「7pay」不正利用は全額補償へ 全チャージ＆新規登録停止も、サービス自体は継続

セブンペイが、不正利用が発覚した「7pay」の被害状況や、今後の対応について説明した。7月4日6時時点で、不正アクセスが疑われる人数は約900人、不正に決済された金額は約5500万円。全てのチャージと新規登録受付を停止する。

[田中聡，ITmedia]

　セブンペイは7月4日、緊急記者会見を開き、不正利用が発覚した決済サービス「7pay」の被害状況や、今後の対応について説明した。

セブン-イレブンで使えるコード決済「7pay」

　7月1日にサービスを開始した7payだが、2日にユーザーから「身に覚えのない取引があった」との問い合わせがあり、社内調査をした結果、第三者が何らかの方法でユーザーのアカウントにアクセスして、決済をしていたことが判明した。

　同社の試算によると、7月4日6時時点で、不正アクセスが疑われる人数は約900人、不正に決済された金額は約5500万円。1万円をチャージをした同日に、ほぼ同額の支払いをした人の数や決済金額をベースに試算したという。なお、不正アクセスに使われたIDは既に凍結している。7payは7月1日〜3日で150万強の登録があった。

　被害に遭ったユーザーへの対応については、全て補償するという。この中にはクレジットカード会社からの補償も含まれるとし、「各論はいろんなステップを踏むと思うが、お客さまへのメッセージ要素が強い」とセブンペイの小林強社長は話す。

　現在、7payではクレジットカードとデビットカードからの現金チャージを停止しているが、4日14時には、セブン-イレブン店頭レジとセブン銀行ATMでのチャージ、nanacoポイントからのチャージも停止。全てのチャージを一時停止している。また、今後は7payの新規登録も停止する。

セブン&アイ・ホールディングスの案内

　7pay自体の利用は停止しておらず、既にチャージ分の決済は行える。一方、「情報流出の認識はない」（小林氏）が、なぜ第三者がアクセスできてしまったのかの原因についてはいまだ「調査中」という状況。そんな中でサービスを継続することで、被害がさらに拡大する恐れもある。なぜサービス自体を停止しないのか。

　小林氏は「全てを止めれば不正が働く余地はなくなるが、利便性とのバランスを見た。クレジットカードとデビットからのチャージを止めたことで、多額の不正利用は減ってきた。不正検知のシステムをより精密にしたこと、さらに被害に遭った場合でも全額を補償することも勘案して、現状のチャージ分をお持ちの人は使える状態にしている」と説明する。

　「最初に見つけた（不正アクセスの）事案のほとんどが中国など海外のIPだった」ため、海外からのアクセスは遮断しているという。執行役員デジタル戦略部 シニアオフィサーの清水健氏によると、「詳細は明かせない」ながら、「パスワード変更もいくつか対応を打っている」という。それでも対策は万全ではなく、「セブンIDのセキュリティが、自信を持って大丈夫だといえる状態にしたい」（小林氏）とした。

　今回の不正アクセスの原因について、7payではアカウント登録時にSMSを活用した二段階認証を導入していなかったことを原因とみる声もある。この点について小林氏は「7payの基本設計として、セブンIDがあり、それを使ってセブン-イレブンアプリを使う。このアプリの一機能としてセブンペイが入っている。セブンID、セブン-イレブンアプリ、7payは連携しているので、2段階認証と同じ土俵で比べられるのかどうかは認識していない」と述べた。

　7payのセキュリティについては「サービスの開始前にシステムのセキュリティ審査をやっており、そこでは脆弱（ぜいじゃく）性は指摘されなかった。しっかり確認した上でスタートした」と清水氏は述べ、7pay開始前に問題はなかったとの認識を示した。また小林氏は「使いやすさを優先して、リスク対策をおろそかにしたわけではない」とも述べた。

　「スマホ決済を失墜させたのでは？」との指摘に対し、小林氏は「残念な事象だが、これをきっかけに安全安心であることを目指し、早急に立て直したい。セキュリティ面を強化しながら、安心して使えるよう早急に立て直したい」と述べる。一刻も早い原因究明と対策強化を待ちたいが、果たして多くのユーザーが安心して7payを使える日は来るのだろうか。