バーコード決済サービス「7pay」において発生している第三者により不正アクセス被害について、30万円の被害を受けたというユーザーがTwittertで被害状況やセブン&アイの対応状況について報告しています。
「コールセンターにそもそもつながらない」「セゾンカードは丁寧に対応」7payで不正アクセス被害を受けたユーザーが報告
バーコード決済サービス「7pay」で相次いでいる不正アクセス被害。今回発生している被害は、7payアプリが乗っ取られ、登録されているクレジット/デビットカードから短時間で高額なチャージが行われ、決済で利用されてしまうというもの。
セブン&アイ・ホールディングスは7月3日、「一部のアカウントが第三者にアクセスされる被害が確認されております」と報告。安全が確認できるまで、クレジット/デビットカードからのチャージを停止し、セブン銀行ATM、nanacoポイント、セブン−イレブン店頭でのチャージのみに制限すると発表しています。
関連:「7pay」不正アクセス被害続出、クレジットカードおよびデビットカードでのチャージを停止セブン−イレブンは当初、「ご自身のログインID・パスワード、認証パスワードの管理についてご注意くださいますよう、お願い申し上げます」と呼びかけていましたが、現在は削除されています。
関連:「20万円奪われた」7pay、不正アクセス被害が続出 ――ID・パスワード管理に注意喚起今回の被害を受けたユーザーがセブン−イレブンが「あまりにも対応がひどい」と、セブン−イレブンの対応状況をTwitterで報告。
ログインパスワードと、チャージ時の認証パスワードは違うもの設定していたが「どちらも突破された」といい、コールセンターにも全く繋がらないといった状況だったとのこと。
7payに登録していた「セゾンカード」のコールセンターの対応は丁寧だったとも報告しています。
7pay不正アクセス被害の報告
改めまして
— めるかば (@methuselah3) 2019年7月3日
お恥ずかしい限りですが、セブン-イレブンアプリの乗っ取りにあいまして、7payの不正チャージにより30万円利用されました
あまりに対応がひどいので、順番に対応状況を記載していきます
ハッシュタグはシンプルに#7pay
セブン-イレブンアプリのログインは
— めるかば (@methuselah3) 2019年7月3日
7 IDにて利用
ログインパスワード、認証に利用するパスワードは別のものを利用していました#7pay
#7pay
— めるかば (@methuselah3) 2019年7月3日
クレジットカードの登録には3DSecureを使って登録、その後は都度のパスワードによりチャージできる仕組みですが、そのパスワードはアプリへのログインとも違うものを登録していましたが、2段階どちらも突破されました
なお桁数は16桁、使いまわしはしていません
#7pay
— めるかば (@methuselah3) 2019年7月3日
クレジットカードでの見に覚えがないチャージはきょうの12時過ぎから断続的に10回、計30万円行われましたが、通知はクレジットカードチャージのレシートメールのみ、そもそもアプリにログインされたことなどはわかりませんでした
#7pay
— めるかば (@methuselah3) 2019年7月3日
メールに気づいたのは30分後、すぐに7セブン-イレブンアプリにログインしようとしましたが乗っ取られているのでログインに手間取りました
その後、お困りのときはから検索すると、コールセンターの問い合わせ先が出てきました
しかし2時間以上つながりません
#7pay
— めるかば (@methuselah3) 2019年7月3日
電話がつながらないならまだしも、コールセンターにそもそもつながらないので、携帯からだと強制断されます
プルルとも言いません
#7pay
— めるかば (@methuselah3) 2019年7月3日
ここでアプリから何かできればよかったのですが、チャージが大量にされていたことが原因なのか、私と犯人とログイン合戦になっていたのか、アプリの操作がうまくいかず、コールセンターへの電話と並行して続けていたため、初動に時間がかかりました
#7pay
— めるかば (@methuselah3) 2019年7月3日
そうこうしているうちに、ならばカードを止めようという判断をし、クレジットカード会社へ電話。この時点では売上明細があがってないのでカード会社ではわからないとのことでしたが、利用可能額がWEBから見て減っていたので、再発行を依頼しました。
なお、カードはセゾンカードです。
#7pay
— めるかば (@methuselah3) 2019年7月3日
相変わらず7payコールセンターはつながりません、もう5時間ですが、プルっという音すらしません。
問い合わせメールをしましたが、「不正利用の可能性があるので電話ください」とのこと。電話がつながらないから言ってるんですけどね。
#7pay
— めるかば (@methuselah3) 2019年7月3日
その後冷静にアプリからもカード情報を削除し、パスワード変更し、いったん止まりましたが、被害額は30万円です。3万×10回。セブン-イレブンでは、8万〜9万づつ使われています。店名も時間もわかります。防犯カメラでわかる気がします。
#7pay
— めるかば (@methuselah3) 2019年7月3日
ちなみにセゾンカードは丁寧に対応してくれて、まず番号を変えましょうと言ってくれ、まだ明細(売上)が来てないから次の請求のこともあるので何日までにご相談ください、まで言ってくれました
不正と思われる方、紐付けしたカード会社に「不正ログインで使われた」と一報しましょう
#7pay
— めるかば (@methuselah3) 2019年7月3日
コールセンターに電話せよ、いまだにつながらず、クソすぎるんですけど何これ
3DSecureでカード登録した後、継続課金するたびにSecure回してないのは利便性だと思うんですが、チャージ用のパスワードは別にすべきだし、かつチャージ用は厳しくてもいいんですよ本当は。でも数字だけでもいいんです。そこ大丈夫?って思ったら案の定。#7pay
— めるかば (@methuselah3) 2019年7月3日
3DSecureで登録した後、都度のチャージがかんたんなパスワードでできてしまうのは落ち度だと思うんですよね。パスワードたいしてかんたんじゃないし、正直なぜ?っていう気持ちがいちばんです#7pay
— めるかば (@methuselah3) 2019年7月3日
#7pay
— めるかば (@methuselah3) 2019年7月3日
ちなみに私のチャージは1分以内に3回やられてますよ
どんだけ手練なんだと pic.twitter.com/xu8joIgDez
#7pay
— めるかば (@methuselah3) 2019年7月3日
もうセブンのアプリを使うことはきっとない、omni7でお取り寄せしても料金はセブン-イレブン店頭でICクレ払いするからいいんですけど、いろいろ見てて聞いてて使ってみて、「メアドとパスワードで新しくログインしたもの勝ち」の作りで認証がないのはさすがにきついなぁと思いましたな
#7pay
— めるかば (@methuselah3) 2019年7月3日
いくら3ds入れても都度パスワードは数字でもいけてしまうし、記号入れられないし、パスワードを難しくすること自体ができない作りはどうなんだろうと思ってしまう
#7pay
— めるかば (@methuselah3) 2019年7月3日
7idがメアドになってて、どうも気持ち悪く、一方で家の裏のセブンにお取り寄せすることもあるので、いろいろいじっていたら7idは任意の文字列にもできることがわかり、さっそく自分だけしか知らない文字列に変更。
メアドじゃないほうがよいかもだな
#7pay
— めるかば (@methuselah3) 2019年7月3日
13時ごろ発覚してもうまもなく12時間なんですけど...
24時間コールセンターは一向につながる気配がありません
回線の問題なんでしょうけど、つながりもせずプツッと電話が切れると、何なんだって感じになります
#7pay
— めるかば (@methuselah3) 2019年7月3日
ほんとは今すぐにでも気持ち悪いからアプリ消し去ってやりたいが、何より証拠であるわけだから、やむを得ず残してある。アプリから何かが筒抜けかもしれない。それくらい今疑ってる。そんな中多額の不正利用をしたからなんとか達成!みたいな通知が来るのが腹立つ。
#7pay
— めるかば (@methuselah3) 2019年7月3日
一晩たって落ち着いて考えたんですが、どうも腑に落ちない。自分がセキュリティ上なにか瑕疵があったのかなーと思うと、ないんですよね
アプリを第三者に乗っ取られる事象は前からあったといろんな方から聞くので、そこが対策されてなくて決済のパスワードうんぬんと言われてもなぁ。
#7pay
— めるかば (@methuselah3) 2019年7月3日
今回の件は犯罪者側が狡猾で、登録のときに3DSecureさせてるからユーザーは「安心する」つくりなんですよね。おそらく多くの方はチャージパスワードを簡単にしていたのでは?と思ってしまいます