セブン&アイ・ホールディングスなどが出資するセブン・ペイは7月3日、スマートフォン決済サービス「7pay」で不正利用が発生していることから、クレジットカードとデビットカードからのチャージを一時停止した。あわせて、ログインIDとパスワード、認証パスワードの管理について注意喚起している。
同社は、7月1日より7payのサービスを開始。セブン-イレブン公式アプリからアクセスでき、レジでバーコードを読み取るだけで支払いが可能。200円ごとに1nanacoポイントを付与するほか、クーポン機能なども搭載する。支払いは、セブン銀行ATMやレジでの現金チャージのほか、3Dセキュアに対応したクレジットカードに対応している。
今回、すでにチャージしてあった金額が不正利用されたり、紐づけてあるクレジットカードから勝手にチャージされ、不正利用されたという声が、Twitterなどを中心に複数上がっている。同社では、一部のアカウントで第三者からの不正アクセスがあったと公表。ログインIDやパスワードや分かりやすいものであったり、クレジットカード登録時に設定した認証パスワードが、ログインパスワードと同一である場合などに、不正利用されるケースがあるとしている。
7payの仕様では、他のスマートフォンでもIDとパスワードのみでログインできるため、他のサービスと同じID・パスワードを使い回ししていた場合、パスワードリスト型攻撃などで第三者のログインを許してしまう可能性がある。そのため、ログインされたアカウントがチャージ済みであれば、そのまま不正利用されてしまう。また、紐づけられたクレジットカードからのチャージには認証パスワードが要求されるものの、第三者が不正ログインに使用したパスワードと同じものが設定されていた場合、クレジットカードからチャージできてしまう。
なお、同じく7月1日に提供開始した「ファミペイ」では、ユーザー登録に電話番号を使ったSMS認証を採用。他のスマートフォンからログインする場合は、電話番号とパスワードのほかに、登録した電話番号に送信されたワンタイムパスワードを入力する必要がある。
セブン&アイ・ホールディングスの広報室に確認したところ、被害件数や金額、原因については「調査中」とコメント。クレジットカードからのチャージ再開についても今のところ未定としているが、今後アップデートがあった場合は改めて告知するようだ。もし、不正利用が判明した場合は、7payのサポートセンター緊急ダイヤル(0570-012-113、24時間・年中無休)に問い合わせるよう呼びかけている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」