「7Pay」で不正利用が発生


7月1日からスタートした7Payで本日大量の不正利用報告がされているようです。

1日からスタートした、セブンイレブンのバーコード決済である7Payで、今日の朝から不正利用の報告が相次いでいます。

まず前提として、7Payの仕組みは簡単で、支払い時にバーコードを店員に見せて店員が読み取るという点が、ピッとタッチするSuicaやnanacoと違うだけで、本質的な仕組み自体は同じであり、あらかじめ何らかの方法で残高をチャージし、その残高の範囲内で買い物ができるというものです。

しかし、物理カードと異なり、アプリですから、アプリ内にクレジットカードやデビットカードを登録しておいて、スマホのアプリ上の操作でクレジットカードを使ってチャージができます。

今回の不正利用、最初に対策を説明すると、現時点ではパスワードを変更し、登録したカード情報を削除するしかないと思います。

手口は簡単で、アプリのIDとパスワードが流出しているっぽいです(その手口は不明で、流出したのか、abcdefgみたいな簡単なものにしている人が破られたのかはまだ不明)。

つまり、犯人が自分のスマホに7Payアプリをダウンロードして、ログインするときに、流出したIDとパスワード(これが私のだとする)を入力。

すると、犯人のスマホの7Payアプリ上には、私のチャージ残高や私が登録したクレジットカードが出現する。

そして、犯人が、アプリ上で登録済みの私のクレジットカードから私の残高にチャージし、アマゾンギフト券などをレジに持っていき、スマホに表示された私専用のバーコードを店員に見せて、店員がレジ端末でバーコードを読み取り、支払い完了。

現実の利用者は犯人だとしても、7Payアプリからすれば、私のアカウント上で、私のクレジットカードを使って残高がチャージされ、私のバーコードで買い物が完了しているわけで、私が私のスマホで利用したのとまったく同じです。

使われた端末が異なるとはいえ、スマホやタブレットを複数持っている人や買い替える人なんかはたくさんいますし、アプリがインストールされたスマホ本体が誰のものか(アプリ登録者と同一人物なのかなど)は把握しようがなく、何もおかしいことが起きていないことになります。

その結果、不正利用被害者からの連絡に対して、7Payのカスタマーセンターが、「不正利用の痕跡はありませんけど」なんて答えて、見事に炎上しています。

Suicaやnanacoのカードであれば、カード本体を落としてしまったときに、拾った人が何食わぬ顔で使用することが可能であっても、既にチャージされた残高の範囲内でしか被害がなかったのが、アプリの場合、アプリ内にオンラインチャージ用のクレジットカードが登録されている場合があり、アカウントを乗っ取られた場合には、nanacoカードとクレジットカードをセットで落としたような状況であり、犯人がカードの枠いっぱい使って残高をチャージしてから多額の買い物をするという被害にあう可能性があるということです。

しかし、一応フェアな立場から、7Pay側の説明もしてみます。

まず、7Payアプリには、上述したようにチャージ用にクレジットカードやデビットカードを登録できるのですが、チャージするたびにパスワードの入力が必要になります(これは都度手入力が必要)。

したがって、まだ詳細は不明ですが、不正利用の被害者においては、7Payのログインパスワードとチャージ時のパスワードを同じにしてた可能性があります。

そして、これは論外。

パスワードを複数用意するのは面倒とはいえ、アプリのログインパスワードとアプリ内の認証パスワードを同じにするのは、何のための2段階認証かわかりません(まあ、同じパスワードを登録できるような仕様にしたアプリ側の落ち度もないとは言えませんが・・・)。

また、現状、アプリのIDとパスワードの流出経路が不明です。

したがって、非常に簡単なIDとパスワードを登録していた人が狙われた可能性もあります(123456とか登録する人すごい多いらしいですね)。

スポンサーリンク

もっとも、本当に7Payサイドから流出した可能性もあるので(個人的には低いと思うけど)、現状、利用開始は控えた方がいいような気がします。

なお、せっかくなので、昨年起きたPaypayの不正利用との比較をします。

Paypayの不正利用事件は、Paypayをインストールして、クレジットカードを登録するときに、比較的簡単に他人のクレジットカードを登録できてしまったことから、犯人は、どこかで入手した他人のクレジットカードをPaypayに登録して、買い物したという事件です。

その点、今回の7Payの不正利用は、アプリ自体が乗っ取られたという事例で、結構ヤバい話です。

つまり、簡潔にまとめると。

[Paypay事件]
犯人利用情報:カード番号、有効期限、裏面の3桁番号

[今回]
犯人利用情報:7payのID(通常メアド)とパスワード

これは、7Payだけでなく、PaypayだろうがメルペイだろうがLINE Payだろうが、全てに起こりうる話で、アプリにログインするときに、IDとパスワードで本人に成りすましてしまえば、アプリ上、犯人は完全に本人であるかのように利用できますから、アプリとしてはどうしようもないです。

その点、Paypayはアプリを新規に導入するときに、SMS認証がありますから、登録した電話番号にSMSが来て、そのSMSに記載されたパスワードを入力しない限り利用できません。

つまり、悪い人が仮に私のPaypayのIDとパスワードを知ってしまったとして、犯人のスマホにPaypayをインストールして、私のIDとパスワードでログインしようとしても、それとは別に、登録した私の電話番号に送られるSMSに記載された認証コードを入力しない限りアクティブにはならないので、犯人としては、私のIDとパスワードという「情報」だけでなく、私の「スマホ本体」を持っていないと何もできないという形のセキュリティが採用されています。

この点、7PayはSMS認証を導入していなかったので、IDとパスワードさえあればアカウントの乗っ取りは簡単なのですが、その反面、認証パスワードという2つ目のパスワードが、登録したクレジットカードの利用には要求されていたため、そこで、多額の不正利用は防げるはずでした。

この方法も利点があり、Paypayの場合は乗っ取り対策は十分ですが、スマホを落としてロックを解除されたら(これが相当ハードですがされたとして)、不正利用は止められません(登録銀行口座からばんばんチャージされ、利用される可能性がある)。

しかし、7Payの場合は、犯人が自分のスマホアプリに他人のIDでログインして他人に成りすまそうが、他人のスマホを盗んでロックを解除しようが、追加の残高チャージには都度パスワードの入力が必要なため、チャージ済み残高の不正利用は仕方ないとしても、高額の被害は起きない仕組みです。

そして、以前からある、おサイフケータイのnanacoアプリは同じ仕様ですが、実際に起きてなかったんじゃないかな。

そこで油断したか、7Payアプリ導入にあたって、決済上限を変えてしまったか。

とは言え、どうやって、ID、ログインパスワード、認証パスワードの3つが割られたのだろうか。

クレジットカードの番号流出は、店頭でのスキミングや、チケットぴあのような自社サーバーに決済情報を残しておいてハッキングされた間抜けな事例なんか山ほどありますから、流出しているのは分かるのですが、セブンイレブンアプリの情報が流出したというニュースは聞いたことがありません(報告されてなかっただけなのかも)。

ここから先は推測ですが、IDとパスワードが簡単なもので、かつ2段階目のパスワードをログインパスワードと同じにしている人たちがやられちゃったということなんじゃないかな(違ったら本当にごめんなさい)。

そうではなくて、ID、ログインパスワード、認証パスワードの3つが流出していたら、これは大ごと。

いずれにせよ、SMS認証を入れてなかったのは、失態かもしれませんね。