7payで不正利用が発覚。モバイル決済の導入は安全なのか。 コンビニ大手セブン-イレブンで使用できるとするスマートフォン決済「7pay(セブンペイ)」で、クレジットカードの不正利用が発覚しました。 被害が起きたのは、7月3日の早朝。 Twitterで複数の人が報告したもので、当日午前中には、セブン-イレブンも注意喚起を出す事態となり、7月4日時点で、約900人、計約5500万円が被害に遭いました。 詐欺未遂容疑で逮捕されたのは中国籍の男2人。 現在「7pay」は、新規登録とチャージサービスを一時停止しています。 |
7payを不正利用、モバイル決済の安全性について。
コンビニ大手のセブン-イレブンで使用できるスマートフォン決済「7pay(セブンペイ)」で、不正使用が発覚しました。
第三者がなんらかの方法でユーザーのアカウントにアクセスし(本人になりすまし)、登録されたクレジットカード・デビットカードを通じてチャージ(入金)、そのままセブン-イレブン店舗で商品(電子たばこ)を購入しようとした被害が発生し、詐欺未遂容疑で、中国人の男2人が逮捕されました。
現在「7pay」は、新規登録とチャージサービスを一時停止しています。
被害試算は、7月4日時点で約900人、計約5500万円。
逮捕された中国人の男2人は、いずれも中国で普及している通信アプリ「微信(ウェイシン)」を通じて犯行の指示を受けていたことが、5日の警視庁新宿署への取材で分かりました。
同署は、国際的な犯罪組織が関与した可能性もあるとみて、実態解明を進めている模様です。
セブン-イレブンが注意喚起。
「7pay」のクレジットカード不正利用の被害が発生したのが7月3日の早朝から。
Twitterで複数の人が報告していたもので、当日午前中には、セブン-イレブンも注意喚起を出す事態となりました。
翌4日時点で、被害総額5000万円超となり、全てのチャージ(入金)、新規登録を一時停止。
ただし、決済機能自体は生きているとのことです。
また、被害は全額補償する方針とのことです。
7payの不正利用。モバイル決済は安全なのか?
逮捕された中国籍の男2人。
住所、職業不詳の中国籍の男2人。
1人は「ジャン・シャン」容疑者(22)、もう1人は「ワン・ユンフェイ」容疑者(25)で、調べに対し、ジャン容疑者は容疑を認め、ワン容疑者は「詐欺には加担していない」と否認しているようです。
両容疑者に面識はなく、事件当日に初めて会ったといいますが、両容疑者はウェイボーを通じて、共通の指示役から犯行を依頼されていました。
2人の役目。
ジャン容疑者は、指示役からIDとパスワードを伝えられ、「1カートンにつき、報酬は300円」などと説明された上、電子たばこを購入するよう指示されたと供述。
ワン容疑者は、自動車の運転役だったとみられます。
逮捕容疑。
逮捕容疑は、3日、東京都新宿区内のセブン-イレブンの店舗で、都内在住の40代男性のIDとパスワードを不正使用し、電子たばこのカートリッジ40カートン(計20万円相当)を「7pay」で決済し、購入しようとしたとするもの。
ジャン容疑者は、その男性になりすまして、男性が登録していたクレジットカードから約20万円分を入金し、決済はしたものの「量が多いので預かってほしい」と申し出て退店しました。
一方、クレジットカードを不正使用された男性が「7pay」の使用履歴に気づき、店舗に連絡したことで、今回の被害が発覚しました。
両容疑者が再度店を訪れた際、駆けつけた警察官に取り押さえられたようです。
7payが不正利用されたことで、モバイル決済の安全面が不安視される。
スマートフォン決済「7pay(セブンペイ)」は、会計時にアプリのバーコード画面を店員に提示して読み取ってもらうことで、支払いが完了するサービスのことです。
アプリにはクレジットカードなどからチャージされた電子マネー残高が表示され、200円(税別)の買い物につき、1ポイントのnanacoポイントも付与されるとしています。
電子マネー「nanaco」に代わる主力金融サービスに育てたかった。
セブン&アイ・ホールディングスが、電子マネー「nanaco」に代わる主力の金融サービスとして、モバイル決済「7pay」を育てたかったのだそうですが、詐欺被害が発覚したおかげで、その会見などからセキュリティー認識の甘さが露呈。
消費者から、「7pay」だけではなく、ネット通販のオムニセブンなどの同社系の他のネットサービス全体を敬遠する声がネット上などで噴出しました。
「ログインID、パスワード、認証パスワード」の厳重管理を!
7月1日、セブン&アイ・ホールディングス傘下の決済事業者セブン・ペイが、同日リリースしたモバイル決済「7pay」の一部アカウントにて、第三者による本人なりすまし不正利用が発生したことを明らかにし、その防止策を消費者(ユーザー)に呼びかけました。
不正利用を防ぐため、現状でできることは、「ログインID、パスワード、認証パスワード」の管理に細心の注意を払うこと。
また、Twitterでは「パスワードは使い回さず、独自のものにしていた」という報告もあることから、パスワードのリスト型攻撃(他サイトで流出したパスワードの一覧を攻撃者が手に入れてログインを試すこと)の可能性が低いとされ、これまでに報じられていない別の脆弱性や仕様上の欠陥があるかもしれないと懸念されています。
7payの不正利用がモバイル決済の安全性を揺るがす。
7月1日よりサービス開始されたセブン-イレブンのモバイル決済「7pay」。
その一部アカウントが第三者に乗っ取られ、残高の不正利用が発生していると、Twitter上でも「クレジットカードで計18万円不正チャージされ、9万円を使われた」「登録したクレカで勝手にチャージされた」「3万円を3回チャージされたので、クレジットカードの利用を停止した」などといったように、SNS上での身に覚えのない高額決済などの報告が相次ぎました。
パスワード・リセットに弱点がある。
Twitterのshao(Sho SAWADA)が指摘するところによると、メールアドレス・生年月日・電話番号が分かれば、第三者が「7pay」のセブン-イレブンアプリのパスワードをリセット(変更/再発行)を、別のメールアドレスからできてしまうという脆弱性が発見されたとするもので、登録メールアドレスとは無関係の別アドレスに、パスワード・リセットのリンクがメールで届くとされているようです。
クリックしたところ、パスワードの変更ができてしまったそうです(元のメールアドレスにも通知が届くので、本来の持ち主には気付くことは可能だとされています)
※Googleアカウントと紐づけて会員登録した人の場合は、この影響は受けなかったようです。
「7pay」にはSMS認証がない。
クレジットカードを登録する重要なアプリなのに、このモバイル決済「7pay」にはSMS認証などの2つ目の認証(二段階認証/多要素認証)が存在しないことが問題視されています。
これがために、メールアドレス・パスワードを第三者に知られてしまうと、別端末で第三者がアカウントを乗っ取ることが可能になり得ます。
かといって、すぐに他のモバイル決済も危険ということにはなりませんし、競合ファミリーマートのスマホ決済「ファミペイ」にはログイン時にSMS認証があります。
モバイル決済と一口に言っても、企業により、セキュリティー対策には差があり、一様な評価が下しずらいことが挙げられます。
その他の脆弱性、特にiOS版について。
iOS版では、会員登録時に生年月日を登録無しにでき、その場合には「2019/1/1」が自動入力されるのだそうで、未登録の人は生年月日無しでパスワード・リセットができるそうです。
7payの不正利用。モバイル決済は本当に安全か?
今後の対策について。
セブン&アイ・ホールディングスは、傘下のセブン・ペイが運営するモバイル決済(バーコード決済)サービス「7pay」で不正利用による実害が出ている問題で、5日夜、新たにセキュリティー対策強化のため、社外セキュリティー専門家を入れた独立組織「セキュリティ対策プロジェクト」を立ち上げることを発表しました。
同プロジェクトでは、「7pay」への「二段階認証」「上限額の見直し」の導入を検討することをはじめとし、「グループ横断的・包括的なセキュリティ設計コンセプトの見直し」「セキュリティ評価方法および範囲の見直し」などの対策も取られる予定とのことです。
また、7月3日に発覚したなりすましによる不正利用の原因分析、および特定を行い、今後は安心して決済サービスを利用できるような安全対策を検討し、実施していくことも含めるとのことです。
トラブルを受け、同社は、ユーザーに対してIDやパスワードの変更を推奨。履歴画面に身に覚えのない取引などがあるユーザーには、緊急受付窓口(0570-012-113)に連絡するよう呼び掛けている。
出典元: 「7pay」で不正アクセス被害 「クレカから勝手にチャージされた」報告相次ぐ 運営元はID・パスワード変更を推奨 (C) ITmediaNEWS
他のモバイル決済について。
セブン-イレブンでは、換金性の高い電子たばこなどが標的となり、大量購入が確認されましたが、不正アクセスは中国などの海外から行われていたようです。
同様に、二段階認証がない決済サービスとして、JR東日本のモバイルSuica(スイカ)の危険性を指摘するツイートがTwitterで見られています。
ただし、モバイルスイカはパスワードの再設定には、登録したメールアドレスの他に、住所・生年月日も必要だとされ、一定のセキュリティーは担保されているのだとか。
KDDI(au)の「auペイ」は、利用する際、IDをアプリに入力すると、IDに紐づいた携帯電話の番号宛にSMSが自動送信され、それをクリックすることで利用を始めることができるという二段階認証の機能を備えているのだそうです。
昨年12月の出だしでつまずいた「ペイペイ」は、ソフトバンクとヤフーの合弁会社が運営していたことから、不正利用騒動が起きた際には、IT系スマホ決済事業者からは「スマホ決済全体の信用に関わるので静観したい」とため息がもれたそうです。
ペイペイの不正利用は、クレジットカード会社にカード所有者本人しか知らない任意のパスワードを事前に登録する「3Dセキュア」を導入していないクレジットカードもチャージに使えるようにしていたことが主な原因。当時、同様の弱点は他のサービスにもあり、ペイペイの派手なキャンペーンが犯罪組織に狙われた側面もあった。
出典元: 「セブンペイ」不正利用、iPhoneのほうが危険!? 安全性も会見も「脆弱」な深刻事態 (C) AERAdot.
これに対してセブンペイは、セキュリティー認識不足が最大の原因の可能性が高い。
出典元: 「セブンペイ」不正利用、iPhoneのほうが危険!? 安全性も会見も「脆弱」な深刻事態 (C) AERAdot.
現状ではモバイル決済の安全性が高いとは言えず、まだまだ問題点が山積みなのは確かでしょう。
セブン&アイに限らず、各社が自前の決済サービスを導入するのは、顧客の購買データを入手すれば、商品開発や販売促進などに生かせるためのようですが、セブン&アイでは、今までその役目を担ってきたnanacoがiPhone市場を取り込めないため、今後は「7pay」でiPhoneユーザーもターゲットにしたいという思惑があったとみられています。
7payで不正利用が発覚。モバイル決済の安全面の確保が急務。 7月3日の早朝、コンビニ大手セブン-イレブンで使用できるスマートフォン決済「7pay(セブンペイ)」で、クレジットカード不正利用が発覚し、現在は、決済機能自体は生きているものの、新規登録とチャージサービスを一時停止する事態となっています。 今回の被害では、中国籍の男2人が詐欺容疑で逮捕され、いずれも中国で普及している通信アプリ「微信(ウェイシン)」を通じて犯行の指示を受けていたことから、国際的な犯罪組織が関与した可能性もあるとみて、警視庁でも調査を進めているとしています。 7月4日時点では、約900人、計約5500万円が被害に遭っています。 |