7pay事件の真相：セキュリティ脆弱性と不正利用、そして教訓？7pay事件：セキュリティの甘さと不正利用の実態

逮捕と被害の実態

7payの不正利用では、逮捕者も出ています。

SNSや中国の通信アプリを通じて指示が出されるなど、組織的な犯行の可能性も浮上しました。

この章では、逮捕と被害の実態について詳しく解説します。

逮捕の中国人「簡単に稼げる」 指示は「微信」で セブンペイ不正

公開日:2019/07/05

✅ セブン&アイ・ホールディングスのスマホ決済サービス「7pay」を不正利用し、電子タバコを購入しようとした中国人2人が詐欺未遂容疑で逮捕された。

✅ 容疑者のうち一人は「金が簡単に稼げるからやった」と供述しており、中国の通信アプリ「微信」を通じて指示を受けていた。

✅ 警視庁は、中国のサイバー犯罪組織が関与している疑いがあるとみて捜査を進めている。

さらに読む ⇒ニュースサイト出典/画像元: https://mainichi.jp/articles/20190705/k00/00m/020/224000c

不正利用、逮捕者が出ているとは、深刻な問題ですね。

組織的な犯行の可能性が示唆されているのも気になります。

キャッシュレス決済の普及に伴い、犯罪の手口も巧妙化していることが伺えます。

不正利用に関与したとして、複数の人物が逮捕されました。

西武新宿店の事件では、中国のSNS「Weixin」を通じて知り合った指示役の指示のもと、22歳の男Aが現金73万円相当の電子タバコを購入。

その後逮捕され、詐欺と詐欺未遂で起訴されました。

また、神田須田町のセブンイレブンでは、21歳の女性が自身のアルバイト先で他人の7payアカウントを使い、電子タバコなどを不正購入。

中野区の事件では、25歳の男性が他人名義のアカウントで電子タバコを購入し、逮捕されました。

他にも、不正ログインによる被害が1574人、被害総額は約3240万円に上りました。

7月31日時点では、808人、38615473円の被害が認定されました。

これらの事件は、キャッシュレス決済事業者の急拡大に伴う安全面のリスクを浮き彫りにしました。

お金が簡単に稼げるからって、そんな理由で犯罪に手を染めるなんて、信じられないわ！ キャッシュレス決済って便利だけど、こんな怖い一面もあるのね。セキュリティは本当に大事よ！

ずさんなセキュリティ設計と杜撰な対策

7payのずさんなセキュリティ設計と杜撰な対策も問題点として挙げられます。

多要素認証の未導入など、根本的な対策が講じられていませんでした。

この章では、その詳細を解説します。

二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ：今さら聞けない「認証」のハナシ（1/5 ページ）

公開日:2019/07/29

✅ 記事は、不正ログイン対策としての多要素認証の必要性を訴え、FIDO認証やパスワードレス認証の導入を推奨しています。

✅ 株式会社PassLogicや株式会社PassClipなどの企業が提供する、パスワードを使わない認証システム PassLogicやPassClipが紹介されています。7payの事例を元に、多要素認証の重要性を説いています。

✅ 記事は、多要素認証の導入が進んでいない現状を指摘し、SNSやパスワードリスト攻撃による被害の増加、そして企業における多要素認証導入の遅れについて言及しています。

さらに読む ⇒IT出典/画像元: https://www.itmedia.co.jp/news/articles/1907/29/news022.html

セキュリティ対策の甘さを露呈した会見でしたね。

UXとセキュリティのバランスを考慮した結果、セキュリティが犠牲になったという印象を受けました。

今後は、多要素認証など、より強固な対策が必要不可欠です。

7payの緊急記者会見では、ずさんな設計とセキュリティ対策の甘さが露呈しました。

担当者はUX（ユーザーエクスペリエンス）とセキュリティのバランスを取ると述べましたが、これはセキュリティを犠牲にして利便性を優先したと解釈できます。

メールアドレス登録における本人確認の不備、SMS認証や二段階認証の未導入、海外IPアドレスからのアクセス制限の未実施など、様々なセキュリティ対策が講じられていませんでした。

また、パスワードリセットの際、登録メールアドレスとは別のメールアドレスを指定でき、生年月日を本人確認に用いるなど、脆弱性が多数存在しました。

これらの問題に対し、会見では具体的な対策が提示されず、根本的なサービスの見直しが必要とされました。

うーん、セキュリティってのは、やっぱり目に見えないコストがかかるもんだから、後回しにしがちだよな。でも、今回の7payの件で、それがどれだけ大きな損失につながるか、よーく分かったはずだ！

教訓と今後のキャッシュレス決済

7pay事件は、今後のキャッシュレス決済のあり方にも大きな影響を与える出来事となりました。

この章では、7pay事件の教訓と、今後のキャッシュレス決済について考察します。

7payで不正利用が発生 7月4日6時の時点で約900名・約5,500万円の被害

✅ セブン&アイ・ホールディングスのバーコード決済サービス「7pay」で、一部アカウントが第三者による不正アクセスを受け、利用者のアカウントから不正に商品が購入される被害が発生した。

✅ 不正利用の被害者は約900名、被害額は約5,500万円に上り、セブン&アイは被害者への補償、チャージの一時停止、新規登録の停止などの対応を発表した。

✅ サービス開始直後の不正利用発生を受け、原因究明と抜本的な改善策が求められるとともに、利用者にはパスワード管理などの自衛策が必要となっている。

さらに読む ⇒ECのミカタ出典/画像元: https://ecnomikata.com/ecnews/payment/22994/

7pay事件は、セキュリティ対策の重要性を改めて示す事例となりました。

今後は、セキュリティ・バイ・デザインの考え方を徹底し、顧客からの信頼を回復することが重要です。

キャッシュレス決済の普及に伴い、セキュリティ対策の重要性が増していますね。

7payの不正利用問題は、キャッシュレス決済の急拡大と、政府の規制緩和、訪日客誘致の流れの中で、セキュリティ対策の重要性を改めて示した事例となりました。

外部ID連携の脆弱性、ずさんなセキュリティ設計、不正ログイン対策の不備など、多くの問題点が浮き彫りになりました。

セブン・ペイは、サービス廃止後、被害者への全額補償を実施。

クレジットカードからの不正チャージはカード会社と連携し、デビットカードからの不正チャージは各デビットカードブランドと協力して対応しました。

今回の事件を深く反省し、より安全なサービス提供に向けて取り組む姿勢を示しています。

キャッシュレス決済の普及に伴い、今後は、アカウント作成時のモバイルデバイスとの紐付けなど、より強固なセキュリティ対策が求められます。

2019年1月には「コード決済に関する統一技術仕様ガイドライン」が発表されましたが、ガイドライン遵守に加え、セキュリティ・バイ・デザインの考え方を徹底し、顧客からの信頼を回復することが重要です。

今回の事件は、キャッシュレス決済の普及に影を落とすことになったけど、同時に、セキュリティの重要性を見直す良い機会にもなったと思うよ。企業も利用者も、もっと意識を高めていかないと、ダメだよね！

7pay事件は、セキュリティ対策の重要性を改めて認識させる出来事でした。

今後は、より安全なキャッシュレス決済サービスの提供に向けて、企業と利用者が協力していくことが求められますね。