス開始からわずか2日で数千万回というリスト型アタック攻撃をされ、IDとパスワード、さらにはチャージ用のパスワードが突破された。

この記事について

この記事は、毎週土曜日に配信されているメールマガジン「石川温のスマホ業界新聞」から、一部を転載したものです。今回の記事は2019年8月3日に配信されたものです。メールマガジン購読（月額540円・税込）の申し込みはこちらから。

　被害者数は808人、被害総額は3861万円までになった。実際に不正利用されたセブンイレブンの店舗は全国に及ぶという。

　個人的に不可解に感じていたのが、なぜこんなにも早く、犯罪集団から7payが狙われたという点だ。サービス開始してわずか1日、2日の未明には不正アクセスされ、すぐに店舗で不正な買い物が行われている。どう考えても、サービス開始前から狙われていたとしか思えない。

　「なぜ、こんなに早く狙われたのか」という質問に対して、セブン・ペイの奥田裕康営業部長は「事前から第三者の準備がされていたかどうかは想像の域を出ない」と回答した。

　筆者が想像するに、こんなに短時間に集中して不正アクセスできたのは、もしかすると、セブンiDが事前に流出していたのではないか。犯罪組織が事前に大量のセブンiDリストを保有していれば、短時間に効率よく、アタックを仕掛けることができる。

　セブンiDが大量に流出している可能性があったからこそ、7月30日にパスワードの一斉リセットをしたのではないか。

　今回、パスワードリセットをした理由について、セブン＆アイ・ホールディングスの後藤克弘副社長は「セブンiD自体、セキュリティレベルとしてはしっかりとしている認識がある。しかし、やはり安心感という意味で、どこかのタイミングでリセットをしようと思っていた。ただ、大量のお客様が登録されており、その対応準備に時間を要した」と語っていた。

　安心感のためにリセットを施したというが、リセットをすれば、不安に思うユーザーもいるだろうし、それによって、ユーザーがサービスから離脱するリスクもある。

　セキュリティレベルがしっかりしているのなら、なぜこのタイミングで、あえてすべてのユーザーにリセットを強制するのか理解に苦しむ。

　今回の会見を見ていると、早々にサービスを廃止することで、7payを切り捨て闇に葬り、なんとかオムニ7を守っていきたいというセブン＆アイ・ホールディングスの本音が見え隠れする。

　会見ではリスト型アカウントハッキングが原因としているが、SNS上の被害者の声を拾うと、リスト型の攻撃では説明がつかないものも見受けられる。

　おそらく、セブン・ペイとしてはこれ以上、真相を明らかにすることはないだろう。サービス開始1ヶ月で幕引きを図ることで、オムニ7関連への悪影響を食い止めたいのではないか。