コンビニエンスストア大手の「セブンイレブン」を傘下に持つセブン&アイホールディングスの「セブン・ペイ」が2019年7月1日にスタートさせた「7pay」。
一部アカウントへの不正アクセスが確認され、クレジットカードとデビットカードによるチャージを停止した。
その後、店舗やセブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを含むすべてのチャージについても一時停止するほか、7payの新規登録についても停止。
チャージ済みの金額については利用できるという。
900人・5,500万円の被害は補償へ
朝日新聞デジタルによると、不正の被害は7月4日午前6時時点の試算で約900人、約5,500万円に及ぶという。
セブン・ペイは全ての被害に対して補償を行うとしており、24時間受付の緊急ダイヤルを開設した。
「脆弱性は見つからなかった」とするも二段階認証を設定せず
不正アクセスの原因として問題となっているのはパスワードリセット機能の仕様。生年月日や電話番号、メールアドレスの情報があれば第三者がパスワードを変更できるようになっており、セキュリティ面のお粗末さが槍玉に挙がっている。
ここ最近はAppleやGoogleなど個人情報の集まるサイトやショッピングサイト、携帯電話会社、仮想通貨取引所などではSMS認証や一時コード生成アプリなどを用いた二段階認証が一般的だ。
「7pay」はこういった二段階認証を搭載していないばかりか、ITmediaによれば登録時と別のアドレスでパスワードをリセットできる仕様になっていたという。「PCからリセット操作をする場合に携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った」と釈明しているが、本来であれば何段階もの本人確認を経るべきだ。
実際、ある仮想通貨取引所は二段階認証アプリが正常に機能しなくなった場合にそれを解除するのに本人確認を行うため2週間程度かかる。電子マネーを管理するというのはそういうことなのだ。
不正アクセスから身を守るために
当たり前のことだが、不正アクセスから身を守るにはパスワードの使い回しをしてはいけない。いくつものサイトのIDとパスワードを覚えていられないのはわかるけど、乱数表を作るとか、サイトから連想する文字列+共通の文字列にするとか、いくらでも方法はある。
AppleのiCloudキーチェーンやGoogle、Microsoftなどの完全にパスワードマネージャーに任せてしまうのも一つの手だろう。ものすごく強力な記号列でとても覚えられないので、忘れたら(時間をかけて)再発行するしかないのだけれども。
メモアプリなどに平文でパスワードを保存するのも危険なので、パスワード管理はくれぐれも入念に。
リンク
- 7pay
- 7pay、新規登録を停止 不正相次ぐ、全被害補償へ(朝日新聞デジタル)
- 「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”(ITmedia)
