QRコード決済の波が止まりません!といった風に鳴り物入りに登場した7pay (セブンペイ)。おにぎり無料クーポンというPayPayに比べるとかなり微妙な特典を引っ提げて2019年7月1日からサービス開始となりました。
しかし、初日からまさかの不正アクセスやシステムトラブルの続発。経営陣の甘い現状認識が露呈されてしまった記者会見が産声を上げたばかりのセブンペイにとどめを刺してしまいそうです。まだサービス開始からたった二週間程度なんだぜ、これ。
2019年7月13日現在もセブンペイはサービス停止中。いつになったら復旧するのでしょうか・・・。
更にドミナント戦略によるフランチャイズを食い物にしたセブン-イレブン本部の悪辣な遣り口まで広まり始め、独り勝ち状態に等しかったセブン&アイ全体に逆風が吹き始めました。
今回はセブンペイをめぐるトラブルについて、以下の観点からお伝えします。
- 不正使用の手口詳細
- 不正使用による被害
- 不正使用被害に遭わないためにどうするべきか
セブンペイの不正使用、具体的に何があったのか
単純なアカウント乗っ取りが簡単に行われてしまった?
セブンペイの不正アクセスは割とシンプルで、セブンペイ利用者のアカウント乗っ取りによるものです。
乗っ取られたアカウントでは勝手にクレジットカードからセブンペイに高額チャージされては勝手に高額決済を利用されてしまうという事態が発生し、約900人が被害を受けています。被害総額として7月4日午前6時現在の段階で既に合計5,500万円という金額に達しています。
この容疑者として7月4日には中国籍の男性二人が詐欺未遂容疑で逮捕されています。やっぱりこういうのって中国人なんですよねえ・・・。
セキュリティズブズブな「7iD」を決済サービスにそのまま利用
セブンペイはこれまでのセブンイレブンアプリの延長として提供されています。これまでセブンイレブン系のアプリやサービスでは、セブン&アイホールディングス系の共通アカウントとして、7iD が使用されており、セブンペイアプリも7iDによる利用が可能となっています。
これを聞くと、「えっ、アカウントを使いまわすなんて危ない!」と思われるかも知れません。しかし同様の使いまわしであれば、楽天でも同様の共通アカウントサービスを昔から提供しており、楽天IDひとつで楽天市場や楽天トラベル、楽天カードにまでアクセス可能です。
今回の事態を引き起こしたのは、7iDの認証周りのずさんなセキュリティ実装に原因があります。
パスワード再発行確認メールを無関係なメールアドレスへ送ることが出来た
※ 7月5日現在、既にこの機能は削除されています。
7iDのパスワードをリセットするために必要な情報はメールアドレス (ユーザIDに相当) と登録時に入力した生年月日のみです。本人確認にSMSを使ったりすることもありません。
さらにあり得ないのが、パスワードリセットの確認メールを別のメールアドレスに送信する機能が付いていました。このため、セブンペイユーザのIDに当たるメールアドレスと生年月日さえ知っていれば他人のアカウントを簡単に乗っ取ることが出来たというわけです。
例えば、親兄弟、親しい友人、クラスメート、同僚、こうした人々にメールアドレスと生年月日を教えていたらそれだけでセブンペイアカウント乗っ取り被害に遭う可能性もあったわけです。また、FacebookなどSNSで個人メールアドレスと生年月日を公開しているとリスクは限りなく高まっていたことになります。
設計時にセキュリティ仕様の検討に時間を割いていなかったのでしょうか?
7月5日に矢継ぎ早の対策を発表するも・・・
セブンペイの不正使用について、セブン&アイが早速7/4に記者会見を開き、アカウント乗っ取りやその時点での被害推定額の報告を行っています。上記のとおり5,500万円の被害に達し、同日夜には犯人とされる中国籍の男二人が逮捕されました。
セキュリティ仕様の甘さに関して多方面から指摘を受け、早々に翌5日には二段階認証の導入や1回あたりのチャージ限度額の設定など、対策を発表しています。
しかし・・・
- 画像引用 : 朝日新聞デジタル
会見の際に、株式会社セブン・ペイの小林強社長、朝日の女性記者から、
「なぜ二段階認証を採用しなかったのか?他社は皆やっていると思いますが?」
という趣旨の質問を受けた際に、
「二段階認証・・・(知らないし・・・??)」、といった反応を見せていたため、株式会社セブン・ペイはトップがセキュリティに関して無知無関心である可能性が非常に高いことを強く示しています。セキュリティに無知、無関心であるということは、それに対してお金と労力を投じるべきであるという意識が欠如している可能性が高いという事にもなります。後述の滅茶苦茶な開発スケジュールもその一端であると言えるかもしれません。
二段階認証とは
一般的な認証では、ユーザID (メールアドレスで代替される事も多い) + パスワード文字列を使用します。しかしいずれもテキスト情報でしかなく詐取も容易であるため、二段階目としてSMS (携帯電話のショートメッセージサービス) で予めユーザが登録した携帯電話番号に4~6文字程度の数字を送り、それを指定時間内に入力させることでより強固な本人確認を実施しています。
おにぎり食べたい!で勝手に登録されてしまう事例も
他人のメールアドレスを勝手に使って、新規登録の際にもらえるおにぎり目当てでセブンペイに登録されてしまうという事案もありました。おにぎり目当てと言えば可愛く見えてしまいますが、これも不正登録ですからね。
【続報】オニギリもう一つゲットした模様
ウッソだろおいわたしのアドレスだよ?
ほんとに勝手に使ってたの?クレジット情報ないし抜かれないよね?こわいんだけど#7PAY #7ペイ #セブンPAY #セブンペイ #セブンイレブン pic.twitter.com/AWZqWkn2Tb— C͓̽A͓̽N͓̽D͓̽Y͓̽ (@CANDY__SPECIAL) July 3, 2019
おにぎりもう1個欲しくて、他人のメールアドレスで会員登録した上に、更にチャージまでされてしまったようで。
null様ってなんだよ・・・。
7月12日時点でも混乱は収まらず
被害に遭ってしまった方がTwitterに画像をあげられていたので引用させていただきます。
セブンペイ側で不正使用被害に遭っていると確認しているにも関わらず、なぜセブンペイに紐付けたクレジットカード会社へ売上情報をあげているのか、さっぱり理解に苦しみますね。
これが報告されたのは7月12日、つまり7月5日のセキュリティ向上施策の発表から一週間も経っています。にも拘わらず不正使用被害者へのこの仕打ち。真面目にサービスを提供するつもりがあるんでしょうか。
おかしいな
セブンペイからは不正利用を確認したと言っているのに、なぜクレジットカードに売上があがってるんだ
やる気あるのか pic.twitter.com/ulayciGDsT— めるかば (@methuselah3) July 11, 2019
twitter.com
不正使用を確認しているのだから、せめて不正使用被害に遭ったIDに紐付けられたカード番号への請求を挙げるのぐらい停止できないものでしょうか。もしかして決済システムにそういったオペレーションを行う機能もないのでしょうか。非常に不安になりますね。
そもそも何故こんな杜撰なシステムになっているのか?
詳細な情報は「Business Insider」に掲載されています。本記事では骨子のみ引用させていただきます。
- 度重なる仕様変更
- サービス開始時期は2019年7月から変更されず、現場に負担が押し付けられていた
- サービスの基本仕様 (単独アプリとしての配信 ⇒ セブン-イレブンアプリへの機能追加) が2018年末に行われた
- 2018年末、同時に開発SIerを変更
- 本番テスト期間は僅か1か月程度? (GW直前の4月末にテスト開始)
ITやSI業界でたまに出てくる、「ダメなシステム開発事例」まんまの展開だったようです。上層部はとにかくスケジュール通りに間に合わせろよ!としか指示していなかったのかも知れません。二段階認証すらろくに知らない社長さんですし。
また、オムニ7 (オムニセブン = セブン-イレブンや各グループ企業の基幹オンラインシステム) との連携を行うため、セブンペイ側の仕様変更に合わせてオムニ7側も何度も仕様変更が入り、仕様確認や単体・結合試験が十分に行われなかったというのも容易に想像がつきます。
オムニ7とセブンペイの両システムを深く理解し、その二つをまたがって俯瞰し、問題点の有無を洗い出せるエンジニアやプロジェクトマネージャがいなかったのかも知れません。2018年末というリリースから半年しかない時期に開発委託先を変更していることから、技術力はあっても既存システムとの連携を前提に考えられる人材が不足していても全く不思議ではありませんよね。カネを投じて頭数をそろえても、チームを正しい方向に向かわせて課題管理を適切に行える人材は必ずしも簡単に手に入るわけではありません。
こうした問題が発生しうることを考慮せずに、自分の保身のためにサービスリリーススケジュール遵守のみを重視し、安易に開発元を変更してしまったセブン・ペイ上層部の責任は非常に重いと考えます。
怒ると怖い経産省を怒らせた
昨今の韓国へのフッ化水素などの輸出優遇措置の撤廃に関して、徹底した態度を貫いた経済産業省。実は怒ると怖い人たちだったようですが、セブン・ペイはその経産省をして、「各種ガイドラインを遵守していなかった」と言わしめています。
本件の概要
今般、特定のコード決済サービスにおいて、アカウントが第三者に不正にアクセスされ、不正利用される事案が発生しました。当該事案の原因は、引き続き究明中ですが、当該コード決済サービスでは、(一社)キャッシュレス推進協議会が策定した不正利用防止のための各種ガイドライン(※)が遵守されていませんでした。
こうした状況を踏まえ、経済産業省は、決済事業者等に対して、改めて、不正利用防止のための各種ガイドラインの遵守を求めるとともに、常に最新のセキュリティ情報を収集し、自己のセキュリティ対策を見直した上で、セキュリティレベル向上に努めるよう要請しました。
なお、今年10月1日の消費税率引上げに伴い開始する「キャッシュレス・消費者還元事業」(ポイント還元事業)の実施に当たっては、既に本事業に登録されている決済事業者も含め、改めて、不正対策の徹底を求めていきます。
引用元 : 経済産業省 ニュースリリース 「コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました」
今回、筆者の私的事情により多忙で一週間ほど本記事執筆が遅れていましたが、一週間経っても事態の進展が見られないのが驚き桃の木(ry。
7月13日現在も未だにサービス停止中です。
経産省へガイドライン遵守のエビデンスや改善策、不正使用被害の再発防止策を提示して審査に通らない限りセブン・ペイのサービス復旧は難しいのかも知れません。一週間やそこらでは無理ですね。
泣きっ面に蜂、今度はセブン&アイ本体を襲う「ドミナント戦略」の悪辣さが世に広まり始めた
去る7月11日、セブン-イレブン東日本橋1丁目店 (東京都中央区) の元店主が遺体で発見されました。奇しくもセブン-イレブンな7月11日に。ご冥福をお祈り致します。
この東日本橋1丁目店、いわゆるドミナント戦略の被害者でもありました。
セブン-イレブンなど大手コンビニは、「ドミナント戦略」(ランチェスター戦略) を採用しており、限られた地域に集中的に多数出店することでその地域の顧客を牛耳り、また次の売れる地域を目指して出店します。
FC (フランチャイズ) 店舗を出店させ、儲かる地域であると分かったら本部直営店をその地域に多数新たに出店し、結果的に元々あったFC店舗にとっては競合店が多数出展され潰されてしまう事も少なくありません。FC契約の際に、多額の違約金を設定されていることも多く、これを払うことが出来ずに土地家屋を取られてしまう出店者も多いと言われています。
実際、売上の粗利が550万円を超えると実にその76%に相当する418万円が本部にもっていかれ、人手不足でバイトも集まらない状況でも24時間営業を止めさせてもらえない (24時間営業に反すると違約金を課す、と本部がFC店を恫喝していた件のニュースはご存知の方も多いと思います)。こんな状況で更にドミナント戦略で競合店を増やされてしまったら八方塞がりで、本部ははじめからFC店を潰して土地を奪うのが目的なんだろう、と言われても仕方のないところです。
件の東日本橋地域は、過去筆者も頻繁に訪れたことがありますが、狂ったようにコンビニが多い地域でした。徒歩10分圏内に二十店前後のコンビニがひしめき合う激戦区であり、こんな地域でドミナントされたら個人商店をたたんでコンビニを始めたFC店のオーナーは首をくくるしかないだろうな、といったレベルでコンビニが密集しています。どうやらセブン-イレブン本部は容赦なくドミナント戦略を実行したようで、東日本橋1丁目店 (閉店済み) のご家族は過労で世を去り、店主も亡くなられてしまいました。
詳細は続報待ちなのですが、このタイミングで出てきたニュースとしてはセブン・ペイやセブン&アイのイメージ悪化に何役も買う事はあってもイメージアップには全く貢献しないニュースで、まさに泣きっ面に蜂といったところでしょう。
おわりに
今回は、鳴り物入りで登場したコンビニチェーン最大手のセブン&アイによる7pay (セブン・ペイ) サービス開始即中止の経緯や、その不正使用を可能としてしまったセキュリティ対策・仕様の杜撰さ、開発段階におけるサービス開始の強行などの経緯をまとめてお伝えしました。
コード決済サービスの大手として期待されていたただけに今回のセブンペイの実態は非常に残念なものです。サービスを再度開始するなら、穴という穴を徹底的に塞いで安心して使えるものにしていただきたいものです。それでも一度失った信用を取り戻し、離れていったユーザを再び呼び戻すにはかなりの困難が予想されます。
堅牢なサービスとして生まれ変わるか、対策もそこそこにとにかく上層部が保身のためにサービスを復旧させてしまうのか、経産省がそれに対してどう出るのか、目が離せませんね!
