セブン&アイHDが7payの不正アクセス・不正利用を公式発表!原因などは調査中

セブン&アイ・ホールディングスは3日、同社がコンビニエンスストア「セブン-イレブン」にて7月1日より導入している独自のスマートフォン(スマホ)など向けコード決済サービス「7pay」において一部のアカウントが第三者にアクセスされ、不正利用される被害が確認されていると発表しています。

そのため、取引の安全が確認されるまでの間、クレジットカードおよびデビットカードでのチャージを停止し、セブン銀行ATMでの現金チャージおよびnanacoポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージのみとしています。不正アクセスや不正利用などの被害規模や原因については「調査中」とのこと。

なお、同社では再開の目途がつき次第、お知らせするとしており、不正アクセスがあった場合には「7pay お客様サポートセンター緊急ダイヤル(0570-012-113)」または7月4日(木)9:00以降は「フリーダイヤル(0120-192-044)」に問い合わせるよう案内しています。

02

7payはセブン-イレブンで支払いが行えるコード決済で、スマホなど向けアプリ「セブン-イレブンアプリ」を用いて利用し、7payの導入に合わせてセブン-イレブンアプリをリニューアルしていました。今回の不正アクセスおよび不正利用などの被害は、このセブン-イレブンアプリの仕様における脆弱性を突かれた形となると見られます。

同社では当初、不正アクセスされやすいケースとして「ログインID・パスワードが分かりやすいものになっている」や「クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一のものになっている」などと案内していました。

そのため、IDやパスワード、認証パスワードの管理に注意するよう呼びかけていましたが、被害規模が大きくクレジットカードやデビットカードからのチャージからの被害であると判断したようで、その後、クレジットカードおよびデビットカードでのチャージを停止しています。

被害規模は不明ながらTwitterなどのSNSではかなりの件数の報告が上がっており、1件当たりの被害額も数万円から数十万円とかなり高額になっているケースもある模様です。現時点では7payで利用している7IDの個人情報が漏洩したのではなく、あらかじめ漏洩していた個人情報を悪用されたものと予想されています。

一方でセブン-イレブンアプリではそうした他所で漏洩した個人情報を利用されることを想定していないような仕様となっていることも指摘されており、原因の究明とともに対策をできるだけ早く実施して欲しいところです。



記事執筆:memn0ck


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
7pay 関連記事一覧 - S-MAX
7payに関する重要なお知らせ(PDF) | セブン&アイ・ホールディングス
7payに関する重要なお知らせ | 7pay - セブン‐イレブンで使えるスマホ決済
7pay - セブン‐イレブンで使えるかんたんスマホ決済