不正アクセスに揺れる「7pay」、運営するセブン・ペイとセブン&アイホールディングス、セブン-イレブン・ジャパンは7月4日に緊急会見を開催しました。
会見の冒頭では、セブン・ペイの小林強社長らが「多大なるご迷惑をおかけしましたこと深くお詫びいたします」と謝罪。被害者数は4日朝6時時点の概算で約900名、被害額は約5500万円に達するとしたうえで、その全額を補償する考えを示しました。
4日14時時点で7payへの現金・nanacoを含む全てのチャージサービスを停止し、新規登録の受付も停止しているとのこと。また、初動の調査で、不正アクセス元の大部分が海外IPであることが判明したため、現時点で海外からのアクセスも遮断。不正アクセスの原因については「調査中」としています。
なお、現時点でサービスを停止したのは新規登録とチャージのみ。すでにチャージされている残高を使った7pay決済は停止していません。
この理由についてセブン&アイホールディングスの清水健氏(執行役員 デジタル戦略部 シニアオフィサー)は「クレジットカードでのチャージをストップした2日以降、多額の不正が相当減っている。不正検知システムも当初より精密に運用している状況だ。こうした現状の対策とお客様の利便性を勘案して、チャージのみを一旦停止するのが現実的な対応と認識している」とコメント。その上で「もし今後、被害にあわれた場合も、被害額は全て我々が補償する」としています。
■早期再開目指す、犯人の具体的な手法は「調査中」に終始
セブン・ペイの小林社長は「7payはなるべく早期に再開したい。さらなる安全策を時間かけずに実装して、万全の体制で再開したい」と、具体的な時期は示さなかったものの、"早期のサービス再開"を強調しています。
セブン・ペイの発表では、不正の手法として「なんらかの方法で利用者のアカウントにアクセスし」と記載しており、具体的なセキュリティリスクについての説明は避けています。清水氏は「詳細は改めて、専門的な方もいれて調査したい」と言及。「事前の検証で把握できなかった不正利用が発覚したため、あらゆる角度で調査の必要がある」と述べました。
また、セブン&アイホールディングスの清水氏はセブン-イレブンアプリのセキュリティについて「あらゆるサービスアプリでシステムのセキュリティ審査をしっかりやっている。7Payについても同様で、そこでは脆弱性の指摘がなかった」と説明。7payのサービス提供開始段階では、セキュリティリスクについては問題視していなかったという認識を示しています。
■全額補償を表明
先述したとおり、セブン・ペイ側は不正利用の被害にあったユーザーに対し、全額の補償を表明しています。被害者への補償の手続きについては、まずはお客様サポートセンターで電話対応を行い、被害の確認が取れた後に補償という流れになるとしています。その際の確認手段については「基本は警察に被害届を出すこと」(小林社長)が挙げられましたが、個別の事例に応じてそれ以外の対応も検討するとしています。
■問題の経緯
セブン・ペイ側が会見で明らかにした情報などを総合すると、不正アクセス問題の経緯は以下のようになります。- 7月1日 ─ 「7pay」のサービス開始
- 7月2日夜 ─ ユーザーからの問い合わせにより不正利用を認識、初動対策として海外IPからのアクセスをブロック、クレジットカードおよびデビットカードからのチャージ機能を停止
- 7月3日夜〜早朝 ─ 決済履歴に関してサンプル調査を実施
- 7月4日6時 ─ 不正アクセスが疑われる人数・総額(約900名、5500万円)を算出
- 7月4日9時 ─ コールセンターを0570番号(ナビダイヤル)から0120番号(フリーダイヤル)に切り替え
- 7月4日14時 ─ 7payのすべてのチャージ機能を一時停止、緊急会見を実施
被害額については、初動の対策の効果として、減少傾向にあると説明。特に高額な不正利用につながりやすい、クレジットカードからのチャージに停止したことで「被害規模の増加は抑えられている」(小林社長)という認識を示しました。ちなみに、7payでは、クレジットチャージについて、1回あたり10万円で1日3回まで(つまり最大30万円)という制限が設けられていました。
■高額決済も停止なし「お客様を犯人だと疑うわけにはいかない」
不正利用のサンプル調査で確認した事例としては、複数回に渡って、総額10万円程度が不正利用されたケースがあったとしています。その際に購入されたのはタバコでした。コンビニで販売されている商品の中では比較的高価かつ、転売が容易なことからターゲットにされていると見られます。
顧客単価が低いコンビニにおいて、高額な決済は珍しく、1日で10万円をチャージして利用するというケースは、比較的に目につきやすいものと言えます。セブン-イレブン・ジャパンの宮地正敏氏(執行役員 デジタル・サービス本部長)は、そうした高額な決済についても、すでにチャージした残高を利用する分には取引停止しないと説明。その理由として「お客様を犯人だと疑うわけにはいかない。大量買いであっても、現段階では止めていない」(宮地氏)と述べました。
一方で、不正利用が疑われるアカウントについては、順次凍結作業を行っているともしています。
なお、不正利用の被害金額について、セブン・ペイが公表した「5500万円」という数字は、実際に発覚した被害額の合計ではなく、被害規模を全体で計算した金額としています。今後少額な不正利用が発覚すれば、より膨らむ可能性もあります。
■7iD情報のセキュリティ懸念について
7payのシステムは、これまで提供していたセブン-イレブン アプリの更新として提供されました。その際、登録に必要なユーザーアカウントとして、セブン&アイホールディングスの共通ID「7iD」が活用されています。
今回の不正利用については、7iDのパスワード再発行ページのセキュリティの甘さを悪用されて、アカウントを乗っ取られたという指摘がなされています。
具体的には、7iDのパスワードをリセットするために必要な情報がメールアドレス(アカウント名)と生年月日など、比較的入手が容易な個人情報だけであったこと。さらにアカウント再発行からの確認メールを「別のメールアドレス」に送信する機能がつけられていたことが挙げられます。
つまり、不正利用をする犯人は、対象のメールアドレスと生年月日の情報を入手すれば、7iDを比較的容易に乗っ取ることができたというわけです。
なお、現在のアカウント再発行ページでは「別のメールアドレス」へのメール送信機能が削除されています。
この、別のアドレスに再発行メールを送信する機能をつけた理由については「普段スマホを使っている人で、パスワード変更をPCから操作する場合、キャリアメールのアドレスは使えなくなる。そういった方の利便性を考慮した」と説明されています。
また、仮に不正なパスワード再発行によってアカウントを登録された場合、ユーザーが7iDに登録していた氏名やメールアドレス、住所や生年月日、決済情報などは不正利用者の目にさらされることになります。セブン・ペイ側は記者から情報流出の懸念を問われた際、この可能性について言及せず「現時点では情報流出についてのリスクは認識していない」と回答しています。
https://japanese.engadget.com/2019/07/04/7pay/
2019-07-04 05:50:00Z
52781797594170
Tidak ada komentar:
Posting Komentar