2019年7月1日にサービス開始して間も無く、不正利用が明らかになったことで世間を騒がせている決済サービス「7pay(セブンペイ)」。本日の話題は7payの不正利用が発生した原因についてです。
7pay(セブンペイ)とは?
7payとは、セブン&アイ・ホールディングス(7&i HD)のグループ会社である株式会社セブン・ペイが提供するキャッシュレスでのコード決済サービスのことです。サービス提供元の株式会社セブン・ペイは資本構成がセブン&アイ・ホールディングス(40%)、セブン・フィナンシャルサービス(30%)、セブン銀行(30%)となっており、他社の資本が入っていないという特徴があります。
利用方法としてはスマートフォンの専用アプリ「セブン‐イレブン アプリ」と連動させることで、店頭での支払いをスムーズに行うことができるサービスです。日本国内では既に「LINE Pay」「楽天ペイ」「Origami Pay」「PayPay」といった同様のQRコード決済サービスが普及しつつあり、これらのサービスに並ぶものとしてセブン独自の手段を世間に広めようとしたものといえるでしょう。7pay独自の特徴をあげるとすれば、チャージの手段としてnanacoポイント、クレジットカード、デビットカード、セブン銀行、現金を使えるといったところでしょうか。
不正利用が明らかとなった経緯
7payは2019年7月1日にサービスを開始しました。しかし開始早々の翌2日にはTwitter等のSNS上で「何者かに不正にチャージされ、その残高を利用されてしまった」という報告が上がり、問い合わせが殺到しました。3日にはセブン&アイがクレジットカード経由でのチャージを停止し、さらに4日に開催された記者会見では「現時点での被害者は約900人、被害総額約5500万円」と発表されました。
公式ホームページでは以下のようにアナウンスされています。新規登録、全てのチャージサービスが停止となっています。
2019年7月13日昼時点で公式HPのトップは以下の表示となっています。
不正利用が発生した原因
直接的な原因としては「アカウント管理の脆弱性」と考えられています。7月3日ごろには「メールアドレスと生年月日がわかれば、第三者でも7iDのパスワードを変更することができる」という内容の脆弱性がSNSやネットニュースなどで取り上げられました。「7iD」はセブン&アイが運営する多くのサービスで使われているIDで、今回の7payにも利用されていたことから、今回の事件は7iDに起因するものだという報道が目立つようになりました。
さらに、Facebook等の外部サービスのアカウントを利用した認証にも不備があり、他者の7payアカウントを利用することが可能な状態となっていました。
一般的に決済サービスでは本人認証を厳格にすることで不正利用を防ぐ対策がとられています。有名なものでは「二段階認証」と呼ばれるもので、登録時にパスワード認証だけではなく、携帯番号へのショートメッセージサービス(SMS)を用いることで本人認証を行います。そのため多要素認証とも呼ばれていますね。しかし7payにはそのような機能はなく、悪意のある者がパスワードを総当たりで攻撃すれば、セキュリティの突破は容易であったと考えられます。
なぜ不正利用は防げなかったのか?
今回のようなセキュリティの欠陥を事前に討ち取ることはできなかったのでしょうか?おそらく以下の原因によりセブン&アイは防ぐことはできなかったでしょう。
- 7payを独自技術として内製しようとした
- セブン&アイにはセキュリティリスクを評価する知見を持っていなかった
そもそも7payは、セブン-イレブン・ジャパンの永松文彦社長は、7月1日の会見で「7payは流通系で初めてのスマホ決済サービス」と語っているように、金融やITを本業としない「流通系」で初となるスマホ決済サービスを狙った位置付けの物です。セブン&アイは電子マネーnanacoやクレジットカードの導入実績があったため、ノウハウのないQR決済サービスについて独自開発にこだわることは想像に難しくありません。
しかし残念ながら、セブン&アイは決済サービス導入にあたりセキュリティリスクを十分に考慮できていませんでした。7月4日に行われた記者会見ではどうして二段階認証を実装していなかったのかという素朴な質問に対して、株式会社セブン・ペイ小林強社長は「7payはセブン-イレブンアプリと連携しているので、二段階うんぬんと同じ土俵に比べられるのか、私自身は認識しておりません」と発言しています。個人的な思いとしては「社長が全ての技術要素を把握している必要はない一方、セキュリティ対策等が軽んじられていたのではないか」と勘ぐってしまいます。
セブン&アイは19年10月をめどに7pay単独アプリの配信を始め、利用可能な店舗をグループ内外に広げる計画を発表していました。しかし競合のファミリーマートが独自のスマホ決済「FamiPay(ファミペイ)」を7月1日にリリースすることになり、遅れを取らないよう「セブン‐イレブン アプリ」を利用することで7payリリースを先行しました。つまり現場的にも期限を前倒した厳しい開発スケジュールに追い込まれた状況であったといえます。
(後編に続く)