はじめに

セブンイレブンのモバイル決済サービス「7pay」の不正利用騒動。7月4日時点で、被害者900人、被害総額5,500万円という大きな被害が見込まれています。

なぜ、大企業が満を持してリリースした決済サービスが開始早々から、このような結果になったのでしょうか。その根本原因を探ってみました。


「現場は大混乱、もう謝るしかない」

「他の決済サービスに対抗するため、無理に開発を急いだから、こんなことになったのではないか。なぜリリース前に何のチェックも働かなかったのか」。セブンイレブンジャパンのある社員は憤りを隠しません。

同社にはOFC(店舗経営相談員)という、店舗を回り、フランチャイズ店の経営をサポートする社員がいます。この社員も、7月1日の7pay導入に向けて、オーナーを集めた勉強会を行ったり、7payを使ってもらうための施策を練ったりしていたといいます。

ところが4日午後、突然7payのクレジットカードからのチャージを停止するという一斉連絡が来ました。理由の説明は特になかったそうですが、その後、新規登録の中止も決定。7payの導入促進のために店舗に貼ったポスターや横断幕も、すべて外すように指示されたそうです。

レジ前に貼られたお知らせ
店舗に貼られたお知らせ

「現場は大混乱です。そもそも7payは他のモバイル決済サービスに比べて還元率が低く、不利。それでも、7payをお客さんに勧めてほしいとオーナーさんにお願いし、使い方の勉強会も行ってきた。リリースから数日でこんなことになり、もう謝るしかない。社長が『社運を賭ける』と言っていた事業なのに……」とため息をつきます。

担当している店の経営者からは、「本部にはもっとしっかりしてほしい。これからどう立て直していくのか」との声が上がっているそう。今月中に予定されていた7payの導入促進キャンペーンも中止が決まり、「新規登録やチャージの再開にはしばらく時間がかかりそう」と話していました。

なぜ脆弱性が放置されたのか

リリース直後にこのような大規模な不正利用が起きたのは、セキュリティに圧倒的な脆弱性があったからではないか、と考えられます。大きな問題は、セブン&アイグループが運営する通販サイト「オムニ7」と7payなどで共通で使える「7iD」が、簡単に乗っ取りができる仕組みだったことです。

セキュリティ問題に詳しいシステムエンジニアの男性は、「7pay自体よりも、オムニ7の脆弱性を突かれたのではないか。常識では考えられないセキュリティの甘さで、なぜこんなものが放置されたのか、わからない」と指摘します。

この7iDは、パスワードを忘れるなどして再設定する際、メールアドレスと生年月日さえ入力すれば、再設定したパスワードを別のアドレスに送れるようになっていました。つまり、メールアドレスと生年月日がわかれば、他人でもパスワードを簡単に再設定でき、乗っ取りができる設計になっていたのです。

オムニ7に登録されたクレジットカードなどからは、7payにチャージができるようになっており、今回の不正利用はそこを攻撃された可能性があると言います。

<写真:Rodrigo Reyes Marin/アフロ>

[PR]NISAやiDeCoの次は何やる?お金の専門家が教える、今実践すべきマネー対策をご紹介