7月1日よりサービス開始となった、セブン-イレブンが展開するバーコド決済「7pay」において、不正アクセス被害の報告が相次いでいます。短時間の間に「20万円奪われた」といった報告もあり、セブン-イレブンはログインID・パスワード、認証パスワードの管理を注意するよう呼びかけています。
「高額チャージされ直後に決済される」7payに不正アクセス被害
7月1日よりサービス開始となったセブン-イレブンが展開するバーコド決済サービス「7pay」で、不正アクセスされる被害が相次いでいます。
7payに登録しているクレジットカードから高額がチャージされ、直後に決済されるといった被害報告がTwitterに複数寄せられています。
#7pay に昨夜登録したら、今朝方20万円不正にチャージされて奪われてしまいました。
— 森田 繁 (@siglic) 2019年7月3日
【写真】7payで不正アクセス被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。
1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX
7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn
— 岬太郎 (@frogeye9999) 2019年7月2日
7payアカウント乗っ取り被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。
クレジットカードカード会社からの確認依頼で見に覚えの無い複数回の高額チャージと100キロ以上離れた東京都内で決済が実行されているのを確認し、不正利用被害申告と対応措置を取りました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
問題発生箇所は調査中との事ですが、落ち着くまではカード・金融機関情報の一旦削除をお勧めします。
【続報】7pay アカウント乗っ取り被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
クレジットカードカード会社の対応については何ら不安はありませんでしたが、7pay側は不正アクセス以前の、私自身の意思によるチャージ分の補償の予定はないとの事。
利用登録者(私本人)アプリ利用登録上の落ち度は無いにもかかわらず、
この言い切り方は受け入れ難く、私自身の本アプリ利用上のセキュリティ管理には落ち度は無い旨伝え対応を求めた所、「どうしてもと言う事で有れば、警察への被害届け番号を改めてお知らせください」との事。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
「補償しません」「はい分かりました」と言える人はどれ程居るだろうか?
7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 https://t.co/mUNXozAt21
— 藤川大祐 (@daisukef) 2019年7月3日
ITジャーナリスト・三上洋氏「リストを元にした総当たりか」
ITジャーナリスト・三上洋氏が「7pay」の端末移行をテストしてみたところ、別の端末でログインすると、元端末は自動でログアウトされ、新端末にすべて取られる形だったとのこと。
電話番号認証などもないため、「犯人は端末を用意し、リストを元に総当たりしてセブンイレブンアプリを乗っ取る形か」と推測。「セブン側は移行時の電話認証を用意するべき」とコメントしています。
7pay登録クレカの不正利用問題、端末のアプリ移行に穴がないかテスト中。PayPayの時のようなクレカ登録自体には穴はないように思う(チャージ専用の認証パス+クレカの3Dセキュアがマストなので)
— 三上洋 (@mikamiyoh) 2019年7月3日
7pay不正利用の調査テスト途中経過。別スマホに7iDのメール+パスワードを入れたところ、元端末は自動ログアウト。新端末にすべて取られる形。電話番号認証などはない。今の所濃厚なのは「7iDに他でも使っていたメール+パスワードを使ってしまった人がリスト攻撃被害にあった」ことか(まだ推測段階) https://t.co/OgwDasG2N4
— 三上洋 (@mikamiyoh) 2019年7月3日
イメージとしては昔のLINE乗っ取りと同じ感じかも(推測)。メールとパスワードだけで別端末に7payを使えるセブンイレブンアプリが移行できてしまう。犯人は端末を用意し、リストを元に総当たりしてセブンイレブンアプリを乗っ取る形か(まだ検証必要です)セブン側は移行時の電話認証を用意するべき
— 三上洋 (@mikamiyoh) 2019年7月3日
セブン−イレブンは同日、公式サイトで「現在、一部のアカウントが第三者にアクセスされる被害が確認されております」と報告。「ご自身のログインID・パスワード、認証パスワードの管理についてご注意くださいますよう、お願い申し上げます」と呼びかけています。
また不正アクセスされるケースの例として以下の2つを紹介。
- ログインID・パスワードが分かりやすいものになっている
- クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一のものになっている
身に覚えのない取引やお知らせメールがあった場合は「7payお客様サポートセンター緊急ダイヤル(0570-012-113)にご連絡ください」と案内。クレジット/デビットカードの利用明細で身に覚えのない取引が会った場合は「登録されたカードの発行会社に速やかにお申し出ください」としています。