7pay乗っ取り被害続出の原因、SMS認証がないスマホ決済は危険!

お小遣いサイトの危険性を検証!!小遣い稼ぎ

お小遣いサイトの危険性を検証!!小遣い稼ぎ » モバイルペイメント » 7pay乗っ取り被害続出の原因、SMS認証がないスマホ決済は危険!

7pay乗っ取り被害続出の原因、SMS認証がないスマホ決済は危険!

  • このエントリーをはてなブックマークに追加


※当サイトの一部記事にはPRが含まれます

7pay乗っ取り被害続出

 

セブンイレブンのスマホ決済「7pay」がリリースされたのが7月1日。

 

不正利用の被害に遭ったとされる日時が7月3日早朝。

 

リリースから僅か3日での乗っ取り被害に、被害に遭われた方々がTwitterで情報を公開してくれており、ユーザー同士で情報交換をするしかないのが現状です。

 

PayPayの大量のクレジットカード不正利用という反面教師とする事例があったにも関わらず、またスマホ決済で不正利用されてしまったのか、原因とスマホ決済の危険性について検証します。

 

全被害補償へ

7pay補償決定

 

7payを運営する株式会社セブン&アイ・ホールディングス傘下の株式会社セブン・ペイが、7/4ついに不正アクセスによる被害・補償についてホームページで発表、さらに緊急記者会見が行われた。

 

不正利用の第一報があったのは7月2日の夜だったようで「身に覚えのない取引があったようだ」という問い合わせがあったという。

 

7月3日に社内調査を実施したところ、不正利用が発覚。

 

不正アクセスが疑われる人数や金額は以下の通りです。

 

7pay登録者数が、7月3日までで150万強が登録しているという。

 

  • 不正アクセス件数:約900名
  • 被害額:約5,500万円

(2019年7月4日6:00現在)

 

 

被害に遭われた方への対応としては、全ての被害に対して補償を行っていくという発表がありました!

 

今後は、現在停止しているのはクレジットカード/デビットカードからのチャージだけですが、セブンイレブン店頭レジ・セブン銀行ATMでの現金チャージ・nanacoポイントからのチャージといった全てのチャージを7月4日14時に一時停止!

 

7payへの新規登録についても7月4日18時頃に一時停止となりました。

 

すでにチャージ済みの金額については、利用可能ということです。

 

 

問い合わせ窓口が変更されましたのでお知らせします。

【7月4日(木)9:00以降~】0120-192-044 ※24時間/年中無休

 

緊急記者会見

(Q)パスワード変更など指摘されている部分に関して対策した部分は?

(A)海外からのアクセスは遮断しました。パスワードの変更等々に関しても…あまり具体的に言いますと今後の対策に響きますので詳細省きますけども、いくつか対応を行ったところです。

 

記者の方から声が小さいと指摘されていましたが、どうも非表示にしていただけだという情報もあったので、とりあえずの対策しかしていなかったので大きな声では言えなかったのかな。

 

 

(Q)なぜ買い物を続けられる状態にしているのですか?

(A)お客様の利便性の絡み、もう一つが多額な不正が2日目になると相当減っているということが事実として判明しておりますので、現状のチャージをお持ちのお客様は使える状態にしている

 

 

(Q)ユーザー登録時に二段階認証をしているサービスがほとんどだと思うのですが、7payでそれをされなかった理由は?

(A)社長:二段階認証…?

 

 

(Q)コンビニで万単位での買い物はなかなかないと思うのですが、実際被害が想定される決済状況としては何が買われていたんですか?

(A)換金性というところでは、たばこというのが対応しやすい商品だろうと推測してます。一度でたばこで10万円という被害もある。

 

 

(Q)PayPayのときにも利便性を追求しての不正というのがあったと思うんですが、今回も利便性からセキュリティが甘くなってしまったのでは?

(A)使いやすい=リスク面でおろそかにしたという理解はしておりません

 

 

(Q)不正アクセスは海外から?

(A)7payの不正検知システムで不正であろうと思われる項目をあらいだしていく中で、最初に見つけた事案がほどんどが海外のIPからのものだったので、最初に海外IPからのチャージをストップした。中国など。

 

 

(Q)現時点でセキュリティに不備があったという認識はあるのでしょうか?

(A)現時点では調査をした上でお答えしたいと思っています。始める前にはシステムの脆弱性についてはきちんと診断をしています

 

 

(Q)数分間で30万円チャージされたという事例もあったりするようですが

(A)クレジットカードからのチャージというのは、1回の上限が10万円で1日3回まではできる

 

 

(Q)被害補償を受けるためには?

(A)まずは被害のアカウントの特定を最優先でしておりますので、その特定が済んでから1人1人に対してどういう補償をするのか、それに伴う手続きが具体的にどうなのかというのは今から詰めていくところ。一般論でいえば警察に被害届を出していただくというのは一つのプロセスとしてあると思います。

 

 

(Q)タバコやプリペイドカードなどの大量買いに対して購入を止めるなどの対応は?

(A)現段階においては通常通り承ております。今後の対応について本部でこの対応についても検討中です

 

 7payが乗っ取られた原因を検証

7pay

 

 メールアドレス・パスワード入力だけで登録終了

メールアドレス

 

私の場合、セブンイレブンアプリをダウンロードしていなかったので、7payを利用開始するにあたりセブンイレブンアプリをダウンロードし会員登録するところからスタートしました。

 

7pay(セブンペイ)の危険性と評判、メリット・デメリットを徹底解説!

 

こちらの記事で、7payに登録するまでを画像付きで紹介しているのですが、セブンイレブンアプリの会員登録はメールアドレス・パスワードさえ登録すれば完了することができるのです。

 

都道府県・生年月日・性別を入力するページがありますが入力しなくても次へ進むことができ、その場合は、

 

《7iD会員登録時に未設定の方》

生年月日:2019/01/01、お住まいの都道府県:東京都、性別:女性

 

自動でこのように登録されてしまう為、これが後々問題となってくるのですが、そこについては後述します。

 

 

話を元に戻すと、メールアドレスとパスワード入力でアプリの会員登録完了後、7payの登録に進むのですが、7payの場合利用規約に同意するだけで完了してしまう簡単さ。

 

つまり、アプリに登録したメールアドレス・パスワードが過去に漏洩している情報と一致している場合、第三者がログインできてしまい簡単に7payを乗っ取ることが可能なのです。

 

脆弱性があったのは「7iD」?

omni7

 

7月3日時点で指摘されている方もいらっしゃいましたが、事件発覚から数日経ち「脆弱性があったのは7payじゃなくてomni7(7iD)側なんじゃないのか?」という意見が多くなってきました。

 

7payを利用するには、セブンイレブンアプリで会員登録をする必要がありますが、セブン&アイ・ホールディングスが2015年頃から開始した総合通販サイト「omni7(オムニ7)」を利用する為に必要な7iDと共通となっている為、急いで7payに登録したクレジットカード情報を削除したり、解約したとしても危険性が高いのは「7iD」のほうなので、もしも過去にomni7でセブンネットショッピングやアカチャンホンポネット、ロフトなど、セブン&アイグループ以外の出店サイト[omniモール]を利用したことがある方で、クレジットカードを利用してお買い物をした場合、omni7にもクレジットカード情報が保存されていることになります。

 

あと、nanacoやnanacoモバイルでクレジットカードチャージしたことがある方もクレジットカード情報を削除しましょう!

 

 

omni7でも7pay同様、[パスワードを忘れた場合]から登録したメールアドレス以外のメールアドレスにパスワード変更メールを送ることができる仕様になっていました!

 

現在は[送付先メールアドレス]という他メールアドレスを指定できる項目は表示されていませんが、どうもこの項目を消したわけではなく、見えないように隠しただけで少し書き換えれば動作する可能性が高い状態で、あの緊急記者会見に臨んでいたようです。

 

認証パスワードが突破可能

壁2

 

今回、不正利用被害が多く報告されているのが「クレジットカードからのチャージによる被害」です。

 

7payでは、登録したクレジットカードから金額を設定し、自分で設定した認証パスワードを入力することでチャージが可能となります。

 

メールアドレス・パスワードでログインできたとしても、この認証パスワードを突破しないとチャージすることはできません。

 

しかし、この認証パスワードがログイン時のIDやパスワードと同じだったり、誕生日だったりと簡単に予想できてしまうような認証パスワードだった場合は簡単に突破できてしまうのはお分かりいただけると思います。

 

セブンイレブンアプリ登録時に正確な誕生日を入力した場合、アプリ左上にある三本線から7iD会員登録情報に何の確認(二段階認証など)もなく見ることができるので、そこから第三者が情報を得ることも簡単にできてしまいます。

 

 

認証パスワードを設定する際に、認証パスワードを忘れたときに本人確認として[秘密の質問と答え]も設定するのですが、これまた答えを分かりやすいものにしてしまうと総当たりで突破できてしまい第三者に認証パスワードを変更されてしまうという危険性もあるので、秘密の質問の答えを忘れることも危険ではありますが第三者が簡単に予想できてしまうような答えは設定しまいように注意してください。

 

「認証パスワードがロックされた」という通知メールが届いた場合は、不正アクセスの可能性が高いのですぐに運営に連絡をしましょう!

 

第三者がパスワードを変更可

メールアドレスは分かっていて、パスワードは分からない状態でも第三者によって簡単にパスワードを変更されてしまう危険性があったのです。

 

生年月日・電話番号・登録メールアドレスが第三者に知られている場合、[送付先メールアドレス]に第三者側のメールアドレスを登録すると第三者側にパスワード再設定のメールが届いてしまうのです。

 

先程触れた「会員登録時に生年月日を未設定の場合は2019/01/01に設定されている」という部分がここで悪用されてしまう危険があるのです!

 

 

現在では、徹夜で対策したのか[送付先メールアドレス]欄が削除されているので、登録したメールアドレスにしか送ることができないように変更されている。

 

 

なぜ、パスワード変更を別のメールアドレスに送信できる機能を付けたのか?

 

メールアドレスや個人情報が流出していることを知らないのか?と思うような第三者からすると便利な機能付きである意味驚いたのではないでしょうか。

 

他端末でログイン可能

詐欺

 

7payの仕様だったら、メールアドレスとパスワードが分かれば他端末でログイン出来てしまうのではないか?と思い、我が家にあるiPhoneとAndroidで検証してみることに。

 

まずは会員登録をしたiPhoneでセブンイレブンアプリを起動した状態のまま、AndroidでiPhone側でログインしたものと同じメールアドレス・パスワードでログインしてみると、普通にAndroid側で7payを起動することができてしまいました。

 

iPhone側はエラーとなり再度ログインが求められました。

 

エラー

 

そこで今後は、iPhone側でメールアドレス・パスワードを入力してログインしてみることに。

 

やはりAndroid側ではエラーとなり、iPhone側で7payを起動することに成功!

 

7/4午前中に検証しログインできる状態なので、チャージした金額であれば今でも第三者が利用できる危険性があります!

 

 

画像のような「エラーが発生しました。再度ログインし直してください。」という表示だけで、乗っ取られたなんて分かりますか?

 

iPhone→Android→iPhoneと検証の為にログインを試しましたが、登録したメールアドレス宛に「他端末からログインがありました」なんてメールも届いていない為、寝ている時間や仕事中の時間を狙われた場合、乗っ取られたとしてもまったく分からないのではないでしょうか。

 

セブン側は補償してくれるのか

セブンイレブン

 

7payの利用規約をみると分かりますが、基本第三者による使用であっても補償はしてもらえません!

 

利用規約補償

 

3.盗難、紛失その他の事由により第三者に利用端末を使用されたことによってユーザーの7payマネーが第三者に使用された場合であっても、当社は一切責任を負わないものとします。

 

 

7payを利用開始する際に、この利用規約に同意してしまっているのですが、今回の被害については7pay側にも責任があるのでは?と思うよな未完成な決済アプリを提供していますが、補償面についてはどうなるのでしょうか?

 

セブン側の対応が悪いという声も多く、PayPayも自分たちの非を認め全額補償しましたが、7payもメールアドレスとパスワードさえ分かれば他端末で第三者が利用できる危険なアプリをユーザーに使用させたという非を認めて補償でもしないと、スマホ決済という戦場で勝ち抜くことは不可能でしょう。

 

SMS認証でもあれば

SNS認証

 

携帯電話に届くSMSに表示されている数字や文字列を入力したり、URLをタップすることで認証することができるSMS認証があれば、パスワード変更時、チャージ時にあなたのスマホ宛に届くSMSで認証を行わないと実行できないので、不正利用を防ぐことができたのではないでしょうか。

 

面倒ですよ、正直。

 

でも、あなたのスマホ以外でも利用できてしまうスマホ決済で、あなたの大切なお金が何十万円と無くなるほうが面倒だと思います。

 

7/11のセブンイレブンの日にどうしてもリリースなり、キャンペーンを実施したいという上層部のワガママに振り回されたのかもしれないが、パスワードだけに頼ったスマホ決済では犯罪は防止できないということが、信用をそこなうことで分かってもらえたのではないでしょうか。

 

二段階認証の導入予定があるようです。

 

他にも、チャージ1回あたりの上限金額の見直しも行っているということでした。

 

日本人はやはり現金?!

チャージ方法

 

リリースされるたびに狙われる「スマホ決済」。

 

漏洩したクレジット情報で何度もチャレンジできる仕様によって不正され、アカウント乗っ取りが簡単な仕様によって不正され、結局不正によってクレジットカードからのチャージが停止され現金でチャージすることに…。

 

本当にキャッシュレスなんて世界くるのでしょうか?

 

圏外で使えなくなり、急なメンテナンスでは使えなくなり、対象店舗じゃなかったり、怖くて現金を持ってないと買い物なんて行けたもんじゃないですよね。

 

私もいつもいく店舗だったり、レジに行く前にアプリを起動して確認したりと、まだまだスマホ決済を信用できていない状態ではあります。

 

 

結局、クレジットカードではスキミングされカード情報が盗まれ、スマホ決済では不正利用され、一番信用できるのは【現金】という考えになってしまうのはしょうがないようにも思います。

 

そして、今回の7Payの乗っ取り被害によって、同日にスマホ決済をリリースした「ファミペイ」は話題をすべて7payに持っていかれてしまいましたね。

 

関連記事:スマホ決済の危険性、紛失・不正利用・詐欺に防止策はあるのか?

 

関連記事:親目線でスマホ決済の危険性を検証!2019年おすすめNo.1はこれだ!

 


2023年、当サイトで最も推奨するのはモッピーです。
モッピーは、お小遣いサイトとして現在一番輝いていて、PCはもちろん、スマホ・タブレットで真価を発揮するお小遣いサイトです♪

 

  • このエントリーをはてなブックマークに追加

この記事に関連する記事一覧

コメントフォーム

※折角コメント頂いたのに表示できない理由

名前

 

メールアドレス

 

URL

 

 

コメント

おすすめお小遣いサイト2024

当サイトで総数200以上のお小遣いサイト・アンケートサイト・お小遣いアプリ等様々なジャンルから危険性を検証し、最も安全、稼げると判断したお小遣いサイトランキング2024年バージョンです♪

おすすめお小遣いサイトランキング2023年

おすすめお小遣いサイトランキング2024へ

あいつ一人を超えるお小遣いサイト

モッピー(moppy)
クリックポイント、広告の還元率、紹介制度共に全て良く、確実に2023年においてもその猛威を奮っているだろう。

今後紹介制度を利用したりを考えると、登録しておくべき
スーパーお小遣いサイトです♪
クリックの効率が良すぎです♪

モッピー!お金がたまるポイントサイト

モッピーの危険性と評価・評判について

もう全部あいつ一人でいいんじゃないかなサイト

ポイントタウン
※当サイトからの特典で、登録時に350円相当のポイントを獲得できます!!
何と言っても楽天銀行の最低換金額が100円な所が特徴。

初換金する為のハードルが低く、更に当サイトのバナーから登録頂くと、登録=350円相当のポイントを獲得できいきなり換金可能です♪

大手GMOが本気を出して全てのサービスが水準以上の、もうこれだけでいいんじゃなかなと思わせられるお小遣いサイトです♪

ポイントでお小遣い稼ぎ|ポイントタウン

ポイントタウンの危険性と評価について

広告利用・アプリインストール用お小遣いサイト

ポイントインカム

スマホ案件にも強く、常に改善傾向な上、運営会社の対応が丁寧なのが決め手です♪

ショッピング及び広告利用・アプリインストールをメインに利用するお小遣いサイトはこうでないとと思います♪

暮らしをおトクにかえていく|ポイントインカム

ポイントインカムの稼ぎ方と評判について

身近に感じられるお小遣いサイト

アメフリ
お小遣いサイトとして成長してきているのもさることながら、これ程お小遣いサイト担当の方を身近に感じられるお小遣いサイトはアメフリです。
密かに登録情報はげん玉よりも少ないです♪
その気さくさは、頼み込めばメル友にでもなってくれんじゃないかという勢いです♪

アメフリ

アメフリの危険性と評価・評判について

若干のつぶやき
8/6:本日は、広島に原爆投下されてから78年が経過した日。広島県民としては、78年もインターネット検索しないでもわかる一般常識です!!というのは私達のような年代で、子どもたちにとってはもうなんでもない1日、黙祷の前には叩き起こさないとならない状態です。完璧余談ですが、2022年8月6日にはワンピースの映画、本日ではゴムゴムのギア5がついに登場!!子どもたちはこっちのほうが気になって仕方がない様子でした。私も気にならないと言えば嘘になりますが、もう78年も経過してしまったという気もしますね。私が子供の頃といえば、そこら変にいるおじいちゃんおばあちゃんであれば、当時事を覚えている方も多かったです。当サイトで何回か書いたかもしれませんが、宮島の方まで逃げてきた方もいらっしゃったようですし、私の祖母も原爆手帳を持っていました。78年ともなると、実際に体験した方の高齢化も進み、子どもたちの関心が薄い事も時代を感じます。
人気記事一覧
注目記事一覧
最近のコメント
プロフィール

プロフィール

デンジャーマン

デンジャーの化身

お小遣いサイトをなんでも検証します

デンジャーマンのプロフィール

アクセスカウンター
  • 21058456総閲覧数:
  • 409今日の閲覧数:
  • 2660昨日の閲覧数:
  • 6現在オンライン中の人数:
  • 2013/10/25カウント開始日:
カテゴリー
お小遣いサイトの歩み