セブンペイでID乗っ取り被害！チャージの仕組みは？認証パスワード(クレカ)は？

ここ数日、セブンイレブンの独自スマホ決済サービス・セブンペイの不正利用問題が報道されていますね。

なぜこんなにも乗っ取り被害が拡大してしまったのでしょうか？

#セブンペイ 5500万円の不正利用の緊急会見、話題の部分ここだ。

二段階認証を知らず、記者から説明を受けているセブンペイ社長。

特に衝撃なのが、最後の方に『二段階うんぬん、というの』とか言っててこれ完全に初めて聞いたの確定だな…セキュリティ意識が低すぎ… pic.twitter.com/jv91uVVf6y

— ポイン@ハイパーニート (@poipoikunpoi) 2019年7月4日

一部報道によると犯人たちは不正に入手した7iDのログイン情報を使って数万円単位で何度もクレジットでチャージし、都内のセブンで電子タバコのカートンを数十万円購入したみたいですね。

今回のセブンペイの不正利用の被害総額は分かっているだけで5500万円を超えていて、セブンペイ側の被害額の割り出し方に問題点を指摘する声も多く潜在的にはもっと被害者がいるんじゃないかと言われています。

そこで今回はなぜこんなに簡単に7iDのログイン情報が犯人側に漏れて乗っ取り被害が拡大してしまったのかについて詳しく深堀していこうと思います。

1 なぜIDが簡単に乗っ取られる被害にあうのか？
2 セブンペイのチャージの仕組みは？
3 クレカの認証パスワードがなぜ犯人側にバレたのか？
4 セブンペイのおにぎりクーポンも被害拡大の原因
5 セブンペイID乗っ取り被害まとめ

なぜIDが簡単に乗っ取られる被害にあうのか？

【悲報】セブンペイ死ぬの早すぎて草 https://t.co/fMElIHqh6T pic.twitter.com/aA530zi95D

— 草生えるニュース (@kusahaerunews) 2019年7月7日

そもそも簡単にセブンペイのアカントが乗っ取られてしまう背景にはセブンペイを使用するために必要な7iDのセキュリティー上の問題があります。

どういうことかと言うと7iDのログインパスワードを知らなくても登録メールアドレスと誕生日が分かれば簡単にパスワードを再発行できてしまう仕組みになっていたんです。

普通はパスワードの再設定は第三者に情報が漏れないようにSMSや自動音声通話でワンタイムパスワードの二段階認証を用いるのが普通です。

しかし7iDの場合は誕生日とメールアドレスの“たった2つだけの情報”でパスワードの再発行ができて、セブンペイを使うのに必要な他人の7iDアカウントを乗っ取ることができてしまうのです。

セブンペイ側は不正アクセスの被害報告を受けてセキュリティーは強化したみたいですが、最初からこういう事が想定できなかったのかと思います。

しかも登録メールアドレスとは別のメルアドにパスワード情報を送信できるため、アカウントの登録者本人は犯人に乗っ取られた事にすら気付きません。

セブンペイのシステムから“クレジットカードで残高をチャージしました”というお知らせが来て初めて本人はIDの乗っ取り被害に気付くわけですがその時にはすでに相当な金額をチャージされてしまった後だった人も多かったというわけです。

被害に気づいた時にはパスワードを犯人側に勝手に変更されて7iDにログインすらできなくなっている状況なので被害者本人はどうすることもできません。

できることと言えば警察に被害届を出してカード会社に状況を報告するという事後対応くらいです。

また犯人を特定しようにも送信先メールアドレスをフリーの使い捨てアドレスを使っていると思われるので犯人を特定することも困難になります。

最初から7iDのパスワードの再設定にはSMSの二段階認証や携帯電話番号の情報を入力するようにしておけばこれほど被害は拡大しなかったと思います。

このようにセブンペイは2重の意味で悪意のある第三者に目を付けられやすいセキュリティーの弱さがあったことになります。

セブンペイのチャージの仕組みは？

セブン‐イレブン・ジャパン団体交渉みんなでお待ちしてたのに、来ないとは不誠実、不当労働行為です。それも当日10時に拒否とは。恥を知れ‼️セブンペイ永松‼️ pic.twitter.com/wtp4BLPlF1

— コンビニ関連ユニオン (@danketsu_cvs) 2019年7月5日

セブンペイはクレジットカードでチャージするにはカードを登録した際に設定した認証パスワードが必要な仕組みになっています。

これは楽天Edyやファミペイなど他のキャッシュレス決済でも使われているごく一般的なチャージの仕組みです。

なので認証パスワードが外部に漏れない限りは万一アカウントを乗っ取られても勝手に金額を登録しているクレジットカードでチャージされる心配はありません。

ところが今回、セブンペイの不正利用にあった被害者の状況で気になった点としては登録していたクレジットカードで何度も残高をチャージされてしまっていたことが挙げられます。

セブンペイのアカウントを乗っ取られて残高を使われてしまうのは分かりますが、なぜ犯人側はクレジットカードで何度も残高をチャージすることができたんでしょうか？

通常、7iDのログインパスワードとクレジットカードでチャージする時の認証パスワードは違うので、

たとえ犯人側に7iDのアカウントを乗っ取られたとしても認証パスワードは分からないはずなので、既にチャージしてある金額だけの被害に抑えられるはずです。

しかし今回のセブンペイの不正利用のニュースで報道されたのは数万円単位で何度もクレジットカードでチャージされ、被害が拡大してしまいました。

クレカの認証パスワードがなぜ犯人側にバレたのか？

なんで犯人側にクレジットカードで残高をチャージする際の認証パスワードまでバレてしまったのか？、

よくよく考えてみると単純な答えに行きつきました。

それは特定されやすい認証パスワードを使用していたためと推測できます。

つまり今回被害にあった方々は予想ではセブンペイに金額をチャージする時に必要な認証パスワードに他のサービスで使っているパスワードと同じものや誕生日などの推測しやすいパスワードを使用していたんだと思います。

それなら犯人側が認証パスワードを突破してクレジットカードで何度も残高をチャージできたのも納得できます。

セブンペイで被害にあった人たちのマスコミのインタビューを見てもパスワードを特定しやすい単語にしていたり、他のサービスでも使い回している人に何度も残高をクレカでチャージされた被害が多かったみたいです。

やはりパスワードの使い回しは特にセブンペイのようなセキュリティーが重要なキャッシュレス決済などのサービスでは絶対にやるべきではありませんね。

でもセブンペイ側は当然そういった人も電子決済サービスに申し込むことは想定できたと思うので、もっとセキュリティーを強化すべきだったと思います。

これだけのセキュリティー上の抜け道を見過ごしてセブンペイのサービスを開始した原因が知りたいです。

セブンペイのおにぎりクーポンも被害拡大の原因

セブンイレブンはキャッシュレス決済のセブンペイを早くリリースすることだけを考えていたとしか思えないです。

ちょっと前のペイペイでも身に覚えのない請求の不正利用トラブルがあったのに、後発であるセブンペイは何の教訓も得ていなかったというのはセブンイレブンほどの大企業では考えられないことだと思います。

勝手な予想ですがキャッシュレス決済の手数料をライバル会社に支払いたくないという安易な理由だけで、とにかく早く形にしてサービスの発表を急いだんじゃないかなと思いますね。

しかもセブンペイに登録するとおにぎり1個が無料でもらえるクーポンで消費者を安易に釣って、結果として数十万円の被害に遭った方もいるので、セブンペイの責任は重いですね。

セブンペイの罠 pic.twitter.com/MV6GNFi4rK

— 前進社長野支局 (@zenshin_nagano) 2019年7月6日

おにぎり1個無料にするキャンペーンを実施すると言う事は普段、スマホの操作に疎い人も当然サービスに申し込む割合が増えるはずなので、対策としてセキュリティーを強化しておくことは当然だと思います。

もちろん悪い事を考える人間が一番悪いんですが、現場の店舗を大混乱に陥れてましてや消費者に金銭的な被害を生じさせたセブンペイ側にも反省すべき点は多々あると思います。

もっとセキュリティーを強化してこれで安心だと自信を持てる段階でサービスを発表していればたとえシステムに軽微な欠陥があったとしても、今回のようにこれほど大きな被害が発生することは防げたと思います。

もはや今回の不正アクセスによる一連の身に覚えのないクレジット会社からの請求は電子決済サービスの信頼性を大きく損なってしまったのは確実で、今後日本で電子決済が広まるスピードを遅らせてしまったのは間違いないと思います。

以下の記事もよく読まれています！

いきものがかり山下の元カノA子は誰？顔画像や名前は？本命彼女について！

週刊誌に元カノA子という匿名でいきものがかり山下の激しい女性関係をリークした内容が話題になってますよね。でも...

hikutaso.com

2019-07-05 08:11

琴音(チュニキャン)が可愛いけど彼氏はいる？出身高校はどこ？メンバーも美人！

出典：今度、今夜くらべてみましたに沖縄女子の一人としてチュニキャンの琴音(ことね)が出演します。チュ...

hikutaso.com

2019-07-06 22:33

セブンペイID乗っ取り被害まとめ

「7pay（セブンペイ）」に対する不正アクセスの件（第3報）セキュリティ対策の強化を目的とした新組織発足のお知らせ https://t.co/eyg1HGmMlS 二段階認証を知らないおじさんが「7pay二段階認証の導入」のセキュリティ対策プロジェクトPJリーダーですか…．プロジェクト始まる前から既にヤバい… pic.twitter.com/H7iRqBMqpR

— Yuta Kashino (@yutakashino) 2019年7月6日

今回のセブンペイの不正アクセスによるID乗っ取り被害が原因で今後とても怖くて電子決済サービスを利用できないという人も多いと思います。

7iDのパスワードを再発行する手続きでフリーのメールアドレスが使えるなんて考えただけでもぞっとしちゃいます。

そのアカウントで不正が起きてもフリーのメルアドでは不正利用をした犯人を特定できないので、いくらでも悪さができてしまいます。

またアカントが凍結されても他の捨てアドを使えばまた他の盗み取ったIDとパスワード情報で不正を繰り返すことができますからね。

こういう事態になることはシステムを設計している段階でセブンペイ側は考えなかったんですかね？

セブンペイの社長の謝罪会見を見た感じではSMSの二段階認証やシステムに対する知識がかなり乏しそうだったので、そんな危機意識ははなから欠落していたように思いました。

普通はパスワード変更などの重要な手続きは本人確認ができるように携帯電話番号の情報の入力は必須だと思います！

これからセブンペイがどうなってしまうのかは分かりませんが、スタートの段階でこれだけの被害が起きてしまうとなかなか信頼を回復するのは難しいと思います。