クレジットカード社会で生きるということ~生き残るためのお金の知識~

キャッシュレス社会でこの先生きのこるため、クレジットカードのお得情報や入会審査に関する情報を発信しています。

セブンペイ、サービス開始早々の特大トラブル多発 & 経営層の危機意識の薄さがヤバい

投稿日:



QRコード決済の波が止まりません!といった風に鳴り物入りに登場した7pay (セブンペイ)。おにぎり無料クーポンというPayPayに比べるとかなり微妙な特典を引っ提げて2019年7月1日からサービス開始となりました。

しかし、初日からまさかの不正アクセスやシステムトラブルの続発。経営陣の甘い現状認識が露呈されてしまった記者会見が産声を上げたばかりのセブンペイにとどめを刺してしまいそうです。まだサービス開始からたった二週間程度なんだぜ、これ。

2019年7月13日現在もセブンペイはサービス停止中。いつになったら復旧するのでしょうか・・・。

更にドミナント戦略によるフランチャイズを食い物にしたセブン-イレブン本部の悪辣な遣り口まで広まり始め、独り勝ち状態に等しかったセブン&アイ全体に逆風が吹き始めました。

今回はセブンペイをめぐるトラブルについて、以下の観点からお伝えします。

  • 不正使用の手口詳細
  • 不正使用による被害
  • 不正使用被害に遭わないためにどうするべきか

セブンペイの不正使用、具体的に何があったのか

単純なアカウント乗っ取りが簡単に行われてしまった?

セブンペイの不正アクセスは割とシンプルで、セブンペイ利用者のアカウント乗っ取りによるものです。

乗っ取られたアカウントでは勝手にクレジットカードからセブンペイに高額チャージされては勝手に高額決済を利用されてしまうという事態が発生し、約900人が被害を受けています。被害総額として7月4日午前6時現在の段階で既に合計5,500万円という金額に達しています。

この容疑者として7月4日には中国籍の男性二人が詐欺未遂容疑で逮捕されています。やっぱりこういうのって中国人なんですよねえ・・・。

セキュリティズブズブな「7iD」を決済サービスにそのまま利用

セブンペイはこれまでのセブンイレブンアプリの延長として提供されています。これまでセブンイレブン系のアプリやサービスでは、セブン&アイホールディングス系の共通アカウントとして、7iD が使用されており、セブンペイアプリも7iDによる利用が可能となっています。

これを聞くと、「えっ、アカウントを使いまわすなんて危ない!」と思われるかも知れません。しかし同様の使いまわしであれば、楽天でも同様の共通アカウントサービスを昔から提供しており、楽天IDひとつで楽天市場や楽天トラベル、楽天カードにまでアクセス可能です。

今回の事態を引き起こしたのは、7iDの認証周りのずさんなセキュリティ実装に原因があります

パスワード再発行確認メールを無関係なメールアドレスへ送ることが出来た

※ 7月5日現在、既にこの機能は削除されています。

7iDのパスワードをリセットするために必要な情報はメールアドレス (ユーザIDに相当) と登録時に入力した生年月日のみです。本人確認にSMSを使ったりすることもありません。

さらにあり得ないのが、パスワードリセットの確認メールを別のメールアドレスに送信する機能が付いていました。このため、セブンペイユーザのIDに当たるメールアドレスと生年月日さえ知っていれば他人のアカウントを簡単に乗っ取ることが出来たというわけです。

例えば、親兄弟、親しい友人、クラスメート、同僚、こうした人々にメールアドレスと生年月日を教えていたらそれだけでセブンペイアカウント乗っ取り被害に遭う可能性もあったわけです。また、FacebookなどSNSで個人メールアドレスと生年月日を公開しているとリスクは限りなく高まっていたことになります。

設計時にセキュリティ仕様の検討に時間を割いていなかったのでしょうか?

7月5日に矢継ぎ早の対策を発表するも・・・

セブンペイの不正使用について、セブン&アイが早速7/4に記者会見を開き、アカウント乗っ取りやその時点での被害推定額の報告を行っています。上記のとおり5,500万円の被害に達し、同日夜には犯人とされる中国籍の男二人が逮捕されました。

セキュリティ仕様の甘さに関して多方面から指摘を受け、早々に翌5日には二段階認証の導入や1回あたりのチャージ限度額の設定など、対策を発表しています。

しかし・・・

会見の際に、株式会社セブン・ペイの小林強社長、朝日の女性記者から、

「なぜ二段階認証を採用しなかったのか?他社は皆やっていると思いますが?」

という趣旨の質問を受けた際に、

「二段階認証・・・(知らないし・・・??)」、といった反応を見せていたため、株式会社セブン・ペイはトップがセキュリティに関して無知無関心である可能性が非常に高いことを強く示しています。セキュリティに無知、無関心であるということは、それに対してお金と労力を投じるべきであるという意識が欠如している可能性が高いという事にもなります。後述の滅茶苦茶な開発スケジュールもその一端であると言えるかもしれません。

二段階認証とは

一般的な認証では、ユーザID (メールアドレスで代替される事も多い) + パスワード文字列を使用します。しかしいずれもテキスト情報でしかなく詐取も容易であるため、二段階目としてSMS (携帯電話のショートメッセージサービス) で予めユーザが登録した携帯電話番号に4~6文字程度の数字を送り、それを指定時間内に入力させることでより強固な本人確認を実施しています。

おにぎり食べたい!で勝手に登録されてしまう事例も

他人のメールアドレスを勝手に使って、新規登録の際にもらえるおにぎり目当てでセブンペイに登録されてしまうという事案もありました。おにぎり目当てと言えば可愛く見えてしまいますが、これも不正登録ですからね。

おにぎりもう1個欲しくて、他人のメールアドレスで会員登録した上に、更にチャージまでされてしまったようで。

null様ってなんだよ・・・。

7月12日時点でも混乱は収まらず

被害に遭ってしまった方がTwitterに画像をあげられていたので引用させていただきます。

セブンペイ側で不正使用被害に遭っていると確認しているにも関わらず、なぜセブンペイに紐付けたクレジットカード会社へ売上情報をあげているのか、さっぱり理解に苦しみますね。

これが報告されたのは7月12日、つまり7月5日のセキュリティ向上施策の発表から一週間も経っています。にも拘わらず不正使用被害者へのこの仕打ち。真面目にサービスを提供するつもりがあるんでしょうか。

不正使用を確認しているのだから、せめて不正使用被害に遭ったIDに紐付けられたカード番号への請求を挙げるのぐらい停止できないものでしょうか。もしかして決済システムにそういったオペレーションを行う機能もないのでしょうか。非常に不安になりますね。

そもそも何故こんな杜撰なシステムになっているのか?

詳細な情報は「Business Insider」に掲載されています。本記事では骨子のみ引用させていただきます。

  • 度重なる仕様変更
  • サービス開始時期は2019年7月から変更されず、現場に負担が押し付けられていた
  • サービスの基本仕様 (単独アプリとしての配信 ⇒ セブン-イレブンアプリへの機能追加) が2018年末に行われた
  • 2018年末、同時に開発SIerを変更
  • 本番テスト期間は僅か1か月程度? (GW直前の4月末にテスト開始)

ITやSI業界でたまに出てくる、「ダメなシステム開発事例」まんまの展開だったようです。上層部はとにかくスケジュール通りに間に合わせろよ!としか指示していなかったのかも知れません。二段階認証すらろくに知らない社長さんですし。

また、オムニ7 (オムニセブン = セブン-イレブンや各グループ企業の基幹オンラインシステム) との連携を行うため、セブンペイ側の仕様変更に合わせてオムニ7側も何度も仕様変更が入り、仕様確認や単体・結合試験が十分に行われなかったというのも容易に想像がつきます。

オムニ7とセブンペイの両システムを深く理解し、その二つをまたがって俯瞰し、問題点の有無を洗い出せるエンジニアやプロジェクトマネージャがいなかったのかも知れません。2018年末というリリースから半年しかない時期に開発委託先を変更していることから、技術力はあっても既存システムとの連携を前提に考えられる人材が不足していても全く不思議ではありませんよね。カネを投じて頭数をそろえても、チームを正しい方向に向かわせて課題管理を適切に行える人材は必ずしも簡単に手に入るわけではありません。

こうした問題が発生しうることを考慮せずに、自分の保身のためにサービスリリーススケジュール遵守のみを重視し、安易に開発元を変更してしまったセブン・ペイ上層部の責任は非常に重いと考えます。

怒ると怖い経産省を怒らせた

昨今の韓国へのフッ化水素などの輸出優遇措置の撤廃に関して、徹底した態度を貫いた経済産業省。実は怒ると怖い人たちだったようですが、セブン・ペイはその経産省をして、「各種ガイドラインを遵守していなかった」と言わしめています。

本件の概要

今般、特定のコード決済サービスにおいて、アカウントが第三者に不正にアクセスされ、不正利用される事案が発生しました。当該事案の原因は、引き続き究明中ですが、当該コード決済サービスでは、(一社)キャッシュレス推進協議会が策定した不正利用防止のための各種ガイドライン(※)が遵守されていませんでした。

こうした状況を踏まえ、経済産業省は、決済事業者等に対して、改めて、不正利用防止のための各種ガイドラインの遵守を求めるとともに、常に最新のセキュリティ情報を収集し、自己のセキュリティ対策を見直した上で、セキュリティレベル向上に努めるよう要請しました。

なお、今年10月1日の消費税率引上げに伴い開始する「キャッシュレス・消費者還元事業」(ポイント還元事業)の実施に当たっては、既に本事業に登録されている決済事業者も含め、改めて、不正対策の徹底を求めていきます。

引用元 : 経済産業省 ニュースリリース 「コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました」

今回、筆者の私的事情により多忙で一週間ほど本記事執筆が遅れていましたが、一週間経っても事態の進展が見られないのが驚き桃の木(ry。

7月13日現在も未だにサービス停止中です。

経産省へガイドライン遵守のエビデンスや改善策、不正使用被害の再発防止策を提示して審査に通らない限りセブン・ペイのサービス復旧は難しいのかも知れません。一週間やそこらでは無理ですね。

泣きっ面に蜂、今度はセブン&アイ本体を襲う「ドミナント戦略」の悪辣さが世に広まり始めた

去る7月11日、セブン-イレブン東日本橋1丁目店 (東京都中央区) の元店主が遺体で発見されました。奇しくもセブン-イレブンな7月11日に。ご冥福をお祈り致します。

この東日本橋1丁目店、いわゆるドミナント戦略の被害者でもありました。

セブン-イレブンなど大手コンビニは、「ドミナント戦略」(ランチェスター戦略) を採用しており、限られた地域に集中的に多数出店することでその地域の顧客を牛耳り、また次の売れる地域を目指して出店します。

FC (フランチャイズ) 店舗を出店させ、儲かる地域であると分かったら本部直営店をその地域に多数新たに出店し、結果的に元々あったFC店舗にとっては競合店が多数出展され潰されてしまう事も少なくありません。FC契約の際に、多額の違約金を設定されていることも多く、これを払うことが出来ずに土地家屋を取られてしまう出店者も多いと言われています。

実際、売上の粗利が550万円を超えると実にその76%に相当する418万円が本部にもっていかれ、人手不足でバイトも集まらない状況でも24時間営業を止めさせてもらえない (24時間営業に反すると違約金を課す、と本部がFC店を恫喝していた件のニュースはご存知の方も多いと思います)。こんな状況で更にドミナント戦略で競合店を増やされてしまったら八方塞がりで、本部ははじめからFC店を潰して土地を奪うのが目的なんだろう、と言われても仕方のないところです。

件の東日本橋地域は、過去筆者も頻繁に訪れたことがありますが、狂ったようにコンビニが多い地域でした。徒歩10分圏内に二十店前後のコンビニがひしめき合う激戦区であり、こんな地域でドミナントされたら個人商店をたたんでコンビニを始めたFC店のオーナーは首をくくるしかないだろうな、といったレベルでコンビニが密集しています。どうやらセブン-イレブン本部は容赦なくドミナント戦略を実行したようで、東日本橋1丁目店 (閉店済み) のご家族は過労で世を去り、店主も亡くなられてしまいました。

詳細は続報待ちなのですが、このタイミングで出てきたニュースとしてはセブン・ペイやセブン&アイのイメージ悪化に何役も買う事はあってもイメージアップには全く貢献しないニュースで、まさに泣きっ面に蜂といったところでしょう。

おわりに

今回は、鳴り物入りで登場したコンビニチェーン最大手のセブン&アイによる7pay (セブン・ペイ) サービス開始即中止の経緯や、その不正使用を可能としてしまったセキュリティ対策・仕様の杜撰さ、開発段階におけるサービス開始の強行などの経緯をまとめてお伝えしました。

コード決済サービスの大手として期待されていたただけに今回のセブンペイの実態は非常に残念なものです。サービスを再度開始するなら、穴という穴を徹底的に塞いで安心して使えるものにしていただきたいものです。それでも一度失った信用を取り戻し、離れていったユーザを再び呼び戻すにはかなりの困難が予想されます。

堅牢なサービスとして生まれ変わるか、対策もそこそこにとにかく上層部が保身のためにサービスを復旧させてしまうのか、経産省がそれに対してどう出るのか、目が離せませんね!

関連記事

発行しやすい人気のクレジットカード

ライフカード年会費有料版(Ch)

審査が不安な方向けのライフカード登場!
他社でクレジットカードを作れなかった人、申し込む価値アリです。
・年会費5,000円+消費税
ライフカードの完全独自基準による寛容な審査。
「審査の通りやすさ」がウリ。
・お誕生月はポイント3倍!ポイントは各種ポイント、マイル、仮想通貨に交換可能

カード不正利用・紛失対応 〇
年会費ポイント還元
マイル換算
審査難易度国際ブランド
5,000円+消費税0.5%~1.5%
ANA 2.5~7.5マイル/1000円
★+
最短発行利用限度額サービス充実度お得度
一週間程度10万~30万円★★★★+★★★++

デポジット型ライフカード(Dp)

有料版ライフカード(Ch)を作れなかった方でも審査に通るライフカード登場!
どうしてもクレジットカードを欲しい方、他社でクレジットカードを作れなかった人、申し込む価値アリ。
・年会費5,000円+消費税 (ゴールドは10,000円+税)
デポジット (預り金 : 10万円 or 20万円) がそのまま利用限度額に
「審査の通りやすさ」がウリ。
・お誕生月はポイント3倍!ポイントは各種ポイント、マイル、仮想通貨に交換可能

カード不正利用・紛失対応 〇
ゴールドカードは空港ラウンジも利用可能

年会費ポイント還元
マイル換算
審査難易度国際ブランド
5,000円+消費税0.5%~1.5%
ANA 2.5~7.5マイル/1000円
最短発行利用限度額サービス充実度お得度
一週間程度10万円~20万円
(預り金と同額)
★★★★+★★★++

ANAアメリカン・エキスプレス®・カード

ANAマイルへ1:1交換できるポイントが貯まる、アメックス発行の提携カード。
各種プロテクション(不正利用補償・盗難/紛失補償)が付帯。
ANAマイルを無期限化することも可能!
入会ボーナスでANA1,000マイルプレゼント & ANA航空便搭乗でボーナスマイル+10%!
入会審査は寛容な模様 (現況重視)。
・国内空港ラウンジ … ○ (同伴者一名も無料利用可能)
年会費ポイント還元
マイル換算
審査難易度国際ブランド
7,000円(税別)1%
ANA1マイル/100円 
 ★★★
最短発行ステータス度サービス充実度お得度
通常1~3週間★★★★★★+★★★++

セディナカード Jiyu!da!

自由自在に毎月の支払額・支払い方法を選べる審査緩めのリボ専用カード
・年会費無料
審査は比較的寛容
・口座引き落としとコンビニ払い両対応 + 余裕のある時は追加返済可能
・ハローキティデザインも選べます

ダイエーとイオンで毎日ポイント3倍! & 海外のショッピング利用もポイント3倍!
・新規入会&登録で最大6,000ポイントプレゼント
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料0.50%~1.50%★★+
最短発行利用限度額サービス充実度お得度
審査 : ~二営業日
発行 : ~二週間
10万~200万円★★★★★★★

※本サイトの表記内容は2018年11月現在の内容になります。正しい詳細に関しては株式会社セディナの公式ページをご確認下さい。

楽天カード

楽天カードマンでお馴染み、年会費無料の高還元率カード。最初の一枚におススメ。
・信用育成後は最大ショッピング枠最大300万円/キャッシング枠最大100万円
常時1%以上の還元率
・楽天市場で3%~還元!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料1%~10%★★++
最短発行利用限度額サービス充実度お得度
一週間5万~100万円★★+★★★★

VIASOカード

安心と信頼の銀行系ブランド、三菱UFJニコスによる年会費無料カード
・最短で翌営業日発行
国内/海外旅行保険(最大2,000万円)利用付帯
・たまったポイントは1ポイント1円で年一回オートキャッシュバック
・会員用ショッピングモール経由でのネットショッピングで最大10%還元
・ETCカード決済でポイント2倍
・大手携帯電話キャリア利用料金(NTTドコモ、au、Softbank、Y!Mobile)決済でポイント2倍
・大手プロバイダ利用料金(Yahoo! BB、OCN、au one net、BIGLOBE、ODN)決済でポイント2倍
年会費ポイント還元
マイル換算
審査難易度国際ブランド
無料0.50%
5ポイント/1,000円
★★++
最短発行利用限度額サービス充実度お得度
最短1~2営業日10万~100万円★+ ~ ★★★★★★★

三井住友VISAクラシックカード

VISAカードの定番、銀行系プロパーカード!迷ったときはこれを作っておけばOK
・緊急時の対応に定評あり、学生の方や初心者におススメ
クレジットカードに必要な基本機能を一通り備えたカード
信頼と安心の銀行系プロパーカード
年会費ポイント還元
マイル換算
審査難易度国際ブランド
 初年度無料
翌年以降1,350円
0.5%~1.0%
ANA300~600マイル/10万円
★★★(一般)
★★++ (学生)
最短発行利用限度額サービス充実度お得度
3営業日10万~80万円★★★+★★★

dカード

ドコモユーザでなくても発行可能!作れば確実にお得、今や作らないのはもったいない
・ローソンでのお買物、5%還元!
・初年度年会費無料、翌年以降もカード利用があれば無料
・マツキヨ系列ドラッグストアでdポイント3倍!
・最短5分の超速審査!
・普段のお買物は1%還元
・ポイントは1ポイント単位で無駄なく利用可能!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
初年度無料
翌年以降1,250円(税別)
 1.0%~4.0% ★★++
最短発行利用限度額サービス充実度お得度
即日審査完了(条件付き)10万~100万円★★★★+★★★★★+

マジカルクラブTカードJCB

高齢ホワイトでクレジットカード審査に通らない方、マジカルで修業しませんか?
・年会費は永年無料!
Tポイントが貯まりやすい
・審査は相当に寛容な部類
・高齢ホワイト(クレヒスなし)にも優しい審査
・限度額はやや低め

年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料0.5%~★★
最短発行利用限度額サービス充実度お得度
二週間程度3万円~100万円★★★++★★★++

アメリカン・エキスプレス®・カード

海外旅行に強いアメックスの元祖、定番のT&Eカード。
各種プロテクション(不正利用補償・ショッピング返品保障・盗難/紛失補償)が充実。
海外旅行サポート … ○
・国内空港ラウンジ … ○ (同伴者一名も無料利用可能)
・海外空港ラウンジ … ○ (プライオリティパス、スタンダード付帯)
年会費ポイント還元
マイル換算
審査難易度国際ブランド
12,000円(税別)0.3%~1% (最大3.0%)
ANA1マイル/100円 
 ★★★+
最短発行ステータス度サービス充実度お得度
通常1~3週間★★★★★★★★★★★++

おすすめ記事

1

2018年8月現在の、日本国内の主要クレジットカードの審査難易度のランキングです!当サイト独自基準で作成しております。2 ...

2

2018年8月現在の日本国内の主要クレジットカードの審査難易度の一覧をランキング形式で公開いたします!先日公開した、「ラ ...

3

ライフカードがデポジット型のクレジットカードをリリースしました。保証金を預ければ誰にでも発行されると噂のデポジット型ライ ...

4

今回は反響の大きかった、「ライフカード有料版(Ch)」と一般のライフカードの違いについて、審査における違いや付帯特典の違 ...

5

年会費無料ながら、ライフカード(Ch)などと同等に審査に不安のある方でも通りやすいと言われているセディナカードJiyu! ...

6

今回は、クレジットカードに必ず載っている、「VISA」や「Mastercard」といったいわゆる「国際ブランド」と呼ばれ ...

7

今回は最近よく聞く、「共通ポイント」という言葉の意味や、日本国内で現在主流となっている共通ポイントについて解説します。 ...

8

今回は、2018年4月現在の主要なクレジットカードに特典として付帯してくる、海外旅行傷害保険・国内旅行傷害保険の一覧表を ...

-QRコード決済, 時事ニュース
-,

Copyright© クレジットカード社会で生きるということ~生き残るためのお金の知識~ , 2019 All Rights Reserved.