セブン&アイ・ホールディングスのQRコード決済サービスで不正利用が起きた。同社が被害を認定した利用者は約1600人、被害額は約3200万円に上る。ようやく立ち上がりつつあったQR決済市場に冷や水を浴びせた格好だ。「外部ID連携」の脆弱性など、システムの不備も相次ぎ見つかった。考えられる攻撃手法は複数あるが、不正利用の手口の詳細は明らかになっていない。

 「7payをご利用なさっているお客様および関係者の皆様に、多大なるご心配、ご迷惑をおかけしたことを深くお詫び申し上げます」――。

 2019年7月4日午後、都内で緊急記者会見を開いたセブン・ペイの小林強社長は、QRコード決済サービス「7pay」で発生した不正利用について陳謝し、深々と頭を下げた。

 セブン&アイ・ホールディングスは7月11日午後5時時点で不正利用の被害者の数を1574人、被害額を約3240万円と認定した。今後の調査で、被害を受けた人の数や金額が膨らむ可能性もある。

 7payはセブン&アイ傘下のセブン・ペイが運営する決済サービスだ。2019年7月1日から、セブン&アイのスマートフォンアプリ「セブン-イレブンアプリ」に決済機能を追加する形で始まった。

 利用者はアプリで利用登録を終えると、店頭のPOS(販売時点情報管理)レジやセブン銀行のATMのほか、「nanacoポイント」や事前に登録したクレジットカードなどからチャージができる。

 まずセブン&アイは全国約2万1000店のセブン-イレブン店舗で使えるようにし、2019年10月以降に外部の加盟店に開放する予定だった。不正利用を受けて、計画の見直しは避けられない情勢だ。

 不正利用が発覚したきっかけは、7月2日に利用者から「身の覚えのない取引があったようだ」と問い合わせがあったことだ。セブン&アイは社内調査を進め、翌日の3日午前までに不正利用が発覚した。

 「不正検知システムを使いながら不審な取引を洗い出していくと、ほとんどが海外のIPアドレスからだった」(小林社長)。国際的な犯罪組織の関与が疑われている。攻撃者は不正に入手したIDとパスワードを悪用。国内の実働部隊がタバコなど換金しやすい商品を購入していた。

 セブン&アイは海外からのアクセスを遮断し、クレジットカードなどからのチャージを一時停止した。4日午後には店頭のPOSレジやセブン銀行のATMなどを含む全てのチャージを一時停止した。

表 7payの不正利用を巡る経緯
開始からわずか4日足らずで大半の機能を停止
[画像のクリックで拡大表示]

ログイン仕様の不備を突かれたか

 不正の手口は何なのか。セブン&アイは調査中として詳細を明らかにしていないが、起きた事象からいくつかの可能性が考えられる。

 例えばセキュリティー対策が甘いサイトから漏れたIDとパスワードなどの組み合わせを悪用し、利用者のアカウントを乗っ取る「パスワードリスト攻撃」だ。

 7payはSMS(ショート・メッセージ・サービス)を使って本人確認をする「多要素認証」を導入しておらず、IDとパスワードがあればログインできた。クレジットカードでチャージする際は別のパスワードを入力する必要があるが、これを第三者が勝手に変更できた恐れがある。

 パスワードリセット機能の不備を突かれた可能性もある。7payは生年月日と電話番号、メールアドレスの情報があれば、第三者がパスワードを変更できる仕様だった。しかも、パスワードをリセットするためのメールを、事前に登録したメールアドレスとは別のメールアドレスにも送信できた。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら