セブン＆アイ・ホールディングスは8月1日、不正ログインの被害が相次いだモバイル決済サービス「7pay」を9月末で終了すると発表した。同社は同日午後3時から、都内で記者会見を開催。会見内容を一問一答形式でまとめた。

記者会見には、セブン＆アイ・ホールディングスの後藤克弘副社長（兼 セキュリティ対策プロジェクト総責任者）、清水健氏（セキュリティ対策プロジェクト リーダー）、セブン・ペイ奥田裕康取締役、セブン＆アイネット・メディア 田口広人社長が登壇した。

左からセブン＆アイ・ネットメディアの田口広人社長、セブン＆アイHDの後藤克弘副社長、セブン＆アイHDの清水健執行役員（デジタル戦略推進本部 デジタル戦略部 シニアオフィサー）、セブン・ペイの奥田裕康氏（取締役 営業部長）

――手口について。原因は「リスト型アカウントハッキング」ということだが、不正利用にはログイン用のID・パスワードに加え、チャージ用のパスワードも必要。被害者の方のインタビューからは使いまわしがなかったという報告もある。リスト型アカウントハッキングの可能性は低いように思われるが、なぜそのように判断したのか。被害者に直接聞き取りをしているのか

田口：「リスト型アカウントハッキングが原因」という結論に至った理由は、当該時間帯に、IDの入力がない「IDエラー」がたくさん起きていたこと。その後パスワードエラーが起き、さらに不正チャージがあったという報告がある。1件1件ログを確かめている。既に被害に遭ったと届け出があった人からは、ログイン用のパスワードがチャージ用のパスワードと同一だったという声もいただいている。

――同一のパスワードを設定できたということか

田口：そうだ。

――7payの廃止で、利用者や加盟店に迷惑がかかる。なぜセブン&アイHDや、7pay運営元のセブン・ペイのトップ、経営トップが会見に出席していないのか。決済サービスは個人情報の流出を想定してさまざまな保険に入るのが普通ではないか。入っていないのなら賠償額どう見ているか

後藤：われわれが想定しているデジタル戦略については、グループ各社が開発するそれぞれのアプリの関係性をどう構築できるかが要。その中には決済がある。要素の1つとして位置付けしていた。セブン&アイHDではデジタルと金融について後藤が担当している。8月1日朝開催の取締役会で決定し、誰が質問に応えるのが適切かを判断、奥田を出席させた。

奥田：保険の加入はしていない。検討の矢先に今般の事象に至った。

――原因について、開発体制について、システム全体の最適化ができていなかったとはどういうことか

清水：開発について、いくつかのサービスにまたがっていた。最適化ができていなかったというのは、金融チーム、アプリチームと分けられていて、チーム内では最適な開発をしていたつもりだが、全体的には最適になっていなかったということ。

――クレジットカード情報の流出はなかったのか

奥田：クレジットカード情報は流出していない。決済代行サービスを利用していたため、当社はクレジットカード情報を保持していない。

――7payは、セブン&アイHDのデジタル戦略の柱。今後のデジタル戦略への影響は

後藤：7月1日にサービスを開始して以来、非常に短期間で廃止という判断の影響。デジタル戦略自体を変えるつもりはない。当社の決済サービスには、クレジットカードも電子マネー「nanaco」もある。それに加え、7payでより金融情報を取り込めると期待していたが廃止となった。この領域には今後も検討していきたい。

――おととい（7月30日）のパスワード一斉リセットから今日（8月1日）のサービス廃止の判断までに何があったのか

後藤：もともとの要因は7payがアカウントハッキングにあったこと。今まで原因の特定をプロジェクトチームで進めてきた。7iD自体相当のセキュリティレベルを持っているが、不安を払拭するためにパスワードリセットをした。しかし準備期間が必要だった。それでこのタイミングになった。7payの廃止は別の判断。廃止やむなしという判断は（7iDとは）全く別の次元。

――サービス廃止の1番の要因は

後藤：認証そのものに脆弱性があることが確認できた。これ以上、このサービスを続けることは経営判断上、得策ではなく、利用者保護の観点でも廃止という決断に至った。

――2要素認証などの検討が十分じゃなかったのは、利便性を優先したためか

奥田：われわれとしては、利用状況をモニタリングする体制をしっかりできていれば大丈夫という判断だった。

――今後のスマートフォン決済に及ぼす影響をどう考えているか

後藤：スマートフォン決済の信頼性を下げたことは申し訳なく思っている。しかし、今後も需要は増していくはず。さまざまなプレイヤーと連携しながら店頭で使えるようにしていきたい。

――なぜ既にある電子マネー「nanaco」を進化させた形にしなかったのか。今後そのような計画はあるか

後藤：nanacoとは別にコード決済が伸びてくるという見方があり、並行して開発していた。今後nanacoについても検討していきたい。

――経営責任についてどう考えているか

後藤：当然認識している。原因追求と再発防止に全力を投入するのが責任の取り方。中長期的にはグループのセキュリティレベルをさらに強化する。

――ガバナンス上どういった問題があったと考えているか

後藤：グループとしてさまざまな業態があり、個別にシステムを開発していた。グループを横串にしてセキュリティをどうすべきかのリーディングやガバナンスが欠けていたと思う。人的補強や組織的対応を含め、検討する。

――7iDは横串のサービスだと思うが

後藤：7iDは、他のサービスと比べても十分なセキュリティレベルの水準に達していると内外で評価されている。ただこの領域は日進月歩で犯罪手口も多様性がある。しっかりモニタリングしながら時代にあったセキュリティを担保したい。

――nanacoカードのポイント還元率を減らしたが、元に戻すのか

清水：7payを意識して還元率を見直したのは事実。今後の対応は検討したい。

――自社で7payのような決済サービスを開発する予定はあるか

後藤：スマホ決済のニーズは高まっているので、チャレンジはしたい。ただ、具体的なことは何も決まっていない。

――具体的に対応のどの部分に時間をかけていたのか

田口：当初はもう一度セキュリティの強化をと考えたが、今回は体制含めて再度検討し直すべきと考えた。

――GitHubにソースコードが流出していたという報道もあるが

田口：ソースコードは15年秋のもの。ログイン形式などは直接書いていない。今のようなサービスは想定していなかったので、仮にそのままアプリケーションを再構築しても影響はない。管理不行き届きについてはおわびしたい。

――不正アクセスについて、五月雨に対応したのはなぜか

後藤：お客さま保護を第一優先に考えたときに、まずは被害をとめようと、チャージ停止、新規登録停止を決めた。次に原因を見極める作業をしていたところ、外部ログインに脆弱性があったので、放置するわけにはいかず、（外部連携を）切った。

――後発で参入したから焦ったのか

奥田：18年6月にセブン-イレブンアプリが始まり、利用状況や開発体力を確認しながら7payの開発を進めてきた。焦りという認識はない。

――7payとnanacoで収集する情報の違いは。7iDはどうなるのか

後藤：nanacoは6000万枚の発行実績あるが、板カードなので双方向に情報をやりとりできない。7payはもっとオープンに、グループ以外での購買、決済情報を取り込み、ユーザーに合わせた提案をするようなことも考えていた。7iDはグループ横断的に使うもので、これ自体がデジタル戦略の要。

――鈴木敏文前会長が退任してから3年あまりで記者会見多すぎる。組織の緊張が緩んでいるのでは

後藤：「24時間（長時間労働）問題」も含めて大変な問題と認識しているが、鈴木前会長は関係ない。

――チャージしていない人が決済できてしまったという声もあるが

清水：Twitter上の情報は見ており、個別に対応している。7payに絡んだ話ではないというのは、お互いに理解している。個別の話なので詳細は控える。

――システムの安全性検証について、当初は問題ないとしていたが、やはり問題があったとしている。なぜ結果が変わったのか

清水：システムの診断テストで脆弱性はなかったというのは私が回答した。詳細は話せないが、テストの範囲と深さが適切でなく、結果が変わったと考えている。

――7iDの安全性はどうか

清水：7iDもあらためて検証した。何のサービスを行うかでセキュリティレベルは変わる。他の企業、ガイドラインや国際的な規格などと比較し、サービスごとに必要なセキュリティレベルを再検証した。現状の7iDは安全だという結論を出した。

――今回のセキュリティ対策プロジェクトの範囲は

清水：7payと7iDの認証に関わる部分を中心にやった。

――4日の記者会見での、セブン・ペイ小林強社長による二段階認証への発言は適切だったと思うか

奥田：開発当時、2要素2段階認証を入れなかったのは、利用状況モニタリングをすることで守れるという仮説があったから。現時点では、その認識は適切ではなかったと反省している。

――経営責任について。経営層の減俸処分などはあるか

後藤：外部の調査委員会がガバナンス、意思決定についてどこに問題があったのかをまとめ、取締役会で報告する。その上で会社の規定にのっとり、厳正厳粛に処分されることもあるだろう。辞任については今は考えていない。

――チャレンジしたいと言っているが、失った信頼をどう回復するか

後藤：重々承知している。着実になすべきことをやるしかない。7payという名前でもう一度チャレンジするわけではない。具体的な構想は決まっておらず、コード決済の領域にチャレンジしたいということ。

――リスト型ハッキングについて。いつ頃から、いくつのIPアドレスからどれほど攻撃を受けたのか

田口：細かいことについては現時点では答えられない。リリース翌日の早朝から相当回数、何千万回という回数のIDアタックがあったということ。

――被害者数の808人と、不正ログインされた件数は別か

田口：その通り。

――ログはしっかり取っていたのか、取っていなかったのか

田口：一定程度のサイト内の行動ログは残っていたので、現時点の被害者808人についての調査は終わっている。なりすまして不正に見られた可能性については、外部のセキュリティ会社に協力をいただいて調査しているが、いわゆるなりすましでゆっくり見られたというログは見つかっていない。

――10月1日から経産省が行うポイント還元事業を見据え、7payを導入したと思う。7payの廃止が加盟店に対し、事業と絡めてどのような影響をもたらすと考えているか

後藤：7payについては（ポイント還元事業への）申請はしていたが、辞退ということになるだろう。ただ、グループでは銀行、カード、店舗という形で事業への登録申請をしている。そのため特段の大きな影響が出るとは認識していない。顧客に迷惑はかからないようにできると思っている。

――被害の総額、特別損失はどう考えているか

後藤：当然減損も発生するが、連結全体から見れば非常に軽微な数字だと考えている。実際の数字は監査法人と詰めている。

――被害額と被害人数が、過去2回の発表（7月11日と31日）で異なる。被害状況の算出の根拠、数字が確定した根拠は

奥田：数字のロジックについて、7月4日の最初の謝罪会見のときには具体的な影響範囲が分からなかった。一定の条件を当てはめた試算で、約900人、約5500万円という発表になった。その後、相談ダイヤルへの問い合わせから、被害の可能性がある顧客数を算出した。その後、顧客へ電話をし、実際に本人の取引か、不正かという見極めをした結果、今回の数字になった。ただ、これからクレジットカードの利用明細書が届いたり、銀行口座から引き落としが行われるタイミングでもあるので、これから気付く人もいるだろう。

――サービス開始から狙われるまで早すぎた。なぜか。不正利用された店舗の数は

奥田：被害を検知したのは7月2日。実際に攻撃が始まった時間帯も7月2日未明。（攻撃者が）事前に準備していたかどうかは想像の域を出ないが、被害相談があったタイミングと一致する。不正利用は、地域特性はなく全国の店舗で起こったが、集中して行われた店舗もあった。

――不正利用は集中して行われたのか。短時間で決済されたのか

奥田：多様。短時間に一気に使われたケースもあった。対策については、海外IPからのアクセス遮断で相当数の抑止につながったと考えている。

――役所が求めていたものとセブンの考えにずれがあったのでは。運営会社のセブン・ペイはどうなるのか

後藤：監督官庁とのやりとりの説明は控えたい。セブン・ペイの会社は存続させるつもりである。

――開発途中で7payの仕様変更があったのではないかという指摘があるが

奥田：7pay単独アプリの予定だったのが、途中でセブン-イレブンアプリの一部になったのではという指摘についてだが、7payとセブン-イレブンアプリのスタートタイミングはズレている。断続的にセブン-イレブンアプリのメンバーと会話を重ね、セブン-イレブンアプリのいち機能にするのが利便性につながると考えた。

――開発費はいくらだったのか

奥田：費用については公表を控える。

――外部IDの問題など、以前から外部の指摘があったと思うが

後藤：世論も含めて認識している。Twitterなど常に確認し、勉強させてもらっている。経営判断は利用者保護という観点で決めている。

――「7月中旬以降、新たな被害が確認されていない」というのは4日の会見以降も被害があったということか

奥田：4日で新規登録、チャージ機能を止めた。そこから先は第三者による残高の利用が数件あった。それが中旬以降落ち着いたということ。謝罪会見から中旬までに新規に発生した被害者は全体の1割程度。

――2段階認証を入れなかったミスについて、ベンダーへの賠償などはするのか

奥田：協力している各企業とのことについては現段階で答えられない。まずはセブン・ペイ社が責任を取る。

――7iDのセキュリティは問題ないということだが、「オムニ7」まで影響が及ぶのでは

田口：確かに現時点でオムニ7と接続している部分はあるが、問題は起きていないと考えている。

――コード決済に関する経産省のガイドラインを、なぜ守らなかったのか

奥田：キャッシュレス推進協議会のガイドラインが発表されたのは19年4月で、7payの開発着手は18年2月。19年4月には既にテスト工程に入っていた。ガイドラインの項目をチェックすると、2〜3個のバツが付いた。その1つがセキュリティコードの入力回数に制限がなかったこと。3D認証の利用や、われわれ独自のチャージ用パスワードなどで対応しようというのが当時の判断だった。

――パスワードリスト攻撃の可能性が高いと判断した根拠は

田口：被害に遭った808人のIDを全員調査した。外部IDを利用している人もいるが、本人以外がログインした形跡はないと考えている。本人以外がパスワードリセットを使っているログはなかった。7iDは高度なアルゴリズムで私どもが見たり触ったりできないようになっている。

――ログインの仕様への認識は

奥田：2段階2要素の検討はあった。お客さまの操作感や、モニタリングで守れるんじゃないかいう考えなどもあり、その要素が落ちていったのが正直な経緯。これは当初、単独アプリを想定していたときのもの。

――7iDのセキュリティレベルについての評価を具体的に

田口：現時点の調査チームの評価。ホールディングス全体としても評価をしている。

――不正利用の手口について、ログインとチャージ用で別のパスワードを用意した人もいるのに、なぜ認証を突破されたのか

田口：現時点で個別で相談を受けている中では、同じパスワードを使っている人が多い。内部からの漏えいや外部から別のアタックがあったということもない。それらを総合し、現時点でリスト型と判断したという報告を受けている。

――パスワード一斉リセットの背景について。安心感のためにやったという話だが、ユーザーにとっても会社にとっても相当の負担ではないか

後藤：（ユーザーには）パスワードがどこでどのように流出したのかという不安がある。リセットすることで不安を極小化できるだろうと考えた。

――他の決済サービスよりセキュリティレベルが高いという認識はあったか

清水：お金が絡むものは高いセキュリティが必要だが、結果としてそのレベルに達していなかった。そのままサービスインしたことに認識のギャップがあったと考えている。

――捜査機関との連携は。被害届を出したり、当局に資料を提出したりしたか。外部IDの脆弱性は

清水：被害届は提出済み。捜査協力のためログなどのデータを提供している。

――外部IDの脆弱性は

田口：外部IDについては、中間サーバを通してなりすませる可能性があった。そのため各社のアプリケーションの接続を切らせていただいた。

──外部の弁護士による検証チームは日弁連のガイドラインにのっとっているのか

後藤： 日弁連の第三者委員会ではなく、社内で組んだ外部の弁護士による調査。検証には1〜2カ月かかるかもしれない。

──開発の経緯について。仕様を変えると相応のテスト期間が必要だろう。公開を遅らせてでもシステムを作りこまなかったのはなぜか

奥田： 途中に何度か変更があったのは前述の通り。公開日である7月までにできるのは何かということを考え、開発体力の確保とともにテスト期間を設けた。必要最低限の期間は確保できたと考えている。

──7月公開厳守はなぜだったのか

奥田： セブン・ペイの経営判断として、7月スタートがお客さまにとっていいのではないかと考えた。開発体力を確保し、テスト期間も相当あるだろうという中で、後ろにずらす考えはなかった。

──公開に関して外部環境は考慮したのか

奥田： 10月からキャッシュレス決済のポイント還元は考慮していた。他社のキャッシュレス決済サービスの動きは考慮していなかった。

──セブン＆アイHDとしての経営判断でも7月スタートだったのか

後藤： 7月スタートについてはセブン・ペイ、セブン-イレブン・ジャパンの連携で設定されたスタート時期と認識している。

──7payの不正チャージでは、リスト型では攻撃しづらいランダムな文字列のパスワードで被害に遭った人もいた。リスト型では説明がつかないのでは

田口： 個別に相談は別途いただく形。現時点での内外のセキュリティ調査での診断結果として答えている。

──現状被害として認識しているのは、パスワードリスト型攻撃だけということか。その他の攻撃はなかったという認識か

田口： 被害が遭った件を調べるとリスト攻撃がほとんど。808件の中で盗難されたクレジットカードを使われた形跡は認められるが、現時点ではほとんどがパスワードリスト型攻撃だったと考えている。個別の件については相談をさせていただきたい。

――内外の調査で問題がなかった、というのを信頼するには、エビデンスが必要。どんなセキュリティ企業が協力したか、などレポートを出す予定はあるのか

清水：外部のセキュリティの専門会社に協力してもらっている。ただ、守秘義務があるので個別の企業名は開示できない。

後藤：各省庁などには細かく報告していく。

――7payの運営元セブン・ペイは存続するというが、何をするのか。サービスの事後処理をするのか

後藤：7payでは現状の事象の対応と、他のスマホ決済サービスとのゲートウェイ機能を担っている。その機能は引き続き、セブン・ペイの事業として営んでいく。

――加盟店の負担の件について、7payの廃止によって、具体的にどのような負担がかかると考えているのか。10月以降、決済周りで加盟店にどのような負担がかかるか

後藤：加盟店の最大の負担は、利用客への対応だと思っている。どのような対応がいいかは検討していく。ポイント還元事業のコストは、（セブン-イレブンの）本部が負担する。

――7payのシステム開発体制は、どれくらいのグループ規模で、どれくらいの立場の人が関わっていたのか。横串の連携が取りづらかった理由は

後藤：開発の責任は、最終的にセブン・ペイが負っている。横串の連携ができなかったのかなどガバナンスについては、外部弁護士による検証チームが調べている。そのチームの中で検証していきたい。

――未使用の残高を早急に返金してほしいというユーザーもいる。そうした要望について、どのように考えているか

奥田：今すぐチャージ残高を払い戻してほしいという顧客は一定数いる。チャージ残高は、9月30日までは使える。そのまま利用いただけるという案内をしながら、不安があるユーザーには一時的にアカウントの凍結処理をして、10月以降に払い戻しをしていく。

――パスワードの一斉リセットによってログインできなくなったというユーザーの報告もある。そうしたユーザーへの対応は

奥田：まず「7iD」を使ったログインを案内する。セブン・ペイ側も協力して案内を進めている。