2019年7月18日(木)

7pay「サービス全面停止はしない」 会見一問一答

ネット・IT
小売り・外食
モバイル・5G
フィンテック
BP速報
2019/7/5 11:11
保存
共有
印刷
その他

日経クロステック

セブン&アイ・ホールディングス傘下のセブン・ペイ(東京・千代田)は4日、都内で記者会見を開き、スマートフォン決済サービス「7pay(セブンペイ)」の一部アカウントが第三者による不正アクセスを受けたと発表した。報道陣の質問には、セブン・ペイの小林強社長、セブン-イレブン・ジャパンの宮地正敏執行役員デジタルサービス本部長、セブン&アイ・ホールディングスの清水健執行役員デジタル戦略部シニアオフィサーの3人が回答した。質疑応答の主な内容は以下の通り。

セブン・ペイ記者会見の様子

セブン・ペイ記者会見の様子

──不正アクセス被害の規模は。

セブン・ペイ 小林社長 「7payの登録者数は3日時点で150万人強だ。あくまで試算ではあるが、このうち約900人、約5500万円の被害が疑われる」

「被害発生の流れは、登録者本人が知らないところでクレジット・デビットカードから7payにお金をチャージして、そのお金がセブン-イレブン店舗で不正に使われたというものだ。一般に、セブン-イレブンで1万円を超えるような買い物をする人は多くない。7payで多額のチャージをして、1万円を超えるような買い物をしたといった、際立った取引データを洗い出した結果、約900人、約5500万円が疑わしい買い物だという試算になった」

「疑わしい買い物には、例えば『タバコを1度に約10万円分買って7payで支払った』という取引があった。犯人は単価が高く換金しやすいタバコに着目したのかもしれない。それ以外の事例については現在精査しているところだ」

──被害者への補償は。

小林社長 「被害に遭ったお客様には、全ての被害に対して補償する。そのための具体的な手続きは検討しているところだ。お客様から警察署に被害届を出してもらうのが基本になる。だが、本人が被害に気づいていない場合もあり得る。お客様が能動的に手続きしなくても、被害の疑いが濃厚な場合は我々から対応することも含めて検討している」

■店頭での大量購入は止めず

──7payに不正にチャージしたお金はセブン-イレブン店頭でしか使えない。店頭でタバコを大量購入する場合に7payを使えないようにするなどの措置を取れば、被害拡大を防げるのではないか。

セブン-イレブン・ジャパン 宮地執行役員 「現時点で、そうした措置は取っていない。不正な大量購入か、問題ない大量購入かを区別できないからだ。ただし、本部で今後の対応を検討しているところだ」

──不正アクセスのアクセス元は。

小林社長 「疑わしいアクセスを洗い出したところ、当初見つかったもののほとんどが海外のIPアドレスからだった。中国からのアクセスが多かったが、国別の状況などは精査中だ。海外からのアクセスはブロックする措置を取った」

──1日のサービス開始前に不正アクセスの懸念はなかったのか。

セブン&アイ・ホールディングス 清水執行役員 「サービス開始前にはセキュリティーに関するチェックをしている。その時点では特に問題点は見つからなかった。しかし、実際にこのような被害が出ている。具体的なセキュリティー不備の内容についてはきちんと調査しなければならない」

■アカウント乗っ取られやすい仕様

──パスワードを忘れてリセット手続きをする際、登録済みとは別のメールアドレスに手続きメールを送信できる仕様になっていた。第三者にアカウントを乗っ取られやすいように思えるが、なぜそのような仕様にしたのか。

清水執行役員 「お客様の利便性とセキュリティーのバランスは難しいところだ。今回は、7pay開始より前にキャリアメールでID登録をしていて、そのキャリアメールを今はもう使っていないケースを想定した。そうしたお客様の利便性のため、キャリアメール以外のアドレスでリセット手続きができるようにした。改善すべきところは今後改善する」

──他のコード決済サービスで一般的なショートメッセージサービス(SMS)認証(スマホにSMSを送信して本人確認する方法)を導入していなかったり、普段と異なる端末からログインした場合などに「身の覚えのないログインではないか」と注意喚起する仕組みがなかったりと、全体的にセキュリティーが甘い仕様になっていたように思える。

清水執行役員 「利便性とセキュリティーのバランスを考慮し、ユーザー体験を向上させることを念頭に設計したものだったが、きちんと調査して改善を図る」

■さらなる不正の懸念ゼロではない

──なぜ7payの新規登録とチャージだけを停止して、サービスの全面停止としないのか。さらに被害が広がる懸念があるのではないか。

小林社長 「確かに全面停止すれば不正の余地がなくなるが、一方で、7payを利用し始めた一般のお客様にも迷惑がかかる。それから、クレジット・デビットカードのチャージを停止してから、多額の不正被害が大きく減ったことを確認している。さらなる不正の懸念はゼロではないが、お客様の利便性との兼ね合いでは、まずはチャージだけを停止するのが現実的だと判断した」

──サービス再開のメドは。

小林社長 「残念ながら、現時点ではいつまでにとは申し上げられない。あらゆる攻撃に耐えられるセキュリティーを確立して、お客様に安心して使ってもらえるようにする必要がある。なるべく早く、としか言えない」

──「お客様サポートセンター緊急ダイヤルに電話をかけてもつながらない」という声が出ている。

小林社長 「3日から4日にかけて、電話対応人員を増員している。電話がつながらないことがないように対応していく」

(日経 xTECH/日経コンピュータ 清嶋直樹)

[日経 xTECH 2019年7月4日掲載]

保存
共有
印刷
その他

日経BPの関連記事

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報

新しい日経電子版のお知らせ

より使いやすく、よりビジュアルに!日経電子版はデザインやページ構成を全面的に見直します。まず新たなトップページをご覧いただけます。

※もとの電子版にもすぐ戻れます。