セブンイレブンのモバイル決済「7pay」で不正利用が発生

7 月 1 日にセブンイレブンのモバイル決済サービス「7pay（セブンペイ）」がリリースされたようですが。

開始早々アクセス集中によるサーバーエラーでアプリが使えない状況が発生したとか。

そのうえ不正利用による被害が発生しているようで Twitter 上では酷いことになっています。

被害の内容としては 7 アプリ（7pay は 7 アプリの 1 機能として統合されている）に不正ログインされ、登録していたクレジットカードから残高を勝手にチャージされ使用されてしまうというもの。

7 アプリを利用するには「7iD」のアカウントが必要なのですが、このアカウントが第三者に不正アクセスされたもよう。

ログインにはアカウント情報以外の本人確認が無く、アカウント情報さえわかってしまえば簡単にログインできてしまう仕様なんだとか。

しかも「オムニ 7」というセブン & アイの通販サイトからパスワードの再設定を行う場合、必要なものが 7iD に登録したメールアドレスと誕生日だけで、パスワード再発行メールを送る先を個別に指定できる仕組みになっていたらしい。（自分が試した段階では「送付先メールアドレス」の項目は非表示になっていた）

そのため本人が気づかないうちにパスワードを変更することが可能な状態だったとのこと。

挙句に iOS 版は誕生日の入力が必須ではないらしく、その場合固定の誕生日が勝手に登録されるため実質パスワードの再設定に必要な情報はメールアドレスだけとなる。

つまりどこかから手に入れたメールアドレスのリストを固定の誕生日と組み合わせて総当たり攻撃を行えば、アカウントのパスワードを不正に変更することができる可能性がある状態だったということ。

しかも被害が発生していた当時はパスワードを変更してもアプリから自動でログアウトされることが無く、犯人がログインした状態が維持されていたとのこと。（自分が試した段階ではパスワードが変更されると自動でアプリからログアウトされるようになっていた）

この状態では運営が推奨しているパスワードの変更を実施したところで意味が無い。

ちなみにこの問題は 7 アプリだけでなく 7iD を使っているオムニ 7 でも同様の被害が出る可能性があります。

今日開かれた緊急会見で

「オムニ 7 の方では不正アクセスは確認できていない」

と発表があったそうですが、心配な方は問題が解消されるまではオムニ 7 のクレジットカード情報も削除しておいた方が無難かもしれません。

緊急会見ではこの他に

などが発表されたそうな。

PayPay の時もなかなか酷かったですが、それを上回る酷さですね。

一部ではサービス開始時のサーバーエラーはこの不正アクセスによる影響だったのではないかという憶測も出ていたりします。

重要なメールの送信先を個別で指定できるようにする問題は、前にドコモオンラインショップでスマートフォンを不正に購入されてしまう被害が出た際に指摘されていたのに改善されていなかったわけですからね。

理由として「キャリアメールを利用してる人のため」とか言ってますが、そういう人のためにサイトをスマートフォンでの表示に対応させているんじゃないんですかね？

色々と思うことはありますが、今後の対応に注目したいともいます。