不正アクセス被害が続出しているバーコード決済サービス「7pay」を運営するセブンペイは7月4日、緊急記者会見を行い、被害の状況や今後の対応について説明。質疑応答での要点を箇条書きでまとめました。
「7pay」不正アクセス被害が続出で緊急記者会見
バーコード決済サービス「7pay」で不正アクセスされ、第三者が登録されたクレジットカードおよびデビットカードから多額をチャージし、決済されてしまう被害が続出している件について、セブンペイは7月4日、緊急記者会見を開きました。
記者会計では「7pay」のすべてのチャージとアカウントの新規登録を一時停止。被害を試算したところ、約900名、約5,500万円になったと報告。
関連:「7pay」不正アクセス被害規模、約900名・約5,500万円と試算――全てのチャージと新規登録を停止「7pay」不正アクセス被害を巡っては、セキュリティの甘さや、不正アクセスによる乗っ取りのしやすさが専門家らから指摘されていました。
【7payクレカ不正利用】アプリ問題点の検証記事書きました▲電話番号・生年月日でパスリセット▲第三者アドレスに送信可能▲二段階認証なし/7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - Y!ニュース https://t.co/eTfZKvScs7 pic.twitter.com/OPM6jeusLm
— 三上洋 (@mikamiyoh) 2019年7月3日
この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
質疑応答で、記者から「なぜ二段階認証にしなかったのか」と問われると、セブンペイ・小林強社長は「二段階認証……?」と二段階認証を知らない様子を見せるなど、ユーザーの不安をさらに煽ってしまう場面も見られました。
また不正アクセスによってユーザーの個人情報が閲覧できてしまう問題については、「情報漏えいが起こっていると認識していない」と応えるなど、話題になっています。
「7pay」緊急記者会見、質疑応答の要点まとめ
不正利用された抜け穴はどこにあったと考えられる?
詳細はこれから改めて専門家をいれて調査する。
パスワードリセットの部分は改善したのか
今後改善していく。いくつか対応はしている。海外からのアクセスは遮断。パスワード変更に必要な事項を検討中。
※「display: none」でフォームの一部を隠す対応をしていたことには言及せず。
緊急ダイヤルにつながらい問題はどうなったか
昨日からスタッフを増員。今日も増員した。電話が取れないことのない体制に拡大していっている。
チャージを止めても、すでにチャージされた金額は使われてしまうのでは?なぜ決済は止めない?
ユーザーの利便性を重視。クレジットカードとデビットカードからのチャージを止めたら状況がかわった。多額の不正は減った。なので決済は維持した。不正被害は全額補償する。
事前に脆弱性はどうしてわからなかったのか
システムのセキュリティ審査は行ったが、脆弱性の指摘はなかった。確認したうえでサービス開始している。
オムニ7(セブン&アイの通販サイト)などを不安視する声もあるが?
外部からの不正アクセスはチェックしている。この1週間で際立ったものはなかった。
別のメールアドレスでパスワードリセットできるようにした理由は?
スマホのキャリア変更してメールアドレスが使えなくなってしまった人でも変更できるように、別のメールアドレスでもリセットできるようにした。
被害は全額保証するというが、クレカの補償もあると思うが?
厳密にはクレジットカード会社からの補償や警察への被害届を出してもらうなどあるが、この状況でユーザーに細かいことを説明しても困惑するので、基本的には全部補償しますということで理解してもらいたい。
チャージの再開はいつになる?
今回の不正アクセスが完全にクリアできると確認してから。具体的には未定。
リスト型攻撃だった可能性はあるのか?
調査中でまだわからない。
試算された900人より多い問い合わせはあるのか?
ない。被害にあったユーザーを900人としたのは被害総額からの試算。被害にあったユーザーは申告ベースでは900人にはいたっていない。
ユーザー登録時に二段階認証にしなかったのはなぜ?
「二段階認証……?」とセブン・ペイの小林強社長は二段階認証を知らない反応。
セブン−イレブンアプリの機能の1つとして開始しているので、アプリと連携したかたちで登録になるので、二段階認証と同じ土俵で比べられるのか認識していない。
不正利用で購入されたものは?Amazonギフトカードは?
換金性としてはタバコなどでは。Amazonギフトカードは買える。
不正ログインされている状態で、本人はログインできる?
同時ログインは無理だと思う。色んなパターンを含め調査を行っている。
スマホ決済の信頼を下げたのでは?
非常に残念な事象。これをきっかけに安心安全、かつ便利なものに立て直したい。
利便性を優先した結果として不正アクセスが発生したのでは?
使いやすさとセキュリティ面はリンクした話ではないと理解している。どこに不備があったのか精査していく。
不正アクセスで個人情報の漏えいはあるか?
可能性を含めて調査中。
不正アクセスされたユーザーは第三者に何を見られてしまうのか
自分がアプリに登録した情報が見られてしまう。
不正アクセスは海外からか?
最初見つけた事案はほとんどが海外のIPアドレスからだった。精査している最中だが中国など。
不正アクセスの原因はパスワードリセットの部分なのか?
サービス開始前にセキュリティ診断はしているが、改めて調査しないと原因はわからない。開始前に脆弱性があったという認識はない。
被害実例の多いパターンは?防犯カメラの映像から警察への情報提供などは?
個別の事案は精査中。現在、個別の取引の精査をしている。平均被害額などは把握できている状況ではない。防犯カメラの映像は警察の捜査への協力が優先。FC店オーナーの協力が必要。
被害額5,500万円は被害全体の推定か?
あくまでも試算だが、今後増える可能性はある。昨晩と今朝の数字を比較するとそれほど増えてない。
被害補償を受けるためにやるべきことは?
警察に被害届を出すことが基本。もう少し違うやり方も可能かどうか検討していく。被害アカウントの特定を最優先でやっている。その後、どのように手続きをしていくかを検討していく。7pay側から被害アカウントへ連絡することも検討する。
7pay開発したのはどこの会社?
協力会社の何社かと一緒に開発した。
今回のようなケースの攻撃は検証はしていたいのか
何度もチェックして安全面では問題はないと思っていた。
セブン−イレブン店舗への対応は?
現段階では大量買いなどは制限していない。今後については本部で対応を検討中。
不正アクセスの"被害"とはどこからどこまでを言っている?
ユーザーの意図しないお金の動きがあれば調査して、被害の定義と金額を確定し、どういう形で補償するか個別のケースごとに対応していきたい。
現在も不正アクセスができる状態で情報漏えいは拡大しているが、全面停止は検討しているか?
7idの取りうる安全策を速やかに対応し、抜本的な対応をする必要があれば対応する。情報漏えいについて、現時点では認識していない?
対応が遅くなった理由は?
遅くなった認識はない。2日夜に被害を確認し、3日午前中に発表。3日午前10時には海外からのアクセスを遮断している。
別端末でログインしても通知がないのはセキュリティが甘かったのでは?
セキュリティの安全は確認してスタートしている。利便性と安全性のバランス。安全で便利なものを開発してきたつもり。
不正アクセスが疑われるアカウントの凍結は?
順次凍結の作業は行っている。
被害5,500万円は実際に店舗で使われたものか?
はい。