7月3日(水)の朝から、7pay(セブンペイ)の不正利用による被害報告が相次いでいます。不正アクセスによりセブンイレブンアプリが乗っ取られ、登録済みのクレジットカードから多額がチャージされ利用される被害が報告されています。
被害者の多くはオムニ7時代にアカウントを作った人に見られています。7pay(セブンペイ)はセブンイレブンの公式アプリを利用していますが、オムニ7時代にアカウントを作った場合、生年月日と会員ID(メールアドレス)が合致すれば、別のメールアドレスでパスワードの再設定が可能であることを悪用されたと見られています。
さらにiOSでの新規会員登録は、生年月日を入力しなくても可能で、その場合、自動的に2019年1月1日に設定されることが確認されていて、会員ID(メールアドレス)さえ分かれば、パスワード再設定ができてしまう可能性が指摘されています。
相次ぐ不正利用の被害報告を受けて、セブン&アイホールディングスはクレジット/デビットカード、店頭やATMでのチャージを停止し、7pay(セブンペイ)の新規登録も停止することを発表しました。チャージ済みの金額は利用できるとのこと。
今回の被害は、クレジットカードの不正利用だけでなく、セブンイレブンアプリが簡単に乗っ取られることにあります。不正チャージがなかった人も、7pay(セブンペイ)マネー残高がある人は今後、アプリを乗っ取られて不正に使用される可能性があるので注意してください。
不正利用に関する問い合わせは7payお客様サポートセンター緊急ダイヤル、電話(0120)192044まで(24時間/年中無休)へ。
7pay(セブンペイ)でクレカ不正利用が報告されています
7月1日からサービスをスタートした7pay(セブンペイ)で知らない間に登録していたクレジットカードから不正にチャージされ使われる被害が相次いでいます。
【写真】7payで不正アクセス被害に会いました。
今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。
1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
7payで不正利用発生!
クレジットで計18万円チャージされ
内、9万円がセブンイレブンJR錦糸町駅前店で使われる!クレジット会社への連絡→済。担当者からの折り返し待ち
7payのパスワード変更→済。
クレジットカードの紐付け解除→済。
7pay運営への電話→つながらず。メール送信済み。— ぬのびき@2019年はJGCプレミア! (@nuno_chann) 2019年7月3日
7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn
— 岬太郎 (@frogeye9999) 2019年7月2日
被害に逢っているのは7pay(セブンペイ)にクレジットカードを登録している人達で、7pay(セブンペイ)では、クレジットカードからの1日(1回)あたりのチャージ限度額は10万円とされているものの、Twitterでは、複数回の不正チャージにより合計の金額が18万円、19万円(6回)、30万円(3万円×10回)と高額の被害が報告されています。
7月4日午後、セブン&アイホールディングスは、緊急会見を開き、7pay(セブンペイ)の不正アクセスで900人に5,500万円の被害があった可能性を明らかにしました。
セブン&アイホールディングスは、「全ての被害に対して補償を行う」とのことです。
7pay(セブンペイ)乗っ取りの2つの原因とは?
7pay(セブンペイ)が乗っ取られてしまった原因は、パスワードのリセットが簡単にできる抜け穴があったこと、そして、アプリとスマホ端末の紐づけがないため、IDとパスワードがわかれば、別のスマホで簡単に乗っ取りができてしまうことにあります。
パスワードの再設定が簡単にできてしまう
オムニ7時代にアカウントを作っている場合、生年月日・電話番号と会員ID(メールアドレス)が合致すれば、別のメールアドレスからパスワードの再設定ができてしまうことが確認されています。
#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 https://t.co/2PkHOywbxV pic.twitter.com/wO2hrzrp9K— shao (Sho SAWADA) (@shao1555) 2019年7月3日
7pay(セブンペイ)は、7pay(セブンペイ)専用のアプリはなく、セブンイレブンの公式アプリ(セブンイレブンアプリ)を利用していて、セブンイレブンアプリ、オムニ7、イトーヨーカドーアプリは同じ会員IDで利用が出来ます。
さらに、セブンイレブンアプリの新規会員登録は、生年月日を入力しなくてもアカウントを作れるのですが、その場合、データ上は、2019年1月1月に設定されるため、本当の生年月日がわからなくてもパスワードの再設定が可能になってしまうことも確認されています。
うわあアア…… pic.twitter.com/e2DTyVR1Qy
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
SMS認証がない
7pay(セブンペイ)が乗っ取られてしまった2つめの原因が、7pay(セブンペイ)のセブンイレブンアプリは、スマホ端末と紐づいていないことです。
別のスマホにインストールしているセブンイレブンアプリでログインすると、過去にログインしていたアプリは自動的にログアウトされ、別のスマホに簡単に移行できることが確認されています。別のスマホでログインされたとの通知も届きません。
つまり、ログインとパスワードさえ分かれば、誰でも簡単に本人が知らない間に乗っ取りが可能ということです。
ちなみに、同時期にサービスをスタートさせたファミリーマートの「ファミペイ」アプリでは、会員登録時にスマホの電話番号を入力してSMS認証することが必須となっているので、別スマホで不正ログインできる可能性は極めて低いです。
7ペイが無い時代は、7アプリに不正ログインで乗っ取られても、決済に関しては実物のNANACOカードが無いと使えないから、会社としてはリスクとして考えなかったかもですが、その脆弱性を抱えたまま、7アプリに、そのまま決済ができる7ペイ機能を付けてしまった、あーあ…
という話な気がしますね。
— さすべぇ☂️梅雨の時こそさすべぇ (@besasube2) 2019年7月3日
7pay(セブンペイ)クレカからのチャージを一時停止
7月3日の早朝より7pay(セブンペイ)が不正アクセスされ不正チャージ・使用による被害が急増していることから、7pay(セブンペイ)のクレジットカード/デビットカードからのチャージに加え、店頭レジ・ATMでの現金チャージ、nanacoポイントからのチャージを停止し、全てのチャージを一時停止することが発表されました。
「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について
これで、不正チャージをされることは無くなるはずですが、犯人のターゲットが次に移る可能性があります。
今回の被害の原因は、第三者が簡単にセブンイレブンアプリを乗っ取れることにあります。
つまり、7pay(セブンペイ)のマネー残高が残っている人は、乗っ取られて不正に使用されてしまう可能性が残っています。
7pay(セブンペイ)不正利用の対策・対処方について
それでは、7pay(セブンペイ)の不正利用を防ぐための対策や対処法を見ていきたいと思います。
不正利用があったのか確認する
7pay(セブンペイ)が不正利用されているのかどうなのか、確認すべきは3つ。
1.7pay(セブンペイ)の残高・履歴
7pay(セブンペイ)で不正にチャージされたり、マネーが使用されたかどうかは、7pay(セブンペイ)→残高・履歴 から確認することができます。不正利用の時間やマネーが使用された店舗名を知ることができます。
2.クレジットカードの利用履歴
クレジットカードから不正にチャージされた場合は、クレジットカードの利用履歴でも確認することができます。
3.7pay(セブンペイ)に登録しているメールフォルダ
7pay(セブンペイ)に登録しているメールアドレス宛に「【7pay】チャージ完了のお知らせ」が届いていますので、確認してみてください。
クレカの不正利用があった場合
1.7pay(セブンペイ)から登録クレジットカードを削除する
登録クレジットカードからのチャージは一時停止となりましたが、安全策が確認できるまでは、7Pay(セブンペイ)とクレジットカードの紐づけは解除しておきましょう。
登録カードの削除方法:
7pay→メニュー→クレジットカード・デビットカード情報「登録カード一覧」→クレジット→(登録カード横の)削除
もしくは、
7pay→チャージ→クレジットカード・デビットカード→カードの追加・削除→(登録カード横の)削除
2.7iDの会員IDを変更する
あなたのIDとパスワードは犯人に知られてしまっています。IDとパスワードを知られていないものに変更しましょう。
ID=メールアドレスが分かれば、パスワードの再設定ができてしまう可能性が高いので、特に会員ID(メールアドレス)をこれまで使っていないものに変更しましょう。
パスワードをいくら難しいものに変えたとしても、犯人側からパスワードの再設定が可能なので、IDを変更することが必要です。
7iDの会員ID・パスワード変更は、セブンイレブンアプリのトップ画面左上の三本腺のメニュー→7iD会員情報から変更することができます。
3.7payサポートセンターに連絡する
7payのサポートセンターに連絡することで、7Payの利用停止をすることができます。
4.クレジットカード会社に連絡する
クレジットカードから不正にチャージがされていた場合は、該当のクレジットカード会社に「7payの不正ログインで使われた」と連絡をいれましょう。カード番号の変更などの対応など相談に乗ってくれます。
クレジットカード会社に不正利用分の請求が上がってきてたので、サービスデスクに連絡して詳細を説明したところ、全ての7payからの請求とカード再発行手数料が無しになるとの連絡を頂きました。とりあえず一安心。これが全部来たとするとゾッとする^_^ pic.twitter.com/P4kC50Frgq
— 岬太郎 (@frogeye9999) 2019年7月4日
5.警察に被害届を出す
詐欺等の犯罪被害にあった場合、警察庁は、最寄りの警察署又は都道府県警察サイバー犯罪相談窓口に相談することを勧めています。
但し、「7pay」(セブンペイ)の不正利用の場合、「7pay」(セブンペイ)側が被害額を補償してくれる場合は、被害者は「7pay」、クレジットカード会社が補償してくれる場合、被害者はカード会社となるとのこと。
警察に届け出してきました。
ただ、法的には
被害届を出せるのはセブン側で
私からの話は
「調書」としての扱いにしか
ならないとのこと。無駄な戦いはまだまだ続く。 pic.twitter.com/iAOOtfE9OE
— ぬのびき@2019年はJGCプレミア! (@nuno_chann) 2019年7月3日
乗っ取り対策について
今回、不正利用が無かった場合も、次の2つは今後の不正利用対策として行っておきたいですね。
1.登録クレジットカードの削除
2.7iD会員IDの変更
もちろん、無理に利用を続ける必要はありませんが、すでに一定の金額をチャージした場合、基本的に返金は認められていないので、定期的に会員IDとパスワードを変更しながら、気を付けて使っていくしかなさそうです。
セブンイレブンアプリ、イトーヨーカドーアプリ、オムニ7を使ったことが無い人は、セブンイレブンアプリのインストール・新規会員登録はセキュリティの安全が確認されるまで控えることをお勧めします。
セブンイレブン側がSMS認証を導入するなど、不正ログインを防ぐセキュリティ対策を送球に講じてくれることを望みたいと思います。