7pay問題に経産省が「大変遺憾」【悲報】

○○Payというのが最近流行っているけど、7payが開始数日で停止になったと聞いた。何があったんだろうか?
結論から言うと、重大なセキュリティ問題が発生したんだ。キャッシュレスが加速していく今の世の中で、この問題は真摯に向き合う必要があると思う。早速本記事を見ていこう!


この記事を読んでわかること

✅7payに何が起きたのかわかる

✅なぜ問題が起きたのか分かる

✅問題に対する経産省の意見が分かる

✅今後どんな影響が予測されるか分かる

 

1.事の顛末

 

コンビニ業界の王様、セブンイレブンを擁するセブン&アイホールディングスが、満を持して2019年7月1日に当社独自のキャッシュレスサービスである「7pay」をスタートさせました。ですが、同月2日に不正利用が発覚し、同月4日には謝罪会見が行われました。

 

具体的には、何者かが利用者のアカウントに不正にアクセスし、利用者が登録していたクレジットカードやデビットカードからお金をチャージしたうえで、セブンイレブンの店舗でタバコなど単価が高く換金性のあるものを大量に購入していたケースがありました。

 

同社の調べによると、4日午前6時現在で約900人、約5500人の被害がありました。

 

また、同月5日に、警視庁新宿署に詐欺未遂容疑で逮捕された中国籍のA(住所・職業不詳)が「7payで7,8人の名義のIDとパスワードを使った」と供述していることが分かりました。

 

また、同署によると、Aと容疑者B(住所・職業不詳)が、東京都新宿区歌舞伎町のセブン店舗で、逮捕容疑となった電子タバコカートリッジ40カートン(計20万円)を含め、146カートン(計73万円)を不正利用していました。

 

Aは、中国のチャットアプリ「WeChat]で「銀座にいる人いますか?買い物すれば報酬をあげます」との書き込みを見て、連絡を取ったところ、中国人とみられる指示役から電子タバコ購入の指示を受けました。また、Bには他の指示役がいました。

 

AとBに面識はなく、犯行直前に合流したとのことです。警視庁は、国際的な犯罪組織がこの件に関与したとして捜査を進めています。

 

2.なぜ不正は発生したのか

 

このような不正利用が起こった原因は、7payのセキュリティの脆弱性と見られています。大きな問題点は、以下の2点です。

 

  1. 7payを使うために必要な「7iD」のパスワードを再登録する際、登録したメールアドレス以外のアドレスにパスワードを知らせるメールを送れてしまう
  2. SMSに数字などのコードを送って入力させる2段階認証と呼ばれるセキュリティチェックを採用していなかった

 

こうした7payのセキュリティ管理については当然注目を集めました。謝罪会見で、「どうして2段階認証を採用しなかったのか」という質問に対して、7payの小林強社長が「2段階認証?」と聞き返し、さらには「2段階云々」と発言したことが物議を醸しました。

 

また、このようなセキュリティになってしまった背景には、以下の3点が挙げられます。

 

  1. セブン&アイHDの中では、コンビニ運営にかかわる部署が花形で、ネット関連の部署は低く見られている
  2. 7payには、他の事業会社で問題を起こしたり成果を上げられなかったいわゆる”本流”から外れた社員が送り込まれるケースがあり、社員のモチベーションを保ちにくかった
  3. 国内コンビニ業界で王者の座を築いた成功体験への自信とこだわりからくる「自前主義」により、他社IT企業と協同しようとしない姿勢がある

 

このような理由・背景があり、不正利用は行われてしまいました。

 

3.経産省は「大変遺憾」とコメント

 

7月4日の段階でセブン&アイHDから報告を受けた経産省は、「不正利用防止のための各種ガイドラインが遵守されていませんでした」と指摘し、こういったセキュリティー対策不足による不正利用について「大変遺憾だ」とコメントしました。

 

実は、同省は2019年1月にコード決済全般のセキュリティー対策含めた「コード決済に関する統一技術仕様ガイドライン」を発表しており、その中で「安心かつ安全な決済手段の提供は、すべてのコード決済関連事業者が検討及び実施しなければならない事項」として強調していました。

 

今回の問題を受け、同省はもう一度各種ガイドラインの徹底を呼びかけました。

 

 

また、今回の問題について、経済産業相は7月9日午前の閣議後会見で、本人確認方式の「2段階認証」の安全対策は「基本中の基本である」といった指摘をし、「対策が十分に行われなかった点が非常に残念だ」と述べました。

 

さらに、今後は安全対策が万全であることを新たに誓約してもらう方針を表明しました。安全対策が基準を満たさない場合はポイント還元策の対象から外し、かつ補助金を返還してもらうという厳しい対応していくとのことです。

 

4.今後予測される影響とは

 

7pay問題により、主に予測されるのは以下の2点です。

 

  1. キャッシュレスサービス(特にコード決済)を展開する企業は確実に経産省が提示する各種ガイドラインを守る必要がある。→新しいコード決済システム参入の障壁が高くなる
  2. 国民の不信感が高まり、キャッシュレスサービス推進に歯止めがかかる可能性が高くなる

 

要するに「セキュリティ問題に直面し、事業者側も消費者側もキャッシュレスへの移行が少し遅くなりそう」ということです。

 

しかし、私は今回の問題は、必要なことだったのではないかと考えます。

 

近頃、どんどん便利な世の中になっています。スマホ一つに情報が集約し始めています。ハンコが無くても銀行口座を作れますし、マイナンバーを確認すれば自分の資産状況が分かるようになりました。

 

LINEscoreのような、新しくて便利なサービスも今後次々にスタートしていくでしょう。

 

ただ、完璧なシステムというのは存在しないものです。どこかにどうしてもアラが出てしまい、そこを狙ってくる輩は必ず存在します。

 

まだ無名で従業員が少ないスタートアップ企業などならまだしも、あの日本人なら誰もが知っているセブンイレブンにおいてでさえ、こういった問題が起きてしまったのです。

 

自分の身を守るのは自分しかいません。なにかのサイトに個人情報を登録したり、誰かに個人情報を聞かれたりしたときは、「本当に大丈夫なのだろうか?」と一考することが必要でしょう。

 

便利な世の中になるのと同時に、みなさんのセキュリティーに対する意識も上がっていくことを切に願うばかりです。

 

5.まとめ

いかがだったでしょうか。これまで、

 

  1. 2019年7月1日にスタートした7payは、同月2日に不正利用が発覚し、同月4日に謝罪会見を開き、同月5日に犯人の一部(国際的な犯罪組織が関与している可能性あり)が逮捕された。
  2. 不正利用の原因は、7payのセキュリティの脆弱性。そうなった背景として、セブン&アイHDではネット関連部署の立場が低く、ITや決済に関して知識を持つ社員が少なかった。
  3. 経産省は、7payに対して、「各種ガイドラインを守っていなかった」、「大変遺憾だ」とした。
  4. 今後はキャッシュレス推進に事業会社側と消費者側の両側で歯止めがかかりそう。便利になる世の中だが、それに伴いセキュリティ意識の向上が不可欠

 

ということをお話ししてきました。

 

自分の身は自分でしっかり守りつつ、キャッシュレスを楽しんでいきましょう!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です