【７Pay】　不正利用による被害が発生

どうも。「らくあま」（@rakuamablog）です。

 

本来ならば、今月からサービスを開始したコンビニ最大手であるセブンイレブンのスマホ決済「７pay」の紹介記事を投稿するはずでしたが、昨日サービス開始３日目にして不正利用による被害が発生。金額も数十万円単位と大きな被害を生むことになってしまいました。

急遽、予定していた記事を差し替え、今回の件に関する記事に変更しました。

 

 

報道やSNSによると、被害に遭われた方は「７Pay」に登録した際のログインIDとパスワードを見ず知らずの誰かに乗っ取られてしまい、登録したクレジットカードを不正に利用されてしまったようです。

現在、セブンイレブンでは当面の対応として「７Pay」におけるクレジットカード・デビットカードからのチャージを一時停止状態に。

 

 

 このようなお知らせが来ていますが、

 

SNSには被害と対応への批難の声が上がっています。

 

7payで不正利用が発生。6万円以上の不正チャージと（ログオンできないから確認できないけど）不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn

— 岬太郎 (@frogeye9999) July 2, 2019

 

#7pay

その後冷静にアプリからもカード情報を削除し、パスワード変更し、いったん止まりましたが、被害額は30万円です。3万×10回。セブン-イレブンでは、8万〜9万づつ使われています。店名も時間もわかります。防犯カメラでわかる気がします。

— めるかば (@methuselah3) July 3, 2019

 

https://twitter.com/MinaseNatsuka/status/1146248996047839233

 

7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 https://t.co/mUNXozAt21

— 藤川大祐 (@daisukef) July 3, 2019

 

イメージとしては昔のLINE乗っ取りと同じ感じかも(推測)。メールとパスワードだけで別端末に7payを使えるセブンイレブンアプリが移行できてしまう。犯人は端末を用意し、リストを元に総当たりしてセブンイレブンアプリを乗っ取る形か(まだ検証必要です)セブン側は移行時の電話認証を用意するべき

— 三上洋 (@mikamiyoh) July 3, 2019

 

 

あっさりと乗っ取りが出来てしまう「７Pay」のシステムの脆弱さ。

同じ日にスマホ決済を開始したファミリーマートの「ファミペイ」は、ログインの際にSMS認証がありますが、７Payにはありません。

アプリの「簡単登録」をメリットのように謳っていましたが、他の端末でIDとパスワードを入力したら、何の通知もなく乗っ取りが完了してしまう。セキュリティ面でお粗末過ぎました。

「７Pay」のシステムを開発した担当部署は「PayPay」の前例を知らなかった筈はないと思うのですが・・・

 

 

またこれに加えて事件が発覚してからのセブン側の対応があまりにも酷い。

SNSをみる限り、前日（２日）の２３時頃には不正利用が始まっていたようで、その後の被害が拡大していくのを翌日（３日）の夕方まで把握していなかった筈はなく、公表があまりにも遅かったと思います。

もう少し早く公表すれば被害に遭わずに済んだ人もいたのではないでしょうか。

 

更に、被害を受けている方の緊急専用ダイヤルが通話料が必要なナビダイヤルとは。

どういう神経をしているのでしょうね。ユーザーに対する誠意が感じられません。

 

実は、自分は３日の夕方に「７Pay」のチャージと決済を店頭で利用したところで、その感想を記事に書いており、４日の記事として投稿する予定でした。

因みにクレジットカードはまだ登録していなくて（登録だけはしようかと思ってました・・・汗）、チャージはセブン銀行ATMの現金チャージだったので、被害を受けずに済んだものの、初めて利用して直後のこのニュース報道だったので、驚きました。

 

とりあえずクレジットカード登録しておかなくて本当に良かったです。

しかし何回も言いますが、もう少し早く公表すべきだったのでは。

 

クレジットカード登録してしまった人は、とにかく即刻カードの登録を削除しましょう。

そして既に被害に遭われてしまった方は、カード会社に連絡を。

 

そしてクレジットカードを登録していなくても、既に「７Pay」を利用していて普段パスワードを使いまわししている人は、早急にパスワードを変更しておいたほうが賢明です。

自分もチャージしてしまいましたが、しばらくは利用しません。

 

「７Pay」のセキュリティの脆弱さと認識の甘さ、また事件が起きた際の反応・対策の遅さ、ユーザーへの誠意の低さ。

 

不正に利用された分には保証はされるんでしょうが、上記の件を含めて「７Pay」への信頼はゼロに等しいものになってしまった気がします。

 

７Payというより、セブングループへの信頼ですね。

 

まずは、問題解決するまで、サービスを全て一時停止したほうが良いのではないでしょうか。