2019年7月1日にサービス開始して間も無く、不正利用が明らかになったことで世間を騒がせている決済サービス「7pay(セブンペイ)」。つい先日、7payが終了となることが発表されましたので、本日は7payの話題です。
7pay(セブンペイ)の不正利用事件とは?
7payで発生した一連の不正利用事件については、以前に記事で紹介しました。
今回はこの一連の事件の最終章です。
7payの終了が正式にアナウンスされた
2019年8月1日、セブン&アイ・ホールディングスは不正ログインの被害が相次いだモバイル決済サービス「7pay」を2019年9月末で終了することを発表しました。
2019年8月3日昼時点で、公式ページは以下の表示となっています。
2019年7月13日昼時点で公式HPのトップは以下の表示でした。
7pay終了への経緯
7payでは2019年7月1日のリリース以降、第三者にアカウントを乗っ取られ、登録していたクレジットカードを不正利用される被害が相次い義ました。不正ログインの被害者数は808人、被害額の合計は約3861万円にもなります(7月31日17時時点)。被害者に対する補償は8月19日から順次手続きを案内するとのことです。
8月1日に行われた記者会見には、セブン&アイ・ホールディングスの後藤克弘副社長(兼 セキュリティ対策プロジェクト総責任者)、清水健氏(セキュリティ対策プロジェクト リーダー)、セブン・ペイ奥田裕康取締役、セブン&アイネット・メディア 田口広人社長が登壇しました。
運営元のセブン・ペイは4日までに、7payへの電子マネーのチャージと新規のアカウント登録を停止しました。当初、二段階認証などの導入により、セキュリティを強化する方針を示していましたが、対策に相応の期間が必要となるということでサービス終了を決定しました。
運営元のセブン・ペイは7payのシステム開発時、「複数端末からのログインへの対策」「二要素認証の導入などの検討」が不十分だったと説明しています。システム開発には、同社グループから各社が参加していたが、「システム全体の最適化を十分に検証できなかった点が、今回の不正ログインの原因の1つではないかと認識している」と説明しています。
本当のところ、なぜ7payは失敗したのか?
セキュリティリスクに対する知見が欠如
まず、今回のようなセキュリティの欠陥をサービス導入以前に討ち取ることはできなかったのでしょうか?以前にも記事にしましたが、おそらく以下の原因によりセブン&アイは防ぐことはできなかったでしょう。
- 7payを独自技術として内製しようとした
- セブン&アイにはセキュリティリスクを評価する知見を持っていなかった
7payの目指したものは、「スマホ決済により消費と金融のビッグデータを紐付けて入手する」ことでした。流通小売業が成長する上で、喉から手が出るほど欲しいデータです。そのため、セブン&アイグループも"自前の7pay"というサービスを確立させることを狙いましたが、結果的には、同時期に開始したファミリーマートが独自のスマホ決済「FamiPay(ファミペイ)」を導入したことで、完全に周回遅れとなってしまいました。
残念ながら、セブン&アイは決済サービス導入にあたり、セキュリティリスクを十分に考慮できていませんでした。7月4日に行われた記者会見ではどうして二段階認証を実装していなかったのかという素朴な質問に対して、株式会社セブン・ペイ小林強社長は「7payはセブン-イレブンアプリと連携しているので、二段階うんぬんと同じ土俵に比べられるのか、私自身は認識しておりません」と発言しています。個人的に思うところとしては、「社長が全ての技術要素を把握している必要はない一方、セキュリティ対策等が現場で軽んじられていたのではないか」と勘ぐってしまいます。
セブン&アイグループはすでに自前の電子マネーとして、"nanaco"導入に成功しています。今回の事件はnanaco導入の成功体験が仇となり、セキュリティ面での対策の重要性を認識できていなかったのではないでしょうか。
サービスインまでの無謀なスケジュールに対応した現場
8月1日の記者会見の中で、次のような質疑応答がありました。
――後発で参入したから焦ったのか
奥田取締役:18年6月にセブン-イレブンアプリが始まり、利用状況や開発体力を確認しながら7payの開発を進めてきた。焦りという認識はない。
しかし、実際には、現場はより危機的なスケジュールに追い込まれていたことがわかります。当初、セブン&アイは2019年10月をめどに7pay単独アプリの配信を始め、利用可能な店舗をグループ内外に広げる計画を発表していました。しかし上述の通り、競合のファミリーマートが独自のスマホ決済「FamiPay(ファミペイ)」を7月1日にリリースすることになり、遅れを取らないよう「セブン‐イレブン アプリ」を利用することで7payリリースを先行しました。
奥田取締役は、「開発当時、2要素2段階認証を入れなかったのは、利用状況モニタリングをすることで守れるという仮説があったから。現時点では、その認識は適切ではなかったと反省している。」と発言していますが、実際はサービス開始を早めるために、現場の判断でセキュリティ対策をオミットしたということも想像に難しくありません。
まとめ
いずれにしろ、セブン&アイグループは「自社でのスマホ決済サービス」「日本での新規決済サービス」いずれの面でも水を差すことになってしまいました。今後、セブン&アイグループがどのように信頼を取り戻すことになるか、注目していきたいと思います。
おわり