7月1日に鳴り物入りで始まったセブンイレブンのQRコード決済システム「7Pay」。そして、不正アクセス問題の発覚…。被害総額は5,500万円にのぼるそうですが、セブン側の対応のまずさが浮き彫りになりました。

どんな経緯だったの?

7月1日に始まったセブンイレブンのQRコード決済システム「7Pay」。昨年始まったQRコード決済システムですが、セブンイレブンの対応は鈍く、やっと今回の対応となったのですが、満を持しての対応がいきなりの大コケとなってしまいました。

しかし、すぐに「ご登録カードからのチャージができませんでした」というメッセージが表示されます。

セブンイレブンの対応は鈍く、7月3日になってようやく「重要なお知らせ」という形でセブンからの通達がありました。内容はクレジットカードからのチャージは停止、お店でのチャージのみの対応となりました。この時点で不正利用の被害がかなりの数に上っていたのです。

2019年7月2日  7payに対して海外のIPアドレスからアクセスが発生し始め
同日    セブン・ペイへ身に覚えのない取引があったとの問い合わせ(第一報)
同日夜   7Pay の不正利用報告がSNS上で上がり始める
2019年7月3日  セブン&アイHDが不正利用を認知
同日10時半 7payへの海外からのアクセスを遮断
同日午前中 不正利用対応のサポートセンターの設置
同日午前中 セブン・ペイがID/PW管理の注意喚起を発表
同日16時  7Payへののクレジット・デビットカードからの入金を一時停止
2019年7月4日9時 7payのコールセンターをフリーダイヤルへ切り替え
同日14時  不正利用に関する記者会見
同日14時以降すべてのチャージの一時停止

不正アクセスを受けた人数:約900名
不正利用された金額試算:約5580万円
7pay登録者数 約150万人(開始後3日間)

SNS上で報告の上がっている問題では、・生年月日、電話番号、会員IDでパスワードリセットができる…これが不正アクセスの大きな問題になったのは間違いありません。

こういった状況です。セブンの発表では不正利用された金額を全額補償するということですが、セブンイレブンに対する評価が地に落ちたのは間違いありません。

●セブンイレブンの対応はどうだった?

○不正利用への対応
一連の対応について対応が遅れたとの認識はないの一点張りでした。

○入金済み金額の不正利用リスクへの考え方
セブン・ペイができる安全策をすでに行っているとのこと。

○事前のセキュリティ対応
数社の協力会社と共同し7payのシステムを開発した…これは疑わしい。7payでは何度もテストし安全面、脆弱性は指摘をされていなかったということもなんだか…そして、「システムのリリース優先でセキュリティをおざなりにしたわけではない」というのですが、それならどうしてこんな問題が起きたのか…

○発生原因について
7月4日時点でセブン・ペイ側からの情報流出により発生したものではないという認識

○SNS上で指摘されている問題への考え方
SNS上で指摘の上がっている問題について詳細までは把握していないという内容でした。

根本の問題はなんだったの?

「設計、現状認識、後日対応」すべてが甘かった…これに尽きますね。

セブン・ペイの小林強社長の言葉ですが、、7payのシステムに「脆弱性は見つからなかった」と言っています。

しかし、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていません

不正アクセスをした人間が悪いのは間違いありませんが、たった一つのことをしておけば不正アクセスは防げました。

それが、本人確認の2段階認証です。これはほとんどのセキュリティシステムに組み込まれています。

しかし、7Payのシステムには組み込まれていなかったのです。

記者団に認証のことを聞かれて、言葉に詰まる場面もありました。

これについて、「2段階認証についての認識がなかったのでは?(知らなかった)」という疑惑まで出たのです。

ネットの反応

「なんか最後の最後まで、脆弱性に問題はなかったって言ってたけど、それがあるから不正アクセスされたんでしょうが…」

「最後発でありながら、こんな問題を起こすなんてこれまで何をやってきたんだろ」

「たぶん内々でシステム開発したんだろな。外部の評価期間に依頼してたらこんなことにはならなかったはず」

小林社長の無知が拡散されていますが、昔のサラリーマン川柳で「ドットコム どこが混むのと 聞く上司」を思いだした人も少なくないのでは?

7Payはこれからどうなるのでしょうか。

おすすめの記事