| 発生時期 | 2019年7月(7月1日のサービス開始直後に発覚) |
|---|
| 種別 | キャッシュレス決済の不正利用(不正アクセス・認証設計の不備) |
|---|
| 対象組織 | 株式会社セブン・ペイ(セブン&アイ・ホールディングスのスマホ決済「7pay」) |
|---|
| 被害規模 | 約800人・被害額約3,860万円規模(報道時点)。サービスは約90日で廃止 |
|---|
| 主な手口 | 外部で入手したIDとパスワードのリストを使った「リスト型攻撃」で不正ログイン。二段階認証がなく、パスワード再設定の設計にも不備があった |
|---|
1. 事件の概要
2019年7月1日、セブン&アイ・ホールディングスがスマホ決済サービス「7pay(セブンペイ)」を開始しました。ところが、サービス開始からわずか数日で不正利用が次々と発覚。利用者のアカウントに勝手にログインされ、チャージした残高が不正に使われる被害が相次ぎました。
会社は急きょチャージを停止し、最終的にサービスはわずか約90日(同年9月末)で廃止に追い込まれました。大企業が満を持して始めた決済サービスが、セキュリティ設計の不備によって即座に終了した——「使いやすさを急ぐあまり、守りの基本を欠いた」失敗例として広く知られています。
2. 被害の内容と規模
被害は報道時点で約800人、金額にして約3,860万円規模とされました。利用者は、自分のアカウントが乗っ取られ、チャージした残高を見知らぬ第三者に使われる形で被害を受けました。
主な影響
- 被害者への補償が行われた。
- サービスは約90日という異例の短さで廃止された。
- グループ全体のブランド・信頼に打撃。記者会見での説明も注目を集めた。
- キャッシュレス決済の安全設計に対し、業界全体が見直しを迫られた。
お金を扱うサービスでの事故は、金額以上に「信頼」を失います。一度「あそこは危ない」という印象がつくと、回復には長い時間がかかります。
3. 原因と手口
攻撃の手口
- リスト型攻撃:他のサービスから流出したIDとパスワードのリストを使い、機械的にログインを試す攻撃。多くの人がパスワードを使い回しているため、一定の確率でログインに成功してしまう。
設計・運用の不備
- 二段階認証がなかった:ID・パスワードさえ合えばログインできてしまい、本人確認の“もう一段の壁”がなかった。
- パスワード再設定の設計不備:パスワードを忘れたときの再設定で、本来の本人以外でも手続きを進められてしまう余地があったと指摘された(再設定リンクの送付先の扱いなど)。
- 急いだリリース:大型キャンペーンに合わせてサービスを急いで開始し、セキュリティ面の検証が十分でなかったとみられる。
「ID+パスワードだけ」の認証は、もはや安全とはいえません。パスワードの使い回しが当たり前になっている以上、お金や個人情報を扱うサービスでは二段階認証が事実上の必須です。
4. 対策と教訓
自社でアプリや会員サービス、ECサイトを運営する事業者にとって、直接の教訓が詰まった事件です。利用者側にも学びがあります。
サービスを提供する側の対策
- 二段階認証(多要素認証)を用意する:特にお金・個人情報を扱うなら必須と考える。
- パスワード再設定の安全性を確認する:「本人以外が乗っ取れないか」を必ず検証する。
- リスト型攻撃への備え:短時間に大量のログイン失敗があれば検知・ブロックする。
- リリースを急ぎすぎない:キャンペーン優先で、セキュリティ検証を飛ばさない。
- 第三者によるセキュリティ診断を受ける:公開前に弱点を点検してもらう。
利用者(私たち)側の対策
- パスワードを使い回さない:使い回しがリスト型攻撃の成功率を上げる。サービスごとに別のパスワードを。
- 二段階認証を使える場合は必ず設定する。
- パスワード管理ツールを活用する:覚えきれない長く複雑なパスワードを安全に管理できる。
5. まとめ
セブンペイ事件は、高度な攻撃ではなく「二段階認証の欠如」「再設定設計の不備」という基本の抜けによって、わずか90日でサービスが終わった事件でした。お金や個人情報を扱うなら、二段階認証は必須。そして利用者はパスワードを使い回さないこと——提供側・利用側の双方に明確な教訓を残しました。
※本記事は報道・公表資料など一般に公開された情報をもとに、教育・啓発を目的として再構成したものです。被害人数・金額は報道時点の数値であり、正確な情報は公式発表をご確認ください。