2019年7月1日、大手セブン&アイ・ホールディングスは、国内のセブンイレブン店舗で使用できるスマホ決済アプリ「7pay」サービスを開始。顧客は買い物後、レジで同社アプリのバーコードを提示。それを店員がスキャンし、合計金額が支払いカードとリンクしたアカウントを通して決済される仕組みでした。1 またセブン&アイのアプリは国内全店舗で展開される予定でもありました。
しかし翌日、第三者により顧客の銀行口座からセブンペイへ送金が行われ、さらに買い物がなされるという権限のないトランザクションが報告されました。翌々日、同様の苦情が増え、お客様窓口への電話だけでなく、ツイッター等のソーシャルメディア上で苦情が増え続けました。約900人もの顧客が被害を受け、被害者の口座から総額5500万円が引き出されました。2 その結果、3日目の木曜日、セブン&アイはサービスを停止せざるを得ない状況となり、その後、新顧客の登録は停止。既存顧客はセブンペイ口座に送金できなくなりましたが、この時点ではアプリの残高を使用した支払いは可能となっていました。
運営会社セブンペイの小林強社長は、記者会見で今回のセキュリティ欠陥に関する謝罪を表明、被害者への賠償責任を約束しました。しかし同社アプリにセキュリティプロトコルの基本である2段階認証が使用されなかった理由を問われた際、2段階認証について熟知していない様子が露呈。3 サイバーセキュリティ事業に関わる多くの人は、決済アプリを運営する代表者がこのような基本的な情報に関して無知であることに驚かされました。セブン&アイのソフトウェア開発企業は公表されていませんが、デューデリジェンスの欠如、または過失が原因であることが囁かれました。
同日木曜日、東京のセブンイレブンにて、盗まれたアカウントを使用して買い物を試みた中国国籍の二人が逮捕されました。容疑者は中国で使用されているメッセージアプリWeChatを通じ、匿名者から指示されたセブンペイIDを使用して買い物をするよう要求されたと訴えています。容疑者の一人は異なったIDで煙草146カートンを1店舗で購入しており、後に容疑者の車内で19カートンが見つかりました。4 通常の顧客パターンとは異なった買い物であったにも関わらず報告しなかった店員の対応も気になります。現時点では中国人の犯罪組織による攻撃と見られていますが、調査の結果は報告されていません。
なぜセブンペイアカウントへのアクセスがここまで容易だったのでしょうか?原因はパスワードのリセット機能にありました。ハッカーはすでに顧客のメールアドレス、誕生日、電話番号を入手しており(ソーシャルメディア等から容易に入手が可能)、パスワードリセットをリクエストした後、第三者のメールアドレスに新しいパスワードが送信され、アカウントが自由に使用されました。このように、ハッカーは盗難クレジットカードやクローンカードを購入することで、アプリのコードを変更する必要もなく、容易にハッキングが可能です。さらに、顧客の誕生日が入力されていない場合、2019年1月1日がデフォルトとして設定されていました。このような脆弱性が放置されたまま運用されており、高額な被害総額も不思議ではない状況にありました。5
約40万ものユーザーアカウントに残高が報告されているにも関わらず、窮地に陥ったセブンペイは9月30日遂に幕を閉じました。翌月の10月10日には、今回の失態の責任者であった小林社長が辞任、新社長には井阪隆一氏、副社長には後藤克弘氏が任命されましたが、経営責任を明確にするため報酬の30%を返上する結果となりました。6 現時点では代わりとなる決済アプリの計画はないようですが、デジタル決済が一般的な決済方法の一つになりつつある今、今後の計画として除外はされていない模様です。
セブンペイだけでなく、2018年12月に発生したアプリ決済「PayPay」のセキュリティをめぐる問題も重なり、日本はキャッシュレス決済への不安を募らせました。ペイペイもセブンペイと類似したセキュリティ認証の欠如が原因でした。7 ハッカーは流出したクレジットカード情報を使用して買い物をしたり、20%キャッシュバックを請求していました。日本は世界でキャッシュレス決済が最も低い国の一つです。政府は2020年代中頃までには全決済の40%をキャッシュレス決済にするという意向を示しています。10月1日、日本では8%から10%への増税(食料品は除外)が実施されましたが、店舗によっては電子決済で支払われた場合5%キャッシュバックが提供されています。8 このことは顧客、国家への経済的恩恵をもたらすだけでなく、国民はまだこのようなシステムのセキュリティを信頼していることを表しています。
セブンペイやペイペイのセキュリティに関する問題は、より重要性を増すサイバーセキュリティに関し、経営陣が迅速に理解する必要であること示しています。サイバー犯罪者は既存のセキュリティの一歩先を常に模索しています。すべての企業は彼らの脅威を理解し、このような問題が発生しないよう優先的に対策をとる必要があります。
- ‘Two of Japan’s biggest convenience store chains launch their own mobile payment services’, The Japan Times, 07/01/2019, accessed at https://www.japantimes.co.jp/news/2019/07/01/business/two-japans-biggest-convenience-store-chains-launch-mobile-payment-services/#.Xam9BSV7nXQ
- Catalin Cimpanu, ‘7-Eleven Japanese Customers Lose $500,000 Due to Mobile Flaw App’, ZD Net, 07/04/2019, accessed at https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/
- Patrick St. Michel, ‘Convenience Store Operator Struggles in Wake of Security Fiasco’, The Japan Times, 07/13/2019, accessed at https://www.japantimes.co.jp/news/2019/07/13/national/media-national/convenience-store-operator-struggles-wake-security-fiasco/#.XanCjCV7nXQ
- Ian Murphy, ‘Japan Arrest Over 7pay Breach’, Enterprise Times, 07/08/2019, accessed at https://www.enterprisetimes.co.uk/2019/07/08/japan-arrest-over-7pay-breach/
- ‘Seven & i Chief to Face Pay Cut Over 7pay Hack’, com, 10/10/2019, accessed at https://www.nippon.com/en/news/yjj2019101001112/seven-&-i-chief-to-face-pay-cut-over-7pay-hack.html
- Jeremy Kirk, ‘Japan’s Credit Card Fraud Debacle’, Bank Info Security, 02/13/2019, accessed at https://www.bankinfosecurity.com/japans-december-credit-card-fraud-debacle-a-12021
- Jeremy Kirk, ‘Japan’s Credit Card Fraud Debacle’, Bank Info Security, 02/13/2019, accessed at https://www.bankinfosecurity.com/japans-december-credit-card-fraud-debacle-a-12021
- ‘Seven-Eleven Mobile Pay Hack Hits Japan’s Drive to go Cashless’, Nikkei Asian Review, 07/06/2019, accessed at https://asia.nikkei.com/Business/Companies/Seven-Eleven-mobile-pay-hack-hits-Japan-s-drive-to-go-cashless
