「セブンペイ」に何があったのか? 30万円の不正利用被害に遭ったケースから、問題の本質を探る

サービス開始3日目には、ついに不正利用報告が相次ぐかたちになった。筆者の知り合いの1人は30万円の不正利用が行われたことを報告しており、緊急対応用の電話も繋がらなかったという。
Open Image Modal
時事通信社

7月1日にサービスが開始されたばかりのセブンイレブンジャパンのモバイル決済サービス「7Pay」だが、開始当初から登録や問い合わせが殺到してサーバにつながりにくい状況が続いていただけでなく、3日目にはついに不正利用報告が相次ぐ形になった。

Engadget日本版でもすでに報告しているが、身に覚えのない登録済みカードからの残高チャージや支払い報告が相次ぎ、同日夕方にはクレジットカード/デビットカードまたはセブン銀行からのチャージ停止措置が採られている。

実際、筆者の知り合いの1人は30万円の不正利用が行われたことを報告しており、その後も緊急対応用の電話も全然つながらず、サポート用フォームへのメール返信もなしのつぶてという状況で、カード会社に連絡して利用を止めた後に再発行手続きという流れで対応している。

「7Pay」に何が起きているのか

現状、セブンペイからの連絡は定型的なもので、特に個別の調査を経ての返信ではない。また、今回不正利用された金額がどう補償されるのかも現時点では不明だ。7Payの注意書きでは同社規定のアクセス手段であれば、例え第三者による使用であっても責任を負わないという文言もあり、その点でも不安も残る。

なお、今回被害に遭った方はこの分野の専門家であり、リテラシーも相応に高い。パスワードも使い回しものではなく、7iDとチャージ用のものを別々に16文字で設定してあり、できる対策は比較的行っているうえでの話だと付け加えておく。 

Open Image Modal
Engadget日本版

▲30万円の被害に遭ったケースでの7Pay利用履歴の一部抜粋。短期間に複数拠点で多額の買い物が行われていることがわかる 

Open Image Modal
Engadget日本版

▲問い合わせフォームへの返信内容。緊急ダイヤルへの電話を勧めているが、そもそも電話がつながらない

Open Image Modal
Engadget日本版

▲7Payアプリにある注意書き。定型文句ではあるが、今後の補償対応が気になるところだ

同件についてセブン&アイ・ホールディングスに問い合わせたところ、同社では問題を把握しており、まず「ご迷惑をおかけしている方々にお詫び申し上げたい」と述べつつ、「調査中かつ社内で検討中であり、現状で話せることはない」と回答している。

経過としては、7月3日朝の時点で顧客からの問い合わせで問題を認識し、その後実際に複数の被害があったという報告を受けているものの、その件数や規模などは現状で測りかねるとしている。また、カードまたはセブン銀行からのチャージを停止しているが、7iDやカードの登録といった他の機能については現状停止や変更ということはなく、今回の一連の問題に対応するなかでどうするか決めていくとのこと。

また前述のようにサポート電話がつながりにくい状況については、7月4日以降に回線数を広げる形で電話を受けやすい体制を整えるとのことで、適時対応していく意向だ。

何が問題なのか

基本は昨年2018年12月に発生したPayPayでの不正利用の事例と同じだ。PayPayの場合は、事前に何らかの方法で不正入手されていたカード番号、有効期限、セキュリティコードをPayPayアプリに登録し、それを店頭での換金性の高い高額商品購入に利用することで第三者がクレジットカードの不正利用を可能にしていた。

対面販売ではカードの券面や本人確認などが入ることを前提に利用制限が緩く設定され、一方で誰が利用しているかわかりにくいオンライン上での決済には3Dセキュアを含む安全対策を持って制限が解除されるなど、セキュリティ対応に違いがある。

ところがPayPayのようなモバイル決済サービスの場合、オンライン上でカードを登録して対面販売での利用が可能なため、この対応の差を突かれた形だ。その後、PayPayでは決済上限の大幅縮小とともに、制限解除のために本人認証サービスである3Dセキュア利用を必須にするなど、対策を強化している。問題視されていた登録時の「リトライ回数上限なし」という穴も塞ぎ、それ以後はサービス開始当初のような大きな問題は報告されていない。

7Payの場合はどうか。「7Pay」という新サービスではあるが、実際には既存の「セブンイレブン」アプリがアップデートする形で新たに7Payの機能が加えられている。

セブンイレブンアプリでは、まずアプリそのものを利用するための「7iD」があり(ログイン方法はGoogleなどの他のサービスで代替可能)、これとは別に7Payの残高チャージに利用するクレジットカード/デビットカードを登録した場合、そのチャージを実行するための「チャージ用パスワード」を設定する必要がある。

両者それぞれに問題があり、例えば7iDではメールアドレスをログイン用IDに指定できるが、これ自体には「本人確認用のメールを送信して最終確認をとる」といった本人確認用の手段は採られておらず、正直いえば嫌がらせで他人のメールアドレスを勝手に登録することも可能だ。この点は、同日にスタートした「ファミペイ」がSMSを使った本人認証を行っているのと比較すると、少々対策が甘いといっていいだろう。

Open Image Modal
Engadget日本版

▲7iDのメールアドレスは本人確認なしに登録可能。登録完了メールには特に認証用のアドレスなどは存在しない

またチャージ用パスワードは「半角英字(小文字)と数字で6文字以上16文字以下」となっており、パスワードとしては非常に弱い。7iDの認証さえ突破すれば、あとはチャージ用パスワードは簡易なものでもかまわない(むしろ利便性のためにわざとそうしたような感触もある)ということで、このような仕組みになっているのかもしれない。

ただ、試行回数そのものに制限がないという報告もあり、特定のキーワードの組み合わせを使ってパスワードを総当たりで試すタイプの攻撃(ブルートフォース)であったり、すでに入手済みのID/パスワードのコンビネーションを総当たりで試す攻撃(リスト攻撃)といったケースに対して脆弱性を持つ疑いがある。

ただ、前述の30万円の被害のケースでは「7Pay専用のパスワードで、2つのパスワードは異なるものでどちらも16文字」と、単純攻撃するには少々手間取る相手にも関わらず被害に遭っている。そのため、実際には別の手段で攻撃が行われている可能性もある。

Open Image Modal
Engadget日本版

▲7iD登録時の画面。パスワードは特別強くもないが弱くもない。ただ「秘密の質問」を要求したりなど、最近のアプリにしてはいささか作りが古い気もする

Open Image Modal

▲チャージ用パスワードはかなり弱い。これは7iDの認証を突破したことが前提でわざと弱くしてあるのだろうと想像できる

さて、こうした問題が明らかになっても、おそらく事件の主犯を逮捕することは困難だろう。先のPayPay事件では今年2019年5月から逮捕者が何人か出ているが、どれも「頼まれてやった」ということで直接犯行を指示した人物ではない。いわゆる詐欺事件での「出し子」と呼ばれる存在で、仮に逮捕したとしてもトカゲの尻尾切りにしかならない。

今回の30万円被害のケースでは、単一犯では不可能な形でほぼ同時に3店舗での買い物が行われており、おそらく防犯カメラ映像を使って逮捕したとしてもその相手は「出し子」でしかない(移動時間を考えれば、ギリギリ可能かもしれないが......)。

また、家電量販店などが狙われたPayPayに対し、今回の7Payでは対象は商品単価の低いコンビニしかない。しかも、換金性の高い商品となると限られており、印紙や金券に近いもの、POSAなどの各種ポイントカードなどの大量購入が考えられる。どのような商品が7Payで購入されたかは不明だが、ポイント付与が行われていない商品が含まれていることを考慮に入れると、このキャンペーンサイトにある商品などが選ばれている可能性が高いといえる。

真の問題とは

ここまではシステム的な話題だが、真の問題は顧客の利便性を無視した形でユーザーのモバイルアプリへの誘導を図るコンビニチェーン側の一連の対応だ。例えばセブンイレブンでは7Pay登場をもってnanacoのポイント還元率を半分にし、代わりに期間限定で7Payのポイント還元率を従来のnanacoの水準に設定し、明らかにnanacoから7Payへの誘導を図っている。

この背景には、nanacoを含む既存の電子マネーやポイントカードでユーザーの行動を追跡しきれておらず、さらにアプリ戦略が後手にまわっていたためにユーザーとの直接のタッチポイントが店頭のみという状態だったコンビニ各社が、独自の「Pay」サービスを提供することで取り込みにかかったという事情がある。

ポイントなどによる囲い込みという思惑もあるだろうが、どちらかといえば「モバイルアプリを軸にユーザーとの接点を広げたい」というのがコンビニ各社の狙いだ。

とはいえ、ポイント還元施策では先行する各社に見劣りし、しかも使える場所はインハウス専用のコンビニPayと比べて既存他社の方が圧倒的に多い。おまけに今回の一連の不味い対応もあり、利用者の心証はかなり最悪なものになったはずだ。

モバイルアプリの世界はそんなに甘いものではなく、既存のすべての決済手段(電子マネーや現金、ポイントカードなど)の利便性を上回って初めて継続して利用してもらえるものとなる。

同日にスタートしたファミペイも含め、何度も煩雑なバーコードのスキャン作業が発生したり、店内のオペレーションを混乱させる要因にしかならないのであれば、それはキャンペーン終了と同時に使われなくなるだろう。改めて顧客の利便性とは何なのかについて考えてみてほしい。

筆者:鈴木淳也 (Junya Suzuki)

関連記事: