今日から始めるモバイル決済
ニュース
» 2019年08月09日 10時00分 公開

石川温のスマホ業界新聞:7payがわずか1ヶ月で「廃止」を発表――不可解な「サービス開始直後の不正アタック」

セブン&アイグループのセブン・ペイが、7月1日にサービスを開始したばかりの決済サービス「7pay」を終了することを決めた。セブン&アイ・ホールディングスは、開始翌日から始まった「リスト型アタック攻撃」による不正利用などへの対策に時間を要することを終了理由として挙げているが、不可解な点が多い。

[石川温]
「石川温のスマホ業界新聞」

 7payがサービス開始1ヶ月で「廃止」を余儀なくされた。

 7月1日のサービス開始からわずか2日で数千万回というリスト型アタック攻撃をされ、IDとパスワード、さらにはチャージ用のパスワードが突破された。

この記事について

この記事は、毎週土曜日に配信されているメールマガジン「石川温のスマホ業界新聞」から、一部を転載したものです。今回の記事は2019年8月3日に配信されたものです。メールマガジン購読(月額540円・税込)の申し込みはこちらから。


 被害者数は808人、被害総額は3861万円までになった。実際に不正利用されたセブンイレブンの店舗は全国に及ぶという。

 個人的に不可解に感じていたのが、なぜこんなにも早く、犯罪集団から7payが狙われたという点だ。サービス開始してわずか1日、2日の未明には不正アクセスされ、すぐに店舗で不正な買い物が行われている。どう考えても、サービス開始前から狙われていたとしか思えない。

 「なぜ、こんなに早く狙われたのか」という質問に対して、セブン・ペイの奥田裕康営業部長は「事前から第三者の準備がされていたかどうかは想像の域を出ない」と回答した。

 筆者が想像するに、こんなに短時間に集中して不正アクセスできたのは、もしかすると、セブンiDが事前に流出していたのではないか。犯罪組織が事前に大量のセブンiDリストを保有していれば、短時間に効率よく、アタックを仕掛けることができる。

 セブンiDが大量に流出している可能性があったからこそ、7月30日にパスワードの一斉リセットをしたのではないか。

 今回、パスワードリセットをした理由について、セブン&アイ・ホールディングスの後藤克弘副社長は「セブンiD自体、セキュリティレベルとしてはしっかりとしている認識がある。しかし、やはり安心感という意味で、どこかのタイミングでリセットをしようと思っていた。ただ、大量のお客様が登録されており、その対応準備に時間を要した」と語っていた。

 安心感のためにリセットを施したというが、リセットをすれば、不安に思うユーザーもいるだろうし、それによって、ユーザーがサービスから離脱するリスクもある。

 セキュリティレベルがしっかりしているのなら、なぜこのタイミングで、あえてすべてのユーザーにリセットを強制するのか理解に苦しむ。

 今回の会見を見ていると、早々にサービスを廃止することで、7payを切り捨て闇に葬り、なんとかオムニ7を守っていきたいというセブン&アイ・ホールディングスの本音が見え隠れする。

 会見ではリスト型アカウントハッキングが原因としているが、SNS上の被害者の声を拾うと、リスト型の攻撃では説明がつかないものも見受けられる。

 おそらく、セブン・ペイとしてはこれ以上、真相を明らかにすることはないだろう。サービス開始1ヶ月で幕引きを図ることで、オムニ7関連への悪影響を食い止めたいのではないか。

© DWANGO Co., Ltd.

この記事が気に入ったら
ITmedia Mobile に「いいね!」しよう