全1439文字

（写真：共同通信）

セブン＆アイ・ホールディングスが7月1日に開始したスマホ決済サービス「7pay（セブンペイ）」で不正アクセス被害が発生した。SNS上で「30万円を不正利用された」「19万円を不正にチャージされて使われた」などの被害が相次いで報告され、セブン＆アイは7月3日にクレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めた。セブン＆アイの発表によると、7月4日の午前6時時点の試算で被害者は約900人、被害額は約5500万円に上る。

4日に会見したセブン＆アイ傘下のセブン・ペイの小林強社長は「詳細な原因を調査中」と話した。だが、原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。

セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イレブンアプリで使われていた7iDは、メールアドレスと電話番号などが分かればパスワードのリセットが可能で、かつ第三者が別の端末で乗っ取ることが可能な状態になっていた。また、パスワードの漏洩時でも第三者が悪用できないようにする2段階認証の仕組みが備わっていなかった。

つまり、利用者本人がセブンペイでクレジットカードの初期登録を実行した後、セブンペイの脆弱な仕様の隙を突いて悪意のある利用者が乗っ取る。その上で登録されたクレジットカードで追加入金して換金可能性の高い商品を購入するという形で被害が発生したようだ。

7iDはもともと2015年11月に開始したセブン＆アイグループの総合通販サイト「オムニ7」用の「オムニ7会員」が名称変更したものだ。これまでは、乗っ取ったとしても割引クーポン程度しか入手できなかったため、悪意ある利用者が攻撃する価値はなかった。

しかし、セブンペイが始まり、7iDとのひも付けが始まった瞬間に「名義書き換えが可能なお財布」へと変わってしまった。オムニ7時代から抱えてきた「不発弾」が、ここにきて突然爆発した形だ。

セブンペイと同じタイミングで開始したファミリーマートの「ファミペイ」は、登録時に携帯電話番号を使ったSMS（ショートメッセージサービス）認証を採用。仮に悪意のある利用者が別のスマホから利用しようとしても、ログイン時には電話番号とパスワードのほか、登録時に登録した電話番号に送信されるSMSのワンタイムパスワードを入力する必要があるため、セブンペイのような事態を未然に防げる。

2段階認証がなかったことについて、セブン・ペイの小林社長は会見で「セブンペイの基本設計は、7iD、セブン-イレブンアプリがあり、その機能としてペイがある。2段階認証を採用するアプリと同じ土俵で比べられるのか分からない」と話した。

セブン・ペイ側は会見で「事前に脆弱性のチェックはしていた」と説明したが、スタートから大きくつまずいてしまった。利用者の信頼が傷ついたのはもちろん、セブン＆アイのデジタル戦略への影響も大きい。ITに対する理解度の差が、そのまま経営に反映される時代に入っていることにセブン＆アイの経営陣は気付いていただろうか。