「7pay」への不正アクセス、システム上の認証レベルが不十分なことが原因（セブン&アイ・ホールディングス）

株式会社セブン&アイ・ホールディングスは8月1日、同社傘下の株式会社セブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスについて、これまでの経緯と同サービスの廃止について発表した。

これは7月1日にサービス開始した7payについて、翌7月2日に顧客から見に覚えのない取引があった旨の問い合わせが同社にあり、7月3日に海外IPからのアクセスを遮断するとともにクレジットカード・デビットカードからのチャージ利用を、7月4日には店舗レジ・セブン銀行ATMからの現金チャージ利用を停止するとともに、7月5日にセキュリティ対策プロジェクトを設置し、7月11日には外部IDによるログイン停止、7月30日には7iDのパスワードリセット等の対策を実施してきたが、当該プロジェクトによる検討の結果、チャージを含めた全サービスを再開するための抜本的な対応を完了するには相応の期間が必要となることや、その期間中にサービスを継続する場合は「利用（支払）のみ」という不完全な状態となること、同サービスに顧客は依然として不安を持っていることから、同サービスの継続は困難で9月30日午後12時を持って廃止するという結論に至ったというもの。

同サービスでの被害は不正チャージと不正利用の双方があり、セブン・ペイ社では、顧客から直接問合せや照会依頼があった場合の相互確認による被害認定と、カード会社からの情報連携による認定、不正被害発生パターン同様の利用が確認されたケースの独自認定を行っている。

7月31日午後5時現在の被害状況について対象は808人で、その金額は38,615,473円。セブン・ペイ社では、不正チャージ・不正利用いずれかに拘わらず被害金額の全てを補償する。

セブン・ペイ社では今回の不正アクセスについて、外部情報セキュリティ会社と連携したセキュリティ対策プロジェクトの調査によると、攻撃者が不正に入手したID・パスワードのリストを用い不正アクセスを試みた可能性が高いとのこと。またパスワードリスト型攻撃を防げなかった理由として、複数端末からのログインへの対策や二要素認証等の追加認証の検討が十分でなかったこと、システム全体の最適化を十分に検証できていなかったこと、システムリスク管理体制上の問題があったことを要因としている。

セブン&アイ・ホールディングス社では今後、グループ横断的に情報セキュリティを統括管理する組織を設置し、同社が中心となってグループ全体の情報セキュリティ水準を高めることに努めるとのこと。