わずか3ヶ月間でサービスを終了させることになったセブンペイ。大手企業にも関わらず、セキュリティ対策への課題を解決できない結果となりました。そんなセブンペイから学べるキャッシュレス決済の選び方について解説していきます。





セブンペイとは

スマートフォン決済サービス

セブンペイとはセブン&アイHD(出資比率40%)、セブン・フィナンシャルサービス(出資比率30%)、セブン銀行(出資比率30%)が共同出資して設立した株式会社セブン・ペイによって運営されるスマートフォン決済サービスです。双子タレント三倉茉奈さん、 三倉佳奈さんを起用したTVCMも展開しました。




セブンペイの多彩なチャージ方法

セブンペイは全国のセブンイレブンのレジでチャージして利用することが可能です。チャージ方法はセブン銀行ATM、nanacoポイント、クレジットカード、セブン銀行口座からスマホアプリにチャージすることができて、利用履歴もアプリ内で確認することができます。


nanacoポイントが貯まる

セブンペイは支払い額によってnanacoポイントが貯まる仕組みで、200円につき1ポイント付与され1ポイント1円としてセブンペイで利用することができます。


セブンペイ終了までの経緯

2019年7月1日にサービスをスタートさせたセブンペイはちょうど1ヶ月後の8月1日にサービス終了を発表しました。その経緯を説明していきます。


不正アクセス発生

2019年7月4日、前日にセブンペイが不正アクセスの被害を受けたことを発表。内容は第三者が7payの利用者になりすまし、登録されているクレジットカードから勝手にチャージしたのち、セブンイレブン店舗で商品を購入するという行為が発生したというもの。

発表当初の被害額は900名に対して5,500万円と公表していますが、7月31日時点では808人に対して約3,861万円もの被害と公表しています。


不正アクセスの手口

2019年8月1日にセブンペイから発表された内容によれば、不正アクセスの手法は「リスト型アカウントハッキング」の可能性が高いとのこと。犯人がどこかで不正に入手したID/パスワードを使って7payになりすまし不正アクセスが実行されたという見解です。


セブンペイの対応

不正利用が発覚後、セブンペイは以下の対応を実施しました。

    7月3日の対応
  • お客様サポートセンター緊急ダイヤルを設置。
  • パスワード管理の注意喚起を掲載。
  • クレジットカードおよびデビットカードによるチャージを停止。

    7月4日の対応
  • セブン‐イレブン店頭レジ/セブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを一時停止。

    7月11日の対応
  • 外部 ID(Facebook 、Twitter 、Google、Yahoo!JAPAN、LINE)によるログインを 一時停止。

    7月30日の対応
  • 「7iD パスワード」の一斉リセット。

    9月30日の予定
  • サービス停止。

顧客被害は全額補償

今回の不正アクセス被害については「不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償いたします。」と回答しており、被害に遭われたユーザは専用ダイヤルまで電話する必要があります。


キャッシュレス決済の選び方

認証システムを見極める

セブンペイの不正利用事件から学べることは、他のスマホ(端末)からログインすることができるサービスだったという点にあります。このようなセキュリティの欠陥は「本人確認作業」や「二段階認証」などの機能によって補うことができます。

このような措置をとっていない決済事業者のサービスは絶対に使用してはいけません。セブン&アイのような超大手企業であっても事業担当者がそこまでの知見をもっていないことも考えられるのは、今回の事件で明らかです。


本人確認作業とは

本人確認作業とはサービスアプリ内で本人確認ができる身分証明証(運転免許証やパスポート)や本人の顔写真を提出することを意味します。アプリをインストール後、本人である証拠を提示することによって、本人以外からの利用をブロックすることができます。

簡単に言えば、本人を証明するものがなければ第三者はアクセスしたり利用することができない仕組みが完成します。

サービスを利用するにあたって個人情報の入力が必要ないキャッシュレス決済は一見安全なように見えて、とても危険性が高いという認識を持っておくことが重要です。


二段階認証とは

二段階認証とは「Google Authenticator」というアプリに代表されるようにログイン時にパスワードを2回入力しないと利用することができないという仕組みです。1つはもともと設定したキャッシュレス決済アプリのパスワードを入力しますが、もう一つは外部アプリから送られてくる暗証番号を入力することになります。SMSを使って利用者の携帯番号に暗証番号を送る方法もあり、Google Authenticatorを使うにせよ、二段階認証は本人のスマホを持っていない限り暗証番号を知ることができないので、第三者が不正に利用することはほぼ不可能となります。

こういった二段階認証の仕組みを採用しているサービスを選ぶことが重要です。


これからどのキャッシュレス決済サービスを使うか迷っている方は、当ブログでまとめているキャッシュレス決済の関連記事をご覧ください。詳細はこちらをクリックすると閲覧可能です。