7payがわずか1ヶ月で「廃止」を発表――不可解な「サービス開始直後の不正アタック」:石川温のスマホ業界新聞
セブン&アイグループのセブン・ペイが、7月1日にサービスを開始したばかりの決済サービス「7pay」を終了することを決めた。セブン&アイ・ホールディングスは、開始翌日から始まった「リスト型アタック攻撃」による不正利用などへの対策に時間を要することを終了理由として挙げているが、不可解な点が多い。
7payがサービス開始1ヶ月で「廃止」を余儀なくされた。
7月1日のサービス開始からわずか2日で数千万回というリスト型アタック攻撃をされ、IDとパスワード、さらにはチャージ用のパスワードが突破された。
この記事について
この記事は、毎週土曜日に配信されているメールマガジン「石川温のスマホ業界新聞」から、一部を転載したものです。今回の記事は2019年8月3日に配信されたものです。メールマガジン購読(月額540円・税込)の申し込みはこちらから。
被害者数は808人、被害総額は3861万円までになった。実際に不正利用されたセブンイレブンの店舗は全国に及ぶという。
個人的に不可解に感じていたのが、なぜこんなにも早く、犯罪集団から7payが狙われたという点だ。サービス開始してわずか1日、2日の未明には不正アクセスされ、すぐに店舗で不正な買い物が行われている。どう考えても、サービス開始前から狙われていたとしか思えない。
「なぜ、こんなに早く狙われたのか」という質問に対して、セブン・ペイの奥田裕康営業部長は「事前から第三者の準備がされていたかどうかは想像の域を出ない」と回答した。
筆者が想像するに、こんなに短時間に集中して不正アクセスできたのは、もしかすると、セブンiDが事前に流出していたのではないか。犯罪組織が事前に大量のセブンiDリストを保有していれば、短時間に効率よく、アタックを仕掛けることができる。
セブンiDが大量に流出している可能性があったからこそ、7月30日にパスワードの一斉リセットをしたのではないか。
今回、パスワードリセットをした理由について、セブン&アイ・ホールディングスの後藤克弘副社長は「セブンiD自体、セキュリティレベルとしてはしっかりとしている認識がある。しかし、やはり安心感という意味で、どこかのタイミングでリセットをしようと思っていた。ただ、大量のお客様が登録されており、その対応準備に時間を要した」と語っていた。
安心感のためにリセットを施したというが、リセットをすれば、不安に思うユーザーもいるだろうし、それによって、ユーザーがサービスから離脱するリスクもある。
セキュリティレベルがしっかりしているのなら、なぜこのタイミングで、あえてすべてのユーザーにリセットを強制するのか理解に苦しむ。
今回の会見を見ていると、早々にサービスを廃止することで、7payを切り捨て闇に葬り、なんとかオムニ7を守っていきたいというセブン&アイ・ホールディングスの本音が見え隠れする。
会見ではリスト型アカウントハッキングが原因としているが、SNS上の被害者の声を拾うと、リスト型の攻撃では説明がつかないものも見受けられる。
おそらく、セブン・ペイとしてはこれ以上、真相を明らかにすることはないだろう。サービス開始1ヶ月で幕引きを図ることで、オムニ7関連への悪影響を食い止めたいのではないか。
関連記事
- 「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問
不正利用問題の解決に時間がかかるとして、7payのサービス廃止を決定したセブン&アイ・ホールディングス。ある意味で不正の「舞台」となった「7iD」は、同社グループの戦略的基盤……なのだが、安心して使い続けられるのだろうか。 - 「7pay」がサービス終了 9月末で
セブン・ペイが提供するコード決済サービス「7pay」が開始から2カ月でサービス終了を決定。現在、この件に関する記者説明会を東京都内で開催中だ。 - 7pay不正アクセスの原因は「リスト型攻撃の可能性が高い」 7iDパスワードを一斉リセット
セブン&アイ・ホールディングスは、7月30日に7iDのパスワードを一斉にリセットした。不正アクセスを受けた「7pay」のセキュリティ対策のため。同社によると、不正アクセスの原因は、リストが攻撃の可能性が高いという。 - 7pay騒動から見えた、モバイル決済の懸念 生き残るために必要なものとは?
不正利用が発覚した「7pay」の問題が収束する気配が見えない。セブン社内でも混乱が続いているようで、セキュリティ対策と顧客サポートの両面で手が回っていない印象を受ける。この7payを含む「コンビニPay」と、銀行が提供する「銀行Pay」を含めた、モバイル決済全体の課題を整理する。
関連リンク
© DWANGO Co., Ltd.