7pay乗っ取り被害続出の原因、SMS認証がないスマホ決済は危険！

セブンイレブンのスマホ決済「7pay」がリリースされたのが7月1日。

不正利用の被害に遭ったとされる日時が7月3日早朝。

リリースから僅か3日での乗っ取り被害に、被害に遭われた方々がTwitterで情報を公開してくれており、ユーザー同士で情報交換をするしかないのが現状です。

PayPayの大量のクレジットカード不正利用という反面教師とする事例があったにも関わらず、またスマホ決済で不正利用されてしまったのか、原因とスマホ決済の危険性について検証します。

全被害補償へ

7payを運営する株式会社セブン＆アイ・ホールディングス傘下の株式会社セブン・ペイが、7/4ついに不正アクセスによる被害・補償についてホームページで発表、さらに緊急記者会見が行われた。

不正利用の第一報があったのは7月2日の夜だったようで「身に覚えのない取引があったようだ」という問い合わせがあったという。

7月3日に社内調査を実施したところ、不正利用が発覚。

不正アクセスが疑われる人数や金額は以下の通りです。

7pay登録者数が、7月3日までで150万強が登録しているという。

• 不正アクセス件数：約900名
• 被害額：約5,500万円

(2019年7月4日6:00現在)

被害に遭われた方への対応としては、全ての被害に対して補償を行っていくという発表がありました！

今後は、現在停止しているのはクレジットカード/デビットカードからのチャージだけですが、セブンイレブン店頭レジ・セブン銀行ATMでの現金チャージ・nanacoポイントからのチャージといった全てのチャージを7月4日14時に一時停止！

7payへの新規登録についても7月4日18時頃に一時停止となりました。

すでにチャージ済みの金額については、利用可能ということです。

問い合わせ窓口が変更されましたのでお知らせします。

【7月4日(木)9:00以降~】0120-192-044　※24時間/年中無休

緊急記者会見

(Q)パスワード変更など指摘されている部分に関して対策した部分は？

(A)海外からのアクセスは遮断しました。パスワードの変更等々に関しても…あまり具体的に言いますと今後の対策に響きますので詳細省きますけども、いくつか対応を行ったところです。

記者の方から声が小さいと指摘されていましたが、どうも非表示にしていただけだという情報もあったので、とりあえずの対策しかしていなかったので大きな声では言えなかったのかな。

(Q)なぜ買い物を続けられる状態にしているのですか？

(A)お客様の利便性の絡み、もう一つが多額な不正が2日目になると相当減っているということが事実として判明しておりますので、現状のチャージをお持ちのお客様は使える状態にしている

(Q)ユーザー登録時に二段階認証をしているサービスがほとんどだと思うのですが、7payでそれをされなかった理由は？

(A)社長：二段階認証…？

(Q)コンビニで万単位での買い物はなかなかないと思うのですが、実際被害が想定される決済状況としては何が買われていたんですか？

(A)換金性というところでは、たばこというのが対応しやすい商品だろうと推測してます。一度でたばこで10万円という被害もある。

(Q)PayPayのときにも利便性を追求しての不正というのがあったと思うんですが、今回も利便性からセキュリティが甘くなってしまったのでは？

(A)使いやすい＝リスク面でおろそかにしたという理解はしておりません

(Q)不正アクセスは海外から？

(A)7payの不正検知システムで不正であろうと思われる項目をあらいだしていく中で、最初に見つけた事案がほどんどが海外のIPからのものだったので、最初に海外IPからのチャージをストップした。中国など。

(Q)現時点でセキュリティに不備があったという認識はあるのでしょうか？

(A)現時点では調査をした上でお答えしたいと思っています。始める前にはシステムの脆弱性についてはきちんと診断をしています

(Q)数分間で30万円チャージされたという事例もあったりするようですが

(A)クレジットカードからのチャージというのは、1回の上限が10万円で1日3回まではできる

(Q)被害補償を受けるためには？

(A)まずは被害のアカウントの特定を最優先でしておりますので、その特定が済んでから1人1人に対してどういう補償をするのか、それに伴う手続きが具体的にどうなのかというのは今から詰めていくところ。一般論でいえば警察に被害届を出していただくというのは一つのプロセスとしてあると思います。

(Q)タバコやプリペイドカードなどの大量買いに対して購入を止めるなどの対応は？

(A)現段階においては通常通り承ております。今後の対応について本部でこの対応についても検討中です

 7payが乗っ取られた原因を検証

 メールアドレス・パスワード入力だけで登録終了

私の場合、セブンイレブンアプリをダウンロードしていなかったので、7payを利用開始するにあたりセブンイレブンアプリをダウンロードし会員登録するところからスタートしました。

7pay(セブンペイ)の危険性と評判、メリット・デメリットを徹底解説！

こちらの記事で、7payに登録するまでを画像付きで紹介しているのですが、セブンイレブンアプリの会員登録はメールアドレス・パスワードさえ登録すれば完了することができるのです。

都道府県・生年月日・性別を入力するページがありますが入力しなくても次へ進むことができ、その場合は、

自動でこのように登録されてしまう為、これが後々問題となってくるのですが、そこについては後述します。

話を元に戻すと、メールアドレスとパスワード入力でアプリの会員登録完了後、7payの登録に進むのですが、7payの場合利用規約に同意するだけで完了してしまう簡単さ。

つまり、アプリに登録したメールアドレス・パスワードが過去に漏洩している情報と一致している場合、第三者がログインできてしまい簡単に7payを乗っ取ることが可能なのです。

脆弱性があったのは「7iD」？

7月3日時点で指摘されている方もいらっしゃいましたが、事件発覚から数日経ち「脆弱性があったのは7payじゃなくてomni7(7iD)側なんじゃないのか？」という意見が多くなってきました。

7payを利用するには、セブンイレブンアプリで会員登録をする必要がありますが、セブン＆アイ・ホールディングスが2015年頃から開始した総合通販サイト「omni7(オムニ7)」を利用する為に必要な7iDと共通となっている為、急いで7payに登録したクレジットカード情報を削除したり、解約したとしても危険性が高いのは「7iD」のほうなので、もしも過去にomni7でセブンネットショッピングやアカチャンホンポネット、ロフトなど、セブン＆アイグループ以外の出店サイト[omniモール]を利用したことがある方で、クレジットカードを利用してお買い物をした場合、omni7にもクレジットカード情報が保存されていることになります。

あと、nanacoやnanacoモバイルでクレジットカードチャージしたことがある方もクレジットカード情報を削除しましょう！

omni7でも7pay同様、[パスワードを忘れた場合]から登録したメールアドレス以外のメールアドレスにパスワード変更メールを送ることができる仕様になっていました！

現在は[送付先メールアドレス]という他メールアドレスを指定できる項目は表示されていませんが、どうもこの項目を消したわけではなく、見えないように隠しただけで少し書き換えれば動作する可能性が高い状態で、あの緊急記者会見に臨んでいたようです。

認証パスワードが突破可能

今回、不正利用被害が多く報告されているのが「クレジットカードからのチャージによる被害」です。

7payでは、登録したクレジットカードから金額を設定し、自分で設定した認証パスワードを入力することでチャージが可能となります。

メールアドレス・パスワードでログインできたとしても、この認証パスワードを突破しないとチャージすることはできません。

しかし、この認証パスワードがログイン時のIDやパスワードと同じだったり、誕生日だったりと簡単に予想できてしまうような認証パスワードだった場合は簡単に突破できてしまうのはお分かりいただけると思います。

セブンイレブンアプリ登録時に正確な誕生日を入力した場合、アプリ左上にある三本線から7iD会員登録情報に何の確認(二段階認証など)もなく見ることができるので、そこから第三者が情報を得ることも簡単にできてしまいます。

認証パスワードを設定する際に、認証パスワードを忘れたときに本人確認として[秘密の質問と答え]も設定するのですが、これまた答えを分かりやすいものにしてしまうと総当たりで突破できてしまい第三者に認証パスワードを変更されてしまうという危険性もあるので、秘密の質問の答えを忘れることも危険ではありますが第三者が簡単に予想できてしまうような答えは設定しまいように注意してください。

「認証パスワードがロックされた」という通知メールが届いた場合は、不正アクセスの可能性が高いのですぐに運営に連絡をしましょう！

第三者がパスワードを変更可

メールアドレスは分かっていて、パスワードは分からない状態でも第三者によって簡単にパスワードを変更されてしまう危険性があったのです。

生年月日・電話番号・登録メールアドレスが第三者に知られている場合、[送付先メールアドレス]に第三者側のメールアドレスを登録すると第三者側にパスワード再設定のメールが届いてしまうのです。

先程触れた「会員登録時に生年月日を未設定の場合は2019/01/01に設定されている」という部分がここで悪用されてしまう危険があるのです！

現在では、徹夜で対策したのか[送付先メールアドレス]欄が削除されているので、登録したメールアドレスにしか送ることができないように変更されている。

なぜ、パスワード変更を別のメールアドレスに送信できる機能を付けたのか？

メールアドレスや個人情報が流出していることを知らないのか？と思うような第三者からすると便利な機能付きである意味驚いたのではないでしょうか。

他端末でログイン可能

7payの仕様だったら、メールアドレスとパスワードが分かれば他端末でログイン出来てしまうのではないか？と思い、我が家にあるiPhoneとAndroidで検証してみることに。

まずは会員登録をしたiPhoneでセブンイレブンアプリを起動した状態のまま、AndroidでiPhone側でログインしたものと同じメールアドレス・パスワードでログインしてみると、普通にAndroid側で7payを起動することができてしまいました。

iPhone側はエラーとなり再度ログインが求められました。

そこで今後は、iPhone側でメールアドレス・パスワードを入力してログインしてみることに。

やはりAndroid側ではエラーとなり、iPhone側で7payを起動することに成功！

7/4午前中に検証しログインできる状態なので、チャージした金額であれば今でも第三者が利用できる危険性があります！

画像のような「エラーが発生しました。再度ログインし直してください。」という表示だけで、乗っ取られたなんて分かりますか？

iPhone→Android→iPhoneと検証の為にログインを試しましたが、登録したメールアドレス宛に「他端末からログインがありました」なんてメールも届いていない為、寝ている時間や仕事中の時間を狙われた場合、乗っ取られたとしてもまったく分からないのではないでしょうか。

セブン側は補償してくれるのか

7payの利用規約をみると分かりますが、基本第三者による使用であっても補償はしてもらえません！

3.盗難、紛失その他の事由により第三者に利用端末を使用されたことによってユーザーの7payマネーが第三者に使用された場合であっても、当社は一切責任を負わないものとします。

7payを利用開始する際に、この利用規約に同意してしまっているのですが、今回の被害については7pay側にも責任があるのでは？と思うよな未完成な決済アプリを提供していますが、補償面についてはどうなるのでしょうか？

セブン側の対応が悪いという声も多く、PayPayも自分たちの非を認め全額補償しましたが、7payもメールアドレスとパスワードさえ分かれば他端末で第三者が利用できる危険なアプリをユーザーに使用させたという非を認めて補償でもしないと、スマホ決済という戦場で勝ち抜くことは不可能でしょう。

SMS認証でもあれば

携帯電話に届くSMSに表示されている数字や文字列を入力したり、URLをタップすることで認証することができるSMS認証があれば、パスワード変更時、チャージ時にあなたのスマホ宛に届くSMSで認証を行わないと実行できないので、不正利用を防ぐことができたのではないでしょうか。

面倒ですよ、正直。

でも、あなたのスマホ以外でも利用できてしまうスマホ決済で、あなたの大切なお金が何十万円と無くなるほうが面倒だと思います。

7/11のセブンイレブンの日にどうしてもリリースなり、キャンペーンを実施したいという上層部のワガママに振り回されたのかもしれないが、パスワードだけに頼ったスマホ決済では犯罪は防止できないということが、信用をそこなうことで分かってもらえたのではないでしょうか。

二段階認証の導入予定があるようです。

他にも、チャージ1回あたりの上限金額の見直しも行っているということでした。

日本人はやはり現金?!

リリースされるたびに狙われる「スマホ決済」。

漏洩したクレジット情報で何度もチャレンジできる仕様によって不正され、アカウント乗っ取りが簡単な仕様によって不正され、結局不正によってクレジットカードからのチャージが停止され現金でチャージすることに…。

本当にキャッシュレスなんて世界くるのでしょうか？

圏外で使えなくなり、急なメンテナンスでは使えなくなり、対象店舗じゃなかったり、怖くて現金を持ってないと買い物なんて行けたもんじゃないですよね。

私もいつもいく店舗だったり、レジに行く前にアプリを起動して確認したりと、まだまだスマホ決済を信用できていない状態ではあります。

結局、クレジットカードではスキミングされカード情報が盗まれ、スマホ決済では不正利用され、一番信用できるのは【現金】という考えになってしまうのはしょうがないようにも思います。

そして、今回の7Payの乗っ取り被害によって、同日にスマホ決済をリリースした「ファミペイ」は話題をすべて7payに持っていかれてしまいましたね。

関連記事：スマホ決済の危険性、紛失・不正利用・詐欺に防止策はあるのか？

関連記事：親目線でスマホ決済の危険性を検証!2019年おすすめNo.1はこれだ！