【重要なお知らせ】7payの新規登録・全てのチャージサービスを一時停止しております、9月末終了を発表

【重要なお知らせ】

お客様には多大なるご迷惑をおかけしておりますこと深くお詫び申し上げます。

現在7payの新規登録・全てのチャージサービスを一時停止しております。

「一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について」

今後の補償の手続きについては、対応方針が固まり次第、早急にお知らせします。

【本件に関するお問い合わせ先】
お客様サポートセンター緊急ダイヤル
TEL:0120‐192‐044
※24時間/年中無休

まことに申し訳ございませんが、ただいま回線が混みあっております。

身に覚えのない取引があり、
クレジットカード/デビットカードを不正利用された疑いのある場合は、
ご登録のカード会社にご確認いただくこともできます。
ご迷惑をおかけし恐れ入りますがよろしくお願いいたします。

一部アカウントへの不正アクセス発生による チャージ機能の一時停止について

2019年7月4日

株式会社セブン&アイ・ホールディングス
株式会社セブン‐イレブン・ジャパン
株式会社セブン・ペイ

2019年7月3日(水)、株式会社セブン&アイ・ホールディングス(本社:千代田区、代表取締役社長:井阪 隆一)傘下の株式会社セブン・ペイ(本社:千代田区、代表取締役社長:小林 強)が運営するバーコード決済サービス「7pay」の一部アカウントが、第三者による不正なアクセスの被害を受けたことが判明いたしました。

被害の内容としては、第三者がなんらかの方法で「7pay」利用者のアカウントにアクセスし、本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン‐イレブン店舗において商品を購入する等といったものです。
多大なるご心配、ご迷惑をおかけしましたことを深くお詫び申し上げます。

1、発生の経緯

2019年7月2日
・お客様より「身に覚えのない取引があったようだ」とのお問い合わせをいただく。(第一報)

2019年7月3日
・社内調査を実施した結果、不正利用が発覚。
・お客様サポートセンター緊急ダイヤルを設置。
・7payホームページの「重要なお知らせ」にID・パスワード管理の注意喚起を掲載。
・クレジットカードおよびデビットカードによるチャージを停止。

2、不正アクセスが疑われる人数・金額(試算)
  約900名/約5,500万円 ※2019年7月4日 6:00現在

3、お客様への対応について
・本件により被害に遭われたお客様には、全ての被害に対して補償を行ってまいります。
・お客様サポートセンター緊急ダイヤル(TEL:0120‐192‐044)を設置しております。
ご不安に思われたお客様は、お客様サポートセンターまでお問い合わせください。

4、今後の対応について
・現在、クレジットカードおよびデビットカードからのチャージを停止しておりますが、セブン‐イレブン店頭レジ・セブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを停止し、全てのチャージを一時停止いたします。また、「7pay」の新規登録についても停止いたします。
※既にチャージ済みの金額については、ご利用いただけます。

・この度の原因追及を徹底的に行い、抜本的な解決に向けて改善策を図ってまいります。


以 上
🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

セブンイレブン店経営者、7pay被害者が訴える不正使用の実態〈週刊朝日〉

 サービス開始からわずか4日で謝罪会見に追い込まれたコンビニエンスストア最大手のセブン&アイ・ホールディングス(HD)。

 子会社が全国のセブン-イレブンの店舗で7月1日に始めたキャッシュレス決済サービス「7pay」で、不正アクセスが次々と発覚し、「クレジットカードから勝手に7payにチャージされた」「身の覚えのない取引で課金されている」「知らない人が自分のIDを使っている」などのクレームが殺到し、大混乱した。

 4日に運営会社である7payの小林強社長らが東京都内で記者会見し、新規登録やチャージも停止すると発表した。被害は900人、5500万円にも及び、セブンイレブンでは、被害の全額を補填するとしている。

「何か変だと思ったんですよね」

 こう話すのは関西でセブンイレブンのフランチャイズ店の経営者だ。

 7payは支払った金額の20%を還元するなどのキャンペーンを打ち出し、それを目当てにしたお客が多く訪れたという。だが、先の経営者はこう話す。

「スマートフォンのアプリがフリーズしたり、決済ができないなどのトラブルが相次いだ。何度試してもうまくいかず、頭を下げて、現金支払いにしてもらった人もいた。お客さんが集中して、おかしいのかと最初は思った。だが、他のセブンイレブンのフランチャイズの経営者と話していると、どこも状況が同じ。どうもシステムがおかしいんじゃないのかと思った。7payの発表を見て、やっぱりなという思いです」

 同社が調査したところ、第三者が7payの利用者のIDを使用して、不正にログイン。利用者が登録しているクレジットカードから7payに入金し、そこからセブンイレブンの店頭でタバコなどを買い付けるという手口が頻発していたという。

 警視庁は3日、東京都新宿区のセブン-イレブンで、7pay利用者のIDやパスワードを不正に使用し、20万円分の加熱式たばこを購入しようとした疑いで、中国籍の張升容疑者(22)ら2人を逮捕した。

「最初に張容疑者がセブンイレブンの店に来て、7payで他人のIDを使ってタバコ、40カートンを購入。あまりに分量が多くて、持てなくなり『あとで引き取りにくる』と店を出た。その後、3時間ほどして、もう一人が運転する車で張容疑者が再び、店に現れた。その直前に、IDの所有者が勝手に7payで10万円が2度、3度とチャージされては使われていることに気づき、店頭にやってきた。そこで店から警察に連絡あり、2人が来店した時に、事情を聞いて逮捕した」(捜査関係者)

2人は3日に初めて会い、指示役とみられる人物からSNSで、「東京・銀座にいる人はいないか?」という呼びかけに応じたという。

 すると呼びかけた人物から「セブンペイのアプリをダウンロードして、指定のIDでタバコを買ってくれれば、1カートンにつき300円を渡す」と指示があり、犯行に及んだという。

「調べたところ、2人のアプリから約73万円を使用した履歴が残っており、146カートンのタバコを購入していたようだ。2人は、指示されたID、7、8個を使いまわし、10万円を入金しては、タバコを買い、また入金を繰り返して大量に購入していた。新宿のセブンイレブンの店頭に駆け込んできた、被害者の話と一致していた」(前出の捜査関係者)

 そんな中、本誌は新宿区の被害者とは別に被害にあった人物から被害の実態を聞いた。東京都豊島区のAさんで約15万円を不正使用されたという。

「アプリをダウンロードして、登録するとオニギリが1個、無料というキャンペーンをやっていた。それがほしいなと、登録して、5000円をチャージ。それから1時間もしないうちに、チャージ クレジットカード・デビットカードというタイトルで、何度も身の覚えがない使用履歴がメールされてきた。それも自分のいる豊島区とは離れた江戸川区で使われていた。どうなっているんだとびっくりして、セブンイレブンに電話して、パスワードを変えました」

 セブンイレブンでは手口について、「第三者がなんらかの方法で7pay利用者のアカウントにアクセスし、本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン‐イレブン店舗において商品を購入する等といったものです」と説明し、「抜本的な解決に向けて改善策を図る」としている。

 警視庁は、組織的な犯罪とみて調べを進めている。被害がこれ以上、拡大しないことを祈るばかりだ。(本誌取材班)

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

セブンペイ、外部IDを遮断 不正利用の影響拡大、対策後手

 セブン&アイ・ホールディングスは11日、不正利用があったスマートフォン決済サービス「7pay(セブンペイ)」について、LINE(ライン)などの外部IDではサービスを利用できないようにした。利用者が残金を使うにはセブン&アイのグループ共通ID「7iD」を改めて取得する必要がある。

 不正利用の発覚後、新規の利用登録やチャージの停止に続く措置となる。セブン&アイはサービスを全面停止せず、さみだれ式に対策を講じており、利用者に混乱を招く恐れがある。現場となる店舗ではオーナーの不信が募り、セブン側の謝罪会見から1週間を経ても影響が拡大している。

不正ログイン続出の「7pay」、わずか3カ月で終了 セブン&アイHDが謝罪、再挑戦も示唆

 モバイル決済サービス「7pay」で不正ログインの被害が相次いだ問題で、セブン&アイ・ホールディングス(HD)は8月1日、同サービスを9月30日で終了すると発表した。7月1日にリリースしたばかりだが、「抜本的な解決には相応の期間が必要」との判断から、早期の廃止を決断したという。今後は被害者への補償を進める他、弁護士を中心とする検証チームによる原因究明と再発防止に努める。キャッシュレス決済事業に注力する方針は継続し、時期をおいて新サービスを始める可能性もあるという。

 7payでは、サービス開始直後から第三者にアカウントを乗っ取られ、登録していたクレジットカードを不正利用される被害が相次いだ。セブン&アイHDによると、7月31日午後5時時点での被害者数は808人、被害額は約3900万円。当初の発表から人数・金額が増減している理由は詳細を精査したためで、7月中旬以降は新たな被害は確認していないという。

「お客さまが不安を覚えている。廃止もやむなし」

 同日開いた記者会見に登壇した、セブン&アイHDの後藤克弘副社長は「ご迷惑とご心配をおかけした多くのお客さま、不正利用の舞台となったセブン-イレブン加盟店の皆さま、多くの関係者の皆さまに心よりおわびを申し上げる」と各方面に謝罪。

 不正ログイン被害が起きた原因については「リスト型攻撃の可能性が高いと認識している」(後藤副社長)とした。

 また後藤副社長は、早期の終了を決めた理由について、「現在は7payのチャージも新規登録もできず、チャージした金額を使えるだけという不完全な状態にある。今からシステム改修を行うには時間がかかり、お客さまも7payに不安を感じている。廃止もやむなしと判断した」と説明した。

不正ログイン被害は「システム開発やリスク管理に問題あった」

 今回の事態について、後藤副社長は「7payのシステム開発やセブン&アイグループ全体のリスク管理などに問題があった」と不備を認めた。「複数端末からのログイン対策や二要素認証などの検討が十分ではなく、結果としてリスト型攻撃に対する防衛力を弱めた」という。

 セブン&アイHDでデジタル戦略推進の指揮をとる清水健執行役員(デジタル戦略推進本部 デジタル戦略部 シニアオフィサー)も、「(7payの)システムの開発チームを横断して束ねられていなかった」と、マネジメントに課題があったことを認めた。

 清水氏によると、7payのシステムは各機能を複数のプロジェクトチームが開発していた。それぞれのシステムを俯瞰し、全体像を検証する作業がおろそかになっていたという。

オムニ7アプリのソースコード漏えいも事実

 同社のセキュリティ面の不備はこれにとどまらず、7月24日付のWebメディア「BUSINESS INSIDER JAPAN」は「7payとログインの仕組みが一部似ている、セブン&アイHDのECサイト『オムニ7』アプリのソースコードが『GitHub』に掲載されており、誰でもダウンロードできる状態だった」と報道。7月10日頃まで公開が続いていた可能性を示した。

 同グループのデジタル戦略支援を手掛けるセブン&アイ・ネットメディアの田口広人社長は、この報道を認めた上で「(GitHub上のソースコードについて)管理不行き届きだった」と謝罪した。

 田口社長によると、問題のソースコードは2015年秋に開発環境向けとして作られたもので、当時は現在のサービス展開を想定していなかったという。ソースコードに書かれたインタフェースやログイン関連の仕様は、「現在は使われていない」としている。

全額を補償する方針

 セブン&アイHDの調査によると、不正ログインの実行犯が7payで決済したセブン-イレブン店舗に地域性はなく、犯行は全国的なものだったという。一方、一部地域に不正利用が集中した店舗があることも突き止めており、同社は再発防止に向けて防犯体制を強化中だとしている。

 また同社は現在、クレジットカード会社と連携し、不正に使われた額が利用者の口座から引き落とされないよう対応中という。今後はクレカの他、デビットカードやnanacoポイントも含め、被害者に遭ったユーザーに全額を補償する方針だ。

セブン&アイHDは“再チャレンジ”の意向

 体制の不備が続々と明るみに出ているセブン&アイHDだが、当初はキャッシュレス決済サービスをデジタル戦略の大きな柱として位置付けていた。7payは失敗に終わったが、今後もこの方向性に変わりはなく、体制を整えてもう一度チャレンジする可能性があるという。

 後藤副社長は「時期や内容は白紙」としながらも、「キャッシュレス化の社会的ニーズは高く、今後もその需要は高まっていく。当社は引き続きキャッシュレスサービスの可能性を探るとともに、快適に買い物ができる環境を整えていく」との意向を語った。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ

 ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。

 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。

 前回記事の最後に次回も生体認証について説明すると予告しましたが、今回は7月初旬に発生したモバイル決済サービス「7pay」不正利用事件を取り上げたいと思います。この事件で注目を浴びた「二段階認証」を起点に、本人認証の基本と注意点を見直していきます。

●「7pay」不正利用事件の流れ

 7月1日にサービスを開始した7payですが、サービス開始の翌日にはユーザーからコールセンターに不正利用の旨が報告されました。現在は新規登録と、決済に使う「7payマネー」のチャージを停止しています。

 セブン&アイ・ホールディングスは16日、1574人が被害に遭い、3240万688円の不正利用を確認したと発表しました(11日午後5時時点)。

 セブン-イレブンアプリへの不正ログインの原因は何だったのでしょうか。原稿執筆時点では、はっきりとした理由は公表されていません。各紙の報道やSNSで推測されている原因の中で、認証に関連する内容は以下の通りです。

・リスト型攻撃

・パスワード再設定機能の不備

・オープンID連携の不備

 これらの攻撃や不備の内容を教訓に、私たちが気を付けるべきことをまとめてみました。

●リスト型攻撃

 リスト型攻撃は、過去に漏えいしたパスワードのリストを利用して、不正ログインを試みる攻撃です。サービスごとに異なるパスワードを使うことで、あるサービスでパスワードが漏えいしたとしても、他のサービスでの不正利用を防げます。しかし、今回の事件ではこの対策をしていた利用者も被害に遭ったという報告がありました。

・「7pay「組織的攻撃の可能性」専用パスワードでも被害」(NHK NEWS WEB)

 とはいえ、リスト型攻撃の対策をすることは無駄ではないでしょう。しかし「サービスごとに別のパスワードを使うべき」という注意喚起は至るところで行われているものの、まだ浸透しきっていません。そこで今回の事件で注目を集めた「二段階認証」が対策として登場するのです。二段階認証の詳細は後ほど説明します。

●パスワードリセットに不備

 パスワード再設定機能の不備は、7payでも使用するセブン&アイグループの共通アカウント「7iD」にありました。

 パスワード認証を採用している大抵のサービスでは、利用者がパスワードを忘れてしまった場合に、ログインをせずにパスワードを再設定できる機能があります。登録済みのメールアドレスや電話番号に、パスワード再設定用ページのURLを載せたメールやSMSを送り、そこから新たなパスワードを設定させるのです。

 7iDでは、あらかじめ登録したメールアドレス以外のアドレスを使ってパスワードを再設定できるようになっていました(現在は対応済)。パスワード再設定のメール送信に必要な情報は、「生年月日」「電話番号」「会員ID」(最初に登録したメールアドレス)で、これらの情報を知っている第三者なら、自分のメールアドレスにパスワード再設定メールを送り、任意のパスワードを設定できたのです。

・「7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点」(Yahoo!ニュース、三上洋)

 通常、少なくともお金を扱うような重要なサービスでは、パスワード再設定機能をこのような仕様にすることはあり得ません。こうした設計のサービスの利用は控えることをお勧めします。

 この機会にパスワード再設定機能の存在から分かる認証の知識と注意点をご紹介します。パスワード再設定機能があるサービスの認証は、実はパスワード認証ではなく、メール認証なのです。メールを見ることができれば、パスワードを自由に変更できるからです。

 強引に解釈すれば、本来はメールで認証すればよいところを、「メールをわざわざ参照させるのは利便性が下がるから」とか、「パスワードだけで再設定ができなかったころの慣習が残っているから」という理由によってパスワードで代用しているといえます。

 したがって、パスワード認証の利用者はパスワードだけでなく「メールを閲覧できる環境」も守らなくてはいけません。メールサービスは大抵の場合、アクセスするためにパスワードを使います。(※1)このメールサービスにアクセスするパスワードこそ、強力(ランダム性が大きい)で他のサービスでは使っていないものにしておくべきです。メールを使うPCにも強力なログインパスワードを設定し、スマホにも必ずロックを掛けましょう。

※1:パスワードでアクセスできるメールサービスを利用している場合は、知識要素を利用した認証(知識認証)といえます。認証要素については過去記事を参照。

●オープンID連携の不備

 オープンIDは、サービス間でIDを共有するために定められた規格です。1つのIDで複数のサイトにログインできる仕組みで、皆さんも新規サービス登録画面にGoogleやFacebook、Yahoo!JAPANなどのロゴが表示されたボタンが設置されているのを見たことがあるでしょう。

 そのボタンから、オープンIDに対応するIDを発行する「オープンIDプロバイダ」のサービスにログインすることで、新規サービスにログインしたり、名前や住所、生年月日といった必要項目の入力負担を減らしたりすることができます。

 セブン&アイは7月11日、セブン-イレブンアプリなど同グループが提供するアプリで、オープンIDでのログインを停止しました。オープンIDの連携部分で不備があった可能性があります。

・[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明」(日経 xTECH)

 Webで利用できる「オムニ7」のサイトでの7iDへのログインは、まだオープンIDを利用できる状態です。オープンIDとの連携部分に不備があったのだとしたら、それは各アプリとの連携部分のみなのか、それとも7iD全体との連携部分なのか。これもまだはっきりとしていません。もし7iD全体との連携に不備があるなら、各アプリを使用していなくても、7iDに登録している情報が7payのサービス開始前から漏えいしている可能性があります。

 オープンIDを利用して認証する際には、フィッシングサイトに注意しましょう。各サービスの認証用ボタンを押して表示されたページが、フィッシング用のページであることに気付かずにIDとパスワードを入力してしまうと、その情報が盗まれてしまいます。「SMS認証があるから大丈夫」と思っていても、1回目の入力でフィッシングページを表示し、ID&パスワードを入力させて情報を詐取した後に、正規のページを表示し、通常の認証をさせるフィッシングも報告されています。

 有名なサービスのサイトであれば、サイトが乗っ取られていない限り、このようなことは発生しないと思いますが、新しいサービスや「○○診断」のような、ちょっとしたテストやゲームを楽しむサービスなどを利用する際には気を付けたほうがいいでしょう。

●「二段階認証」とは?

 7月7日のセブン&アイの緊急記者会見を機に、二段階認証が一気に話題になりました。一部報道で、「サービスを利用開始するときにSMSやメールで送られるメッセージに書かれたパスコードを入力したり、URLをタップしたりする作業」自体を二段階認証だと紹介していたようですが、これは誤りです。

 この作業は、IDや連絡先として登録している電話番号やメールアドレスが、本当に本人が使用しているものなのかの確認であって、認証ではありません。この作業をしてアカウントを登録した後、パスワード認証のみでログインできるサービスはいくらでもあります。そういったサービスは「二段階認証を導入している」とはいえません。

 この作業を行ってアカウント登録した上で、ログインや一部の機能を使用する際に、パスワード認証に加えてSMSやメールのメッセージでも認証を行えば、それは二段階認証です。

 上記の例では「パスワード+SMSもしくはメール」で説明しましたが、もちろんこの組み合わせでなくても構いません。例えば「パスワード+事前登録してある特定の端末」などがあり得ます。1段階目と2段階目で認証要素が異なる二要素認証の方が、より強固です。

 スマホアプリにおける2段階目の認証にSMS認証を採用することが今のトレンドです。その理由は、スマホ利用者の大半は電話番号を持っており、SMSを利用できるからでしょう。

●モバイル決済サービスにおける認証の位置づけ

 ところで、モバイル決済サービスでの認証はどこで行われるものなのでしょうか。実際に店舗で決済する際に、毎回パスワードを入力したり、SMSを確認したり、その両方を行うのは利便性の面から現実的ではありません。(※2)

 アカウント登録時に、スマホにインストールしたアプリとサービスのサーバ上のアカウントをひも付け、アプリとサーバを接続し続けるのが現在の現実的な仕様です。スマホの機種変更や、何らかの理由でアプリを再インストールする際に、以前使っていたアカウントのみ認証するという流れになります。

※2:店舗での決済の際には、アカウントにひも付けされたアプリがインストールされたスマホの所持(所有物要素)と、生体認証やパスコード入力によるスマホのロック解除(生体要素か知識要素)の2要素で認証しているといえます。あくまでも、スマホのロックをきちんと設定している必要があります

 セブン&アイが7月5日に発表した「二段階認証の導入」は、どのようなものになるのでしょうか。公式発表がないので、以下はあくまで筆者の想像です。

 7payは、セブン-イレブンアプリから7iDのアカウントにログインして使用します。7iDへのログインにはIDとパスワードが必要です。ただし、パスワード再設定にはメールを使います。これを1段階目として、2段階目にSMSを利用するのです。この構成ですと、「パスワードもしくはメール+SMS」という二段階・二要素認証になります。

 7iDはPCなどのブラウザでも使えるWebサービスでも使われているので、このようなメールの確認も含めた二段階・二要素認証の構成になるだろうと想像しました。他のモバイル決済サービスの場合、「パスワード+SMS」の組み合わせが多いようです。

 この構成だと、パスワードの再設定にSMSを使っている場合、実際にはSMSのみの認証といえます。認証時の手順は2段階ですが、認証要素としてはSMSしか使っていません。だからといって一概にセキュリティが十分ではないとはいいませんが、SMS認証が破られると、無防備になることは留意しておきましょう。

 SMS認証は、電話番号にひも付くSIMカードが認証要素です。したがって、SIMカードを抜き出して、別のスマホに差し替えれば、そのスマホで電話番号に届くSMSが受け取れます。

 ただし、パスワード再設定用のSMSメッセージを送信する際に、生年月日など赤の他人は知り得ないであろう個人情報の入力も必要になっていれば、スマホを紛失しても不正利用される可能性は大幅に下がります。とはいえ、何らかの手段で個人情報を知られてしまうこともあると思います。モバイル決済サービスを利用していて、スマホを紛失してしまった場合は、早急にSIMカードを無効化する手続きをしましょう。

・SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ

●「認証の置き換え」を意識してみよう

 先ほど、7payは既にパスワード認証(実際にはメール認証)を行っている7iDとひも付けるため二段階認証になる、と予想しました。他のモバイル決済サービスでは、事実上はSMS認証のみの場合があります。利用者の方は、ひも付いているSIMカードの管理に注意しましょう。実は、海外ではSMS認証の脆弱性が指摘されています(※3)が、これは利用者側では注意しきれない問題です。

 SMS認証は「SIMカードの所有」を要素とした認証です。そのSIMカードを所有しているのが本人だということは、どう担保しているのでしょうか。それは、そのSIMカードを提供している通信事業者との契約です。契約時には運転免許証などで身分証明をしたかと思います。では、その身分証明書を発行したのは・・・・・・とさかのぼっていくと、その身分証明書の発行機関との手続きが認証の根本となるわけです。

 となると、身分証明書を偽造されるとSIMカードを乗っ取られる可能性があります。とはいえ、一般人であれば偽造されることまでは心配しないでいいでしょう。しかし海外では、身分証明書の偽造や、通信事業者の本人確認の不徹底による電話番号の乗っ取りが発生しているようです。

※3:米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST Special Publication 800-63B」参照

 この「SIMカード→身分証明書」のような「認証の置き換え」は他でも行われています。

 前述しましたが、パスワード認証は「パスワード再設定をメールで行える場合はメール認証からの置き換え」になりますし、メール認証は「メールサービスに接続するパスワードからの置き換え」と表現できます。パスワードを発行することで、さらに置き換えが発生しています。

 iPhoneのTouch IDやFace IDは、パスコードを生体認証に置き換えています。パスワードを手帳にメモしたり、パスワード管理アプリに記憶させたりするのも、知識から所有物への置き換えといえます。

 大抵のサービスは、過去の例にならって認証システムを作っているのではないでしょうか。過去に問題がなかったため採用されている方法であっても、今回の7pay事件のように穴があったり、認証システム側の技術の陳腐化や、不正利用側の技術の進歩で問題が発生する場合もあります。

 自分の資産や重大な個人情報を扱うようなサービスを使い始める際には、この「認証の置き換え」も意識して、サービスの内容を確認することをお勧めします。また、事件が発生した場合には「認証の置き換え」の各段階を整理して、どこかに穴がなかったかを精査しましょう。

 セブン&アイは、セキュリティ対策強化のためのプロジェクト組織を発足し、7月中に不正利用の発生原因の特定と、セキュリティ強化策を取りまとめるようなので、まずは発表を待ちたいと思います。

 次回は、前回の生体認証の続きに戻って、生体認証におけるデータの登録・保管についてと、生体認証の中でも導入が進んでいる顔認証について書く予定です。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

セブンペイ、9月末終了を発表…副社長「被害は補償」

 セブン&アイ・ホールディングスは1日、不正アクセスが相次いだスマートフォン決済「セブンペイ」のサービスを9月末で終了すると発表した。デジタル戦略を担当する後藤克弘副社長は、「被害に対して、私どもで補償することは言うまでもない。心よりおわびを申し上げる」と陳謝した。

 「セブンペイ」はサービス開始直後から、第三者が他人のIDとパスワードでログインし、勝手にクレジットカードなどから入金して買い物をする不正利用が発覚。4日には新規登録を停止するなど、事実上の機能停止に追い込まれていた。

 サービス開始からわずか1か月だが、利用者の信頼を回復するのが難しいと判断した。サービスの終了後、セブンペイの残高は順次、利用者に返金する。

7pay、9月末で終了と正式発表 不正利用発覚、対応困難で継続を断念

 セブン&アイ・ホールディングスは8月1日、スマートフォン決済サービス「7pay」を9月30日24時で終了すると発表しました。7月1日にスタートしたものの、直後に不正使用が発覚。チャージ(入金)と新規利用登録を中止してセキュリティの確保を図っていましたが、継続を断念することになりました。

 終了について、(1)全サービスを再開するに足る抜本的な対応を完了するには相応の期間が必要、(2)その間、サービスは支払いのみという不完全な形とせざるをえない、(3)お客様は依然として不安を抱えている──ことから、「現在の7payのサービススキームに基づきサービスを提供を継続することは困難であるという結論に至ったとのことです。

 サービス終了時点で未使用のチャージ残高は、法令上の手続きを経た後に順次払い戻しするとしています。詳細は別途告知するとのことです。

 セブン&アイ・ホールディングスの後藤克弘副社長らが1日15時、都内で緊急記者会見を開いて明らかにしました。

 不正使用はサービス開始直後の2日に発覚。被害は7月31日17時の時点で808人、総額3861万5473円に上っています。手口は、不正に入手したID・パスワードのリストを使い、7payのユーザーになりすまして不正アクセスを試みる「リスト型アカウントハッキング」である可能性が高いとしています。

7payのこれまで

7月1日 「7pay」サービスがスタート

7月2日 「「身に覚えのない取引があったようだ」とユーザーから問い合わせ

7月3日 社内調査を実施した結果、不正利用が発覚。「一部のアカウントが第三者にアクセスされる被害が確認されております」と公表し、クレジットカード/デビットカードからのチャージ(入金)を一時停止

7月4日 店頭レジ、セブン銀行ATMでの現金チャージ、nanacoポイントからのチャージも停止。新規登録も停止した。この時点で被害は約900人、計約5500万円の可能性。警視庁は7pay不正利用による詐欺未遂の疑いで中国籍の男2人を逮捕

7月5日 セキュリティ対策の強化を目的として、セブン&アイ・ホールディングスの後藤克弘副社長を総責任者とした新組織発足

7月11日 セキュリティ点検の一環で、外部IDによるグループ各社アプリへのログインの一時停止

7月30日 グループ共通ID「7iD」全会員1650万人のパスワードをリセット。31日17時の時点で確認された被害は808人、3861万5473円

8月1日 サービスを9月30日24時で終了すると発表。サービス継続を断念する

7pay終了 不正利用防止のセキュリティー対策は困難 未使用分は返金

 セブン&アイ・ホールディングスは1日、スマートフォン決済サービス「7pay(セブンペイ)」のサービスを9月末で終了すると発表した。利用者がチャージ(入金)した金額のうち未使用分は返金する。不正利用問題の発覚後にセキュリティー対策の強化を図ったが、再発防止に向けた抜本的な対策を講じるのは困難と判断した。

 セブンペイは7月1日にサービスを開始。約150万人が登録したが、直後から第三者が本人になりすましてログインやチャージし、商品を購入する問題が発覚。4日から新規の入金と登録を停止していた。7月末現在で、不正利用の被害者は808人で、被害総額は3861万5473円。【和田憲二】

不正アクセス セブンペイ、手軽さ優先 安全性二の次、被害者憤り

 セブン&アイ・ホールディングス(HD)のスマートフォン決済サービス「7pay(セブンペイ)」が不正アクセスされ、サービスから開始4日で入金停止に追い込まれた。中国の犯罪組織の関与が疑われており、被害は約900人、計約5500万円に上る。利用者のIDやパスワードが盗まれた背景には、顧客や買い物データを得ようと、スマートフォンによるキャッシュレス決済の導入を急いだセブンの対策の甘さが指摘されている。

 「安全性が高いシステムが構築されるまで、セブンのサービスを利用するつもりはありません」。セブンペイの不正アクセスの被害に遭った東京都練馬区の50代男性会社員は、毎日新聞の取材にそう憤った。

 男性は2日午後7時ごろ、セブン-イレブンのアプリをダウンロードし、3000円をクレジットカードからチャージ(入金)した。近所のセブン-イレブンで1000円ほど買い物をし、セブンペイで払った。

 異変に気づいたのは3日午前9時過ぎ。セブンペイのメールアドレスから身に覚えのない「チャージしました」という大量のメールが届いていた。驚いてアプリを確認すると、午前7時19分に3万円、1分後に3万円が2回と5000円がチャージされていた。午前8時3分、男性は自宅で寝ていたが、埼玉県ふじみ野市のセブン-イレブンで何者かが男性名義のセブンペイを使って約9万4000円の買い物をしていた。

 その後も午前8時33分に3万円、1分後に1万円が5回チャージされ、午前9時11分に東京都台東区内のセブン-イレブンで約8万1000円の買い物をした記録も残っていた。気づかぬうちにクレジットカードから17万円以上が不正利用されたという。

 男性は当初、過去にセブン&アイの通信販売を利用した時のパスワードを使い回したことが原因と考え、自責の念にかられた。しかしその後、第三者がパスワードを再設定できるなど、セブンペイの不備が判明し、男性が違うパスワードを使っていても防げなかった可能性が明らかになった。 被害に気づいた直後にクレジットカード会社に連絡し、不正利用と認められて被害額が補償されることになったが、カードは作り直さねばならず、不都合も出ているという。セブンペイのサポートセンターに電話し続けたが、つながったのは翌4日。6日におわびの電話が来た。男性は「事件後なかなか連絡が取れなかったことには失望した。セブン-イレブンに関するアカウントはすべて削除しました」とため息をついた。【大村健一】

使い回しIDから探索か

 中国など海外からの不正アクセスは、セブンペイのサービスが始まった1日から2日ごろにかけて集中したとみられる。詳細は明らかになっていないが、情報セキュリティー会社「S&J」(東京都港区)の三輪信雄社長は、使い回しのIDやパスワードを使って正規利用者のIDを探し当てる「リスト型攻撃」の可能性を指摘する。ダーク(闇)ウェブと呼ばれるサイトなどで入手したIDなどをリスト化し繰り返し入力することで、どのIDを乗っ取ることができるかを試すものだ。

 ただ、これらが正規利用者のものと一致する確率は高くない。このため、セブンの関連会社の会員サイトなどで試して精度を高めてから、セブンペイを運営する「セブン・ペイ」(東京)にアクセスした可能性も考えられるという。アクセス数が減り、気付かれにくい利点もある。

 セブン・ペイが「身に覚えのない取引があった」との利用者からの訴えを受けて、海外からのアクセスを遮断したのは3日午前。すでに、正規利用者のIDやパスワードが流出していたとみられる。

 警視庁新宿署によると、他人のセブンペイで電子たばこを購入しようとしたとして詐欺未遂容疑で逮捕された中国籍の張升(22)とワン・ユンフェイ(25)両容疑者は、2日夜から3日午前、中国の通信アプリ「微信(ウィーチャット)」で指示役と接触していた。

 サイバーセキュリティー会社「スプラウト」(東京都中央区)の高野聖玄社長は、サービス開始直後の事件だったことから「事前に準備された中国のサイバー犯罪組織による犯行ではないか。日本で協力者を募るのは簡単だろう」と推測する。張容疑者は6月26日に観光目的で、ワン容疑者は2017年に留学のため来日していた。

 S&Jの三輪社長によると、犯罪組織は▽セキュリティーの強弱など全般的な下調べ▽IDやパスワードの入手▽店舗で物品を購入する人を手配▽物品を購入▽物品を換金--など役割を細分化しているとみられる。

 購入されたのが電子たばこだった理由について、警視庁の捜査関係者は「大量に買っても店員に怪しまれにくいうえ、中国でも人気だ」と話す。 利用者が取れる防御策はあるか。三輪社長は「サービスごとにIDとパスワードの組み合わせを変えること」と促す。

 警視庁は、張、ワン両容疑者の他にも多数の人間が関与したとみる。【佐久間一輝、岩崎邦宏】

スマホ決済、遅れに焦り

 セブンペイの不正利用はクレジットカードからアプリにチャージ(入金)する仕組みが狙われた。不正の防止策として一般的な「2段階認証」さえ組み込まれず、「基本的対策を怠っていた」(世耕弘成経済産業相)などと批判されている。

 2段階認証は、利用者がスマートフォンでIDやパスワードを入力した後、あらかじめ登録したスマホの電話番号宛てに事業者側からメッセージが届き、そこに記された数字を入力したりURLにアクセスしたりすることで、本人確認する仕組みだ。経産省も指針で事業者に求めている。

 では、なぜセブンは基本を怠ったのか。キャッシュレス決済大手の幹部は「セブンは独自の電子マネー、nanaco(ナナコ)の展開に注力するあまりスマホ決済で出遅れ、導入を急いだのでは」とみる。スマホ決済は「LINEペイ」「ペイペイ」などIT事業者系が先行。これらを取り入れたファミリーマートやローソンなど他社は売り上げを伸ばしたが、セブンは採用しなかった。

 セブンはこれまでナナコのポイント還元で客を囲い込み、買い物データを分析して店舗戦略に生かしてきた。強みを守るため、独自にスマホ決済を開発し、自社でデータを活用しやすくした。

 だが既存の「セブン-イレブンアプリ」に決済機能を付け足す形にしたため安全対策に不備が生じた。ある小売り大手幹部は「同アプリの機能はクーポン配信などに限られており、クレジットカードや銀行口座とひも付くサービスでは本来、段違いの安全性が求められる。セブンは両者を同等に見ていたのではないか」と指摘する。

 キャッシュレス業界の複数の関係者によると、以前からセブンペイの認証手続きの甘さは業界内で指摘されており、「後発のスマホ決済でわずらわしい認証手続きを採用すれば、利用者から敬遠される懸念がセブン側にあったのだろう」(業界関係者)とみられていた。不正利用発覚後の4日の記者会見で、セブンペイを運営するセブン&アイ・ホールディングス傘下のセブン・ペイの小林強社長は利便性の追求で「リスク面(の対策)をおろそかにしたという理解はしていない」と述べた。だがITに詳しい国際大学GLOCOM客員研究員の楠正憲氏は「安全性を確保する責任者がいたのかや、どこまで外部からの攻撃を前提にシステムを設計したか疑問がある」と指摘している。【和田憲二、鳴海崇】

緊急ダイヤル

 セブンペイの利用者向け24時間緊急ダイヤルは0120・192・044。


セブンペイの不正利用を巡る経緯

2日夜        「身に覚えのない取引があった」との問い合わせが運営会社「セブン・ペイ」(東京)に入る

           張容疑者が中国の通信アプリで「たばこを買え」と指示される

3日午前       「セブン・ペイ」が海外からのアクセスを遮断

午前10時20分ごろ 張容疑者が教えられた7、8人分のIDとパスワードを使ってコンビニでたばこを購入

正午ごろ       被害男性が使用履歴で被害に気付きコンビニに連絡

午後2時20分ごろ  たばこを取りにコンビニを訪れた張、ワン両容疑者に警察官が任意同行を求める

4日未明       両容疑者が逮捕される

午後         「セブン・ペイ」が記者会見し、被害は約900人、約5500万円に上ると公表

「心よりお詫び」セブンペイの9月末廃止を正式発表

 セブン&アイ・ホールディングス(HD)は1日、スマートフォン決済サービス「7pay(セブンペイ)」について、9月末でサービスを廃止すると発表した。サービス開始直後から不正利用被害が生じ、サービスを一時停止してセキュリティー強化を進めていたが、抜本的対策の完了に時間がかかるほか、サービスに対する利用者の不安も高まっており、サービス継続は困難と判断した。

 傘下のセブン-イレブン・ジャパンが運営するスマホアプリ「セブン-イレブンアプリ」の決済サービスとしてサービスを始めたセブンペイは、不正利用被害を受け、7月4日に全ての入金(チャージ)を停止した。現在アプリ内に残る残金の返却方法については今後周知するとしている。

 1日に東京都内で記者会見した後藤克弘セブン&アイHD副社長は「被害に対しては100%、補償するのは言うまでもないが、ご迷惑とご心配をおかけした多くのお客さま、不正利用の舞台となってしまったセブンイレブンの加盟店のみなさま、多くの関係者のみなさまに心よりおわび申し上げます」と謝罪した。

 セブンペイ問題を受けて立ち上げた新組織「セキュリティ対策プロジェクト」は、不正利用が「リスト型アカウントハッキングの可能性が高い」とする。

 こうした手口の犯行を防げなかった原因として、(1)複数端末からのログイン対策などシステム上の認証レベルの検証不足(2)グループ各社が参加した開発体制で全体の最適化の検証ができなかった(3)運営会社「セブン・ペイ」でのシステムリスク管理体制の仕組みが十分ではなかった-などを挙げた。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

7Pay中止、不正原因は公表せず責任も取らないセブン経営陣の「居直り」

 7月のサービス開始直後に不正利用が発覚し、その対応や説明をめぐってゴタゴタを繰り返した末の結末は、開始3カ月でのサービス中止だった。コンビニエンスストア業界首位のセブン&アイ・ホールディングス(HD)が肝いりで始めた独自キャッシュレス決済サービス「7Pay」は失敗に終わった。しかし、担当する後藤克弘HD副社長は辞任を否定。むしろ“再チャレンジ”に意欲を見せた。(ダイヤモンド編集部 岡田 悟)

 わずか3カ月の命だった――。

 コンビニエンスストア業界で2位以下を圧倒的に引き離すセブン“王者”セブン-イレブン・ジャパンを擁するセブン&アイ・ホールディングス(HD)が、失態に次ぐ失態を重ねている。

 7月1日のサービス開始直後に不正利用が発覚したスマートフォン決済サービス「7Pay」について、9月末で終了すると8月1日に発表した。

 記者会見での説明によると、不正利用の原因はいまだにはっきりと特定できていない。トラブル発覚後に専門家の間で指摘されていた、フェイスブックなどのSNSアカウントによる「外部ID連携」や、利用者がパスワードを忘れた際に、通知を受けたり再設定したりする機能が不正利用の原因になった事例は、見つからなかったというのだ。

 その一方で、他のサイトから漏えいしたIDとパスワードを用いて不正アクセスを試みる「リスト型アカウントハッキング」を受けた可能性が高い、と一応の結論のようなものは示した。

 だが、現在調査を続けている、社外の専門家や弁護士らで構成される「セキュリティ対策プロジェクト」のチームが最終的な結論を出しても、システムのセキュリティ保護を理由に、「監督官庁には報告する」(セブン&アイ・ネットメディアの田口広人社長)という程度で、記者会見などを開いて外部に説明する予定もないという。

 不正利用の被害者や客の苦情への対応に追われた加盟店は、原因を知ることもできないまま、7Pay問題の“本質”は闇に葬られてしまうわけだ。

● 二段階認証は「使用感から」導入せず 不正は事後的にモニタリングできると考えた

 今回の不正利用発覚で、7Pay に「二段階認証」を導入していなかったセキュリティのずさんさも問題だと指摘されてきた。この理由について、運営会社である7Payの奥田裕康取締役営業部長は、「開発段階では二段階認証を想定していたが、使用感を考慮して“入り口”を低くした」と説明。利用者の保護については、「決済が利用されるのはセブン-イレブンの店舗のみであり、不正が起きても、モニタリングによって事後的に対処できると考えていた」と釈明した。

 実際に不正が起きても、原因の特定はおろか、適切な対処がまるでできていない。混乱の末にサービス中止に至った運営側の責任を、果たして理解しているのだろうか。

 7Payは、10月に予定される10%への消費増税に伴って政府が進める、キャッシュレス決済利用時のポイント還元を睨んで導入された。失態の挙句にサービスを中止するとあって、ポイント還元の国への申請は辞退するという。

 デジタル戦略の責任者であるセブン&アイ・HDの後藤克弘副社長は、7Pay中止による加盟店への影響を問われ、「グループの銀行やカード会社は申請を続けるので、特段の大きな影響は出ない」と主張した。

 これこそが、グループのナンバー2に君臨する後藤副社長が、加盟店の事情を理解していないことの証左である。

 もし、7Payがトラブルを起こすことなく利用が広がっていれば、消費増税後のポイント還元を求め、セブン-イレブンの店頭で7Payを使って決済する買い物客は、さぞ増えていたことだろう。

 PayPayやメルペイなど他社のキャッシュレス決済は引き続き利用できるとはいえ、セブン-イレブンというブランドへの信頼感や、nanacoポイントと紐づいた7Payだからこそ使いたい、という利用者も多くいたはずだ。なにせ、セブン-イレブン・ジャパンの永松文彦社長が7月1日の7Pay発表記者会見で、「クーポンの付与などで500億円を投じる」と意気軒高に語っていたのだから。

 10月の増税後は消費の落ち込みに加え、最低賃金の上昇も懸念され、加盟店の苦境はさらに強まる。このタイミングで7Payの利用やクーポンの付与が進み消費が活性化すれば、加盟店の経営の一助となっていたことだろう。

 また、他の先進国や中国に比べて普及が大きく遅れているキャッシュレス決済は現在、国策として進められている。だからこそ、ヤフーやLINE、メルカリなどIT大手が莫大なコストをかけて利用者への還元策を実施し、サービス拡大に努めているのだ。そこに後発で乗り込んだ“コンビニの王者”が、とんでもないトラブルを引き起こしたという構図だ。

 東京都八王子市でセブン-イレブン八王子万町店を経営する増田敏郎さんは、「キャッシュレス決済全体に泥を塗った幹部は、経営責任を厳しく問われるべきだ」と怒りをあらわにする。

● 引責辞任は完全否定で“居直り”どころか 後藤副社長はキャッシュレス“再チャレンジ”を宣言

 だが記者会見で経営責任を問われた後藤副社長は、「原因の調査と再発防止に全力を尽くす。デジタルと経営は切り離すことはできない。セキュリティを強化していくのが経営責任の取り方だ」と強調。減俸などの処分についても「プロジェクトの調査結果が出てから社内基準で決める」として、「辞任する考えは、今はない」と断言した。

 後藤副社長はかつて、セブン-イレブンの“生みの親”である鈴木敏文HD名誉顧問の秘書を努めた経験があるが、16年に鈴木氏が会長の座を追われたクーデターでは反鈴木派に回り“風見鶏”との人物評がある。そうして、井阪隆一HD社長に次ぐ副社長の地位に就いたわけだ。現体制は「井阪・後藤体制」とも呼ばれるほどであり、後藤副社長なくして会社は回せない、ということなのだろう。

 もちろん、そんな社内事情が世間に通じるはずはなく、通常ならば経営責任を負う立場だ。それでも結果として、今回のトラブルの原因を生み出した後藤副社長以下、担当幹部たちは現時点で、辞任はおろか処分すら受けていないのである。7月4日、不正利用について最初に記者会見し、二段階認証について「二段階云々」と発言して不興を買った7Payの小林強社長は、8月1日の記者会見にすら現れず、進退についてもアナウンスされなかった。

 後藤副社長は「失った信用を取り戻すのは大変だが、7Payという名前でもう一度チャレンジしたいということではなく、バーコードやQR決済でチャレンジしていきたい」とさえ口にした。

 不正利用の被害者や、苦情対応に追われる加盟店、そしてキャッシュレス決済に取り組むあらゆる関係者にしてみれば、問題の解明と責任の明確化が信用回復の第一歩だ。再度の失態を引き起こしかねない“居直り”は、頼むから勘弁してほしいというのが本音ではないか。

セブンペイ9月末廃止、被害者に全額補償の方針

 セブン&アイ・ホールディングスは1日、7月1日のサービス開始直後から不正アクセスが相次いだスマートフォン向け決済「セブンペイ」を9月末で廃止すると発表した。十分な安全対策を講じるのに時間がかかるため、利用者の不安を解消してサービスを続けるのは難しいと判断した。開始からわずか1か月でサービスの終了を決めるという異例の事態となった。

 セブン&アイの後藤克弘副社長は1日、東京都内で記者会見し、「信頼して使用いただいたお客様に重ねておわび申し上げる」と陳謝した。廃止について「サービスを抜本的に再開するには相応の期間がかかる」と説明した。

 不正アクセスについては、過去に流出した会員の別サービスのIDやパスワードが悪用された「リスト型攻撃」を受けた可能性が高いと結論づけた。不正利用の被害は7月31日時点で808人、被害額は約3860万円に上る。同社は被害者に全額を補償する方針を改めて示した。

 スマホ決済では基本的な安全対策となる、ショートメッセージサービスを使った「2段階認証」の仕組みを導入していれば防げた可能性が高いとみられ、後藤氏は「開発段階から検討が十分でなかった」と、初めて不備を認めた。

 今後のスマホ向け決済サービスへの対応について、後藤氏は「次はしっかり準備してチャレンジしたい」と述べた。ただ、具体的な時期などは白紙とした。

 セブンペイは7月4日以降、新規の入金が中止され、残高の範囲内で買い物に利用できるだけだ。約150万人に上る会員は9月末まではサービスを利用できるが、未使用となった残高は順次、払い戻すとしている。

 同社は7月30日、セブンペイの不正アクセス問題に伴って、ネットサービスなどを利用する際に必要となる共通ID「セブンID」の全会員約1650万人分のパスワードを強制的にリセットした。同IDや自社で展開する電子マネー「nanaco(ナナコ)」についてはサービスを継続するとしている。消費税率引き上げに伴うポイント還元制度については、セブンペイの運営会社は登録を辞退した。ただ、ナナコでは還元を受けられる見通しだ。

セブンペイ廃止 キャッシュレス後進国からの脱却に打撃

 「7pay(セブンペイ)」の失敗は、日本のキャッシュレス化の流れに冷や水を浴びせかねない。2020年東京五輪・パラリンピックの開催まで1年を切り、外国人観光客のさらなる増加が見込まれる中、キャッシュレス化を推進する政府にとっても悩ましい事態だ。

 「コンビニ最大手の独自決済が広まれば、スマートフォンを持ち始めた高齢者にもキャッシュレス化が浸透すると期待していたのに…」。金融とITを融合したフィンテック企業の関係者は、セブンペイの不正利用問題がもたらす悪影響の広がりを懸念する。

 日本のキャッシュレス比率は20%前後で、世界と比べても低水準とされる。要因の一つが、キャッシュレス決済に対する根強い不安感だ。消費者庁が昨年6月に行ったアンケートでも、キャッシュレス決済の一つ「QRコード決済」を使っていない479人の約1割が、「個人情報の流出」や「不正使用」への不安を理由に挙げていた。

 キャッシュレスの推進は政府にとっても重要な施策で、令和7年までにキャッシュレス比率を4割に引き上げる目標を掲げている。

 10月の消費税増税では、中小店舗などでのキャッシュレス決済にポイントを還元する施策を打ち出している。増税による負担の軽減とともに、「お得感」を出すことで、キャッシュレス化の推進を図る「一石二鳥の得策」(政府関係者)となるはずだった。1兆円を超えるとされる現金の流通や管理にかかる費用の抑制や、資金の流れが追いやすくなるため、犯罪抑止や脱税防止にも有益とされる。

 大和総研の長内智主任研究員は「キャッシュレス決済には異業種からの参入も多い。業界としてどうセキュリティー水準を高めていくかが今後の課題だ」と指摘する。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

「7pay」問題でクオカード配布へ ネット上で「客への補償が先では」の声も…セブンに聞く

 スマホ決済サービス「7pay(セブンペイ)」が不正アクセスを受け、第三者によって不正利用される被害が相次いた問題で、セブン-イレブン本部が全国の店主に1万円分のクオカードを配布する方針が8月16日、明らかになりました。ネット上では「不正利用された客への補償が先では」「お客さんへの対応に苦労した店に、1万円で済ませるなんて」「クオカードだと結局セブンの売り上げになるのでは」といった疑問の声が上がっています。

 7月1日に始まったばかりのセブンペイは、9月末で終了することが既に決まっていますが、事後処理の在り方も課題になりそうです。セブン&アイ・ホールディングス(HD、東京都千代田区)の広報担当者に聞きました。

「調整しているのは事実」

Q.8月中に、全国のオーナーに1万円分のクオカードを配布する方針を決めたのは事実でしょうか。

担当者「その方向で調整しているのは事実です。ただし、(1万円分のクオカード配布という)この限りではなく、加盟店さまには、他の対応も検討している最中です。加盟店さまには、まだ今回の方針についてお伝えしておらず、配布などについて、まず加盟店さまにお伝えしたいという意向があります。現時点では、これ以上の詳しい説明は控えさせてください」

Q.配布の理由は、セブンペイ問題のおわびということでよいのですか。

担当者「その通りです」

Q.なぜ1万円なのでしょうか。ネット上では「お客さんへの対応で店は大変だったのだから、1万円は少ないのでは」という声があります。

担当者「先ほどもお話しましたが、店に対するその他の対応について、まだ検討している最中です。当然、これだけで終わることはありません。『1万円』が独り歩きすることが一番困ります」

Q.なぜ、クオカードなのでしょうか。オーナーが他店で使うことは考えづらく、自分の店で使えば結局、セブン本部にある程度還元されることになるのでは。

担当者「その点も、さまざまな検討があってのことです。現時点ではこれ以上はお話できません」

Q.ネット上では「不正チャージや不正利用されたお客さんへの補償が先では」との声があるようです。

担当者「お客さまが先なのは当然です。記者会見でもお話していますが、8月19日から補償の対応を開始する予定です」

Q.約2万1000店に配れば億単位のお金がかかると思われます。その原資はどこから出すのでしょうか。

担当者「まず、加盟店さまにお伝えしたいので、これ以上の詳しい説明は控えさせてください」

 セブン&アイHDによると、7月31日午後5時時点の被害者は808人、被害総額は3861万5473円。不正アクセスを防げなかった要因として、ショートメッセージでパスワードを送って本人確認をする「2段階認証」を導入していなかったことなど、セキュリティーの不備が挙げられています。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏