不正アクセスに揺れる「7pay」、運営するセブン・ペイとセブン&アイホールディングス、セブン-イレブン・ジャパンは7月4日に緊急会見を開催しました。
会見の冒頭では、セブン・ペイの小林強社長らが「多大なるご迷惑をおかけしましたこと深くお詫びいたします」と謝罪。被害者数は4日朝6時時点の概算で約900名、被害額は約5500万円に達するとしたうえで、その全額を補償する考えを示しました。
4日14時時点で7payへの現金・nanacoを含む全てのチャージサービスを停止し、新規登録の受付も停止しているとのこと。また、初動の調査で、不正アクセス元の大部分が海外IPであることが判明したため、現時点で海外からのアクセスも遮断。不正アクセスの原因については「調査中」としています。
なお、現時点でサービスを停止したのは新規登録とチャージのみ。すでにチャージされている残高を使った7pay決済は停止していません。
この理由についてセブン&アイホールディングスの清水健氏(執行役員 デジタル戦略部 シニアオフィサー)は「クレジットカードでのチャージをストップした2日以降、多額の不正が相当減っている。不正検知システムも当初より精密に運用している状況だ。こうした現状の対策とお客様の利便性を勘案して、チャージのみを一旦停止するのが現実的な対応と認識している」とコメント。その上で「もし今後、被害にあわれた場合も、被害額は全て我々が補償する」としています。
■早期再開目指す、犯人の具体的な手法は「調査中」に終始
セブン・ペイの小林社長は「7payはなるべく早期に再開したい。さらなる安全策を時間かけずに実装して、万全の体制で再開したい」と、具体的な時期は示さなかったものの、"早期のサービス再開"を強調しています。
セブン・ペイの発表では、不正の手法として「なんらかの方法で利用者のアカウントにアクセスし」と記載しており、具体的なセキュリティリスクについての説明は避けています。清水氏は「詳細は改めて、専門的な方もいれて調査したい」と言及。「事前の検証で把握できなかった不正利用が発覚したため、あらゆる角度で調査の必要がある」と述べました。
また、セブン&アイホールディングスの清水氏はセブン-イレブンアプリのセキュリティについて「あらゆるサービスアプリでシステムのセキュリティ審査をしっかりやっている。7Payについても同様で、そこでは脆弱性の指摘がなかった」と説明。7payのサービス提供開始段階では、セキュリティリスクについては問題視していなかったという認識を示しています。
■全額補償を表明
先述したとおり、セブン・ペイ側は不正利用の被害にあったユーザーに対し、全額の補償を表明しています。被害者への補償の手続きについては、まずはお客様サポートセンターで電話対応を行い、被害の確認が取れた後に補償という流れになるとしています。その際の確認手段については「基本は警察に被害届を出すこと」(小林社長)が挙げられましたが、個別の事例に応じてそれ以外の対応も検討するとしています。
■問題の経緯
セブン・ペイ側が会見で明らかにした情報などを総合すると、不正アクセス問題の経緯は以下のようになります。 7月1日 ─ 「7pay」のサービス開始
7月2日夜 ─ ユーザーからの問い合わせにより不正利用を認識、初動対策として海外IPからのアクセスをブロック、クレジットカードおよびデビットカードからのチャージ機能を停止
7月3日夜?早朝 ─ 決済履歴に関してサンプル調査を実施
7月4日6時 ─ 不正アクセスが疑われる人数・総額(約900名、5500万円)を算出
7月4日9時 ─ コールセンターを0570番号(ナビダイヤル)から0120番号(フリーダイヤル)に切り替え
7月4日14時 ─ 7payのすべてのチャージ機能を一時停止、緊急会見を実施
今後の対応として、7payの新規会員登録も停止する予定。セブン・ペイの小林強社長は新規登録機能の停止について「システムの対応が整い次第、近々に停止する。今日中にできるのか、明日までかかるのかという時間軸だ」と述べています。
被害額については、初動の対策の効果として、減少傾向にあると説明。特に高額な不正利用につながりやすい、クレジットカードからのチャージに停止したことで「被害規模の増加は抑えられている」(小林社長)という認識を示しました。ちなみに、7payでは、クレジットチャージについて、1回あたり10万円で1日3回まで(つまり最大30万円)という制限が設けられていました。
■高額決済も停止なし「お客様を犯人だと疑うわけにはいかない」
以下ソース先で
https://japanese.engadget.com/2019/07/04/7pay/
https://lpt.c.yimg.jp/amd/20190704-00010004-engadgetj-000-view.jpg
会見の冒頭では、セブン・ペイの小林強社長らが「多大なるご迷惑をおかけしましたこと深くお詫びいたします」と謝罪。被害者数は4日朝6時時点の概算で約900名、被害額は約5500万円に達するとしたうえで、その全額を補償する考えを示しました。
4日14時時点で7payへの現金・nanacoを含む全てのチャージサービスを停止し、新規登録の受付も停止しているとのこと。また、初動の調査で、不正アクセス元の大部分が海外IPであることが判明したため、現時点で海外からのアクセスも遮断。不正アクセスの原因については「調査中」としています。
なお、現時点でサービスを停止したのは新規登録とチャージのみ。すでにチャージされている残高を使った7pay決済は停止していません。
この理由についてセブン&アイホールディングスの清水健氏(執行役員 デジタル戦略部 シニアオフィサー)は「クレジットカードでのチャージをストップした2日以降、多額の不正が相当減っている。不正検知システムも当初より精密に運用している状況だ。こうした現状の対策とお客様の利便性を勘案して、チャージのみを一旦停止するのが現実的な対応と認識している」とコメント。その上で「もし今後、被害にあわれた場合も、被害額は全て我々が補償する」としています。
■早期再開目指す、犯人の具体的な手法は「調査中」に終始
セブン・ペイの小林社長は「7payはなるべく早期に再開したい。さらなる安全策を時間かけずに実装して、万全の体制で再開したい」と、具体的な時期は示さなかったものの、"早期のサービス再開"を強調しています。
セブン・ペイの発表では、不正の手法として「なんらかの方法で利用者のアカウントにアクセスし」と記載しており、具体的なセキュリティリスクについての説明は避けています。清水氏は「詳細は改めて、専門的な方もいれて調査したい」と言及。「事前の検証で把握できなかった不正利用が発覚したため、あらゆる角度で調査の必要がある」と述べました。
また、セブン&アイホールディングスの清水氏はセブン-イレブンアプリのセキュリティについて「あらゆるサービスアプリでシステムのセキュリティ審査をしっかりやっている。7Payについても同様で、そこでは脆弱性の指摘がなかった」と説明。7payのサービス提供開始段階では、セキュリティリスクについては問題視していなかったという認識を示しています。
■全額補償を表明
先述したとおり、セブン・ペイ側は不正利用の被害にあったユーザーに対し、全額の補償を表明しています。被害者への補償の手続きについては、まずはお客様サポートセンターで電話対応を行い、被害の確認が取れた後に補償という流れになるとしています。その際の確認手段については「基本は警察に被害届を出すこと」(小林社長)が挙げられましたが、個別の事例に応じてそれ以外の対応も検討するとしています。
■問題の経緯
セブン・ペイ側が会見で明らかにした情報などを総合すると、不正アクセス問題の経緯は以下のようになります。 7月1日 ─ 「7pay」のサービス開始
7月2日夜 ─ ユーザーからの問い合わせにより不正利用を認識、初動対策として海外IPからのアクセスをブロック、クレジットカードおよびデビットカードからのチャージ機能を停止
7月3日夜?早朝 ─ 決済履歴に関してサンプル調査を実施
7月4日6時 ─ 不正アクセスが疑われる人数・総額(約900名、5500万円)を算出
7月4日9時 ─ コールセンターを0570番号(ナビダイヤル)から0120番号(フリーダイヤル)に切り替え
7月4日14時 ─ 7payのすべてのチャージ機能を一時停止、緊急会見を実施
今後の対応として、7payの新規会員登録も停止する予定。セブン・ペイの小林強社長は新規登録機能の停止について「システムの対応が整い次第、近々に停止する。今日中にできるのか、明日までかかるのかという時間軸だ」と述べています。
被害額については、初動の対策の効果として、減少傾向にあると説明。特に高額な不正利用につながりやすい、クレジットカードからのチャージに停止したことで「被害規模の増加は抑えられている」(小林社長)という認識を示しました。ちなみに、7payでは、クレジットチャージについて、1回あたり10万円で1日3回まで(つまり最大30万円)という制限が設けられていました。
■高額決済も停止なし「お客様を犯人だと疑うわけにはいかない」
以下ソース先で
https://japanese.engadget.com/2019/07/04/7pay/
https://lpt.c.yimg.jp/amd/20190704-00010004-engadgetj-000-view.jpg