先日サービスを開始したばかりのセブンペイ「7ペイ」で不正利用が発生しクレジットカードによる入金サービスが一時停止と発表になりました。
今回起きた不正利用の手口を推察し、今すぐにでも取れる対応策を考えます。
セブンペイ公式の発表
https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190703_01.pdf
現在、一部のアカウントが第三者にアクセスされる被害が確認されております。
つきましては、取引の安全が確認されるまでの間、クレジットカード及びデビットカードでのチャージを停止させていただき、セブン銀行 ATM での現金チャージ、nanaco ポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージのみとさせていただきます。引用元:
https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190703_01.pdf
第三者によるアカウントへの不正アクセスを受けてクレジットカード、デビットカードからのチャージが停止されました。現金でのチャージは行えますがクレジットカードからの入金サービスの再開のめどは立っていません。
再開の発表があり次第追記します。
不正利用の手口
ここからは推察になりますが今回の不正利用の手口は、セブンペイのログインアカウントに7&iグループのIDを利用していた方が被害合われたようです。
7&iグループのIDは基本的にID(メールアドレス)とパスワードだけでログインできてしまうためです。
そもそもセブンイレブンアプリは、セブンペイを見越して作成されてはいたものの、基本的にはポイントアプリとして始まっているため、ログイン方法は簡単に作られていました。
アプリを利用するためのSMS認証もなく、ログイン情報もメール配信されません。
セブンペイが始まった段階でもサービスへの移行の簡単さをアピールするため利用規約に同意するだけで利用開始することができました。
またセブンiDに利用するメールアドレスと、変更通知やキャンペーン情報を受け取れよう設定できるメールアドレスを別に設定することができる状態でした。
さらにログインパスワードの変更がメールアドレスと生年月日があれば変更できる仕様となっていました。
それに加え、生年月日の入力も正確な入力は必要なく入力がされなければ2019年1月1日に勝手に登録されてました。
ログインが比較的簡単だったこと、各種クレジットカードから入金ができること、セブンペイでPOSAカードやたばこなど換金性の高い商品が購入できたことが反社会勢力に目を付けられたのだと推察されます。
クレジットカード入金には認証コードの入力が必要だった
それでも一応の不正利用防止としてクレジットカードからの入金にはログインパスワードとは別に認証コードの入力が求められますが、このコードも不正アクセスにより破られ、不正に入金されています。
確認していないので確証はもてませんが、どうやら何度認証コードを間違えてもエラーやロックがかからない仕様になっていたようです。
実際に認証パスコードを16桁に設定されていた方も不正アクセスの被害にあわれています。
#7pay
— めるかば (@methuselah3) 2019年7月3日
クレジットカードの登録には3DSecureを使って登録、その後は都度のパスワードによりチャージできる仕組みですが、そのパスワードはアプリへのログインとも違うものを登録していましたが、2段階どちらも突破されました
なお桁数は16桁、使いまわしはしていません
今回の不正利用の手口、実は昨年末にあったPayPayの不正利用の手口とよく似ています。
PayPayの不正利用ではクレジットカードの登録時にセキュリティーコードの入力を求められましたが、そのセキュリティーコードを何度間違えてもエラーにならず繰り返し入力することで、クレジットカードの登録をすることができる仕様となっていました。※現在は変更されています。
今回のセブンペイの被害も認証パスコードとセキュリティーコードの違いはありますが、登録本人なら知っているはずのパスコードを間違って入力してもエラーを吐かずロックもしなかった点で、先行者であるPayPayの失敗を学んでいないのが非常に残念です。
以上の情報から不正利用の手口を考えると
- パスワード変更窓口にて不正入手したメールアドレスと生年月日を入力
- ログインに必要なパスワードを書き換える
- 同時に送付先メールアドレスも書き換える
- 本来のアカウント保持者に通知されずにパスワードを書き換えが成功
- アカウントを乗っ取ったのち認証コードを総ざらいで検索する
- 不正にチャージ
- チャージしたお金で換金性の高い商品を購入する
以上です。
nanacoも同じセブングループのサービスだけど問題ないの?
nanacoも同じセブングループのサービスであり、同様にクレジットカードからの入金も可能です。
7&IのIDが流出しているなら同様の被害が発生するのでは?と考えてしまいますが、nanacoのクレジットチャージには以下の制約があります。
- ログインと利用にはnanacoの番号が必要
- クレジットカードを登録後24時間はチャージができない
- 1日3回まで、最大9万円までしかチャージできない
以上です。
今回のセブンペイではnanaco利用時に設定されていた以上のような制約がなかったことも不正利用を助長した可能性があります。
今後の対応策
利用者としてとれる対応策は基本的なことばかりでログインに使用するメールアドレス、パスワードを他サイトと使い回しはしない、これだけです。
アプリ側で何らかの対策を取らない限り今後も不正利用は発生するものと思われます。
今後対応策が発表されましたら追記します。
まとめ
最後にまとめます。
- セブンペイで不正利用の被害が多発した
- 被害報告を受けて、クレジットカードからのチャージは利用停止
- アプリへのログインを簡単にしたことが仇となった
- 現在のところ具体的な対策や補償などの発表はなし
以上セブンペイの不正利用に関する情報でした。
セブンペイを利用した不正利用が発生したことに関しては非常に残念ですが、最近のセブンイレブンに関するニュースを見ていると、もう少し慎重にアプリを作成する必要があったのではと思っています。
POSAカードが購入できる旨の記事を作成しておいて今更ですが、セブンペイでPOSAカードが購入できることは正直驚きました。
今回の不正利用を受けて支払いできる商品の変更もあるのではないかなと思っています。
以上【セブンペイ、不正利用発生によりクレジットカードチャージが停止。不正利用の仕組みと対応策は?】でした。
それではまた。