セブン&アイ・ホールディングスがセブン-イレブン店舗で利用できるコード決済7payを7月1日にスタート。しかし、わずか2日で、不正利用によって多額の被害を被った被害者が続出している。

セブン&アイではクレジットカード・デビットカード経由でのチャージを停止したが、対策が後手に回っていることは否めない。

  • 7payで不正利用、数十万円の被害も

    セブン-イレブンアプリ

7payは、セブン-イレブンアプリにログインして、さらに7pay利用登録をすれば利用可能になるコード決済。クレジットカードやデビットカードでのチャージに対応しており、同日開始されたファミリーマートのFamiPayとあわせ、流通大手の参入で注目されていた。

7payは、1アカウントにつき1端末でしか使えず、別端末でログインをすると、元の端末ではログアウト状態になる。これ自体は決済サービスでは一般的だが、通常はSMS認証などで本人かどうかを確認するところを、7payではそうした仕組みがなく、そこを狙われたとみられる。

利用にはログインが必要だが、このログイン情報が漏えいしていたことによるリスト型攻撃か、機械的に複数回のログイン試行を試して正解を見つける総当たり攻撃によるものか、なんらかの手段で攻撃者が別端末でログインしたと想定される。通常、総当たり攻撃などを防ぐために複数試行ができないような設計になっているが、セブン&アイ側は、セブン-イレブンアプリがそうした設計になっていたかどうか「調査中」として明言していない。

すでにチャージ用にクレジットカードを登録していた場合、ログインされてしまうとチャージが可能になり、セブン-イレブン店頭での買い物に利用されてしまう。被害者によればクレジットカードから27万円チャージされ、埼玉県、千葉県の3店舗でそれぞれ使用されていたという。

  • 被害者の履歴には、3万円ずつのチャージと3店舗での利用履歴が残されていた(読者提供)

セブン&アイによれば、3日朝から被害報告が上がり、3日18時ごろにはクレジットカード・デビットカードからのチャージ機能を停止した。現時点では、被害の状況などは全て調査中としており、被害者への対応も含めて検討中の段階としている。

コード決済ではPayPayでも不正利用が発生していたが、セブン&アイはその前例を参考に対策を行っておくべきだったが、現時点ではそうした対策を怠っていた可能性がある。今後、早急に調査を行い、被害者への補償を含めた対応を早期に実施すべきだ。

また、7payに登録しているユーザーは、早急にアプリを起動してログインし、利用履歴を確認した方がいいだろう。現状はクレジットカードチャージは無効になっているが、クレジットカードを登録している場合は念のため削除しておく方と良さそうだ。