7payサービス終了決定、不正アクセス受け復旧困難



画像:「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について/セブンアンドアイホールディングス

セブンアンドアイホールディングスは2019年8月1日、同社が提供している電子決済サービス「7pay」を2019年9月30日を目途にサービス終了すると発表しました。

同サービスは開始直後から不正利用が相次ぎ、多くの顧客から被害報告が噴出。その後、開かれた記者会見にて、新たなチャージを停止しセキュリティ体制の強化に努めるとしていましたが、短期間での全面的なサービス復旧は困難と判断。今回の決定に踏み切ったとしています。

「パスワードリスト型攻撃の可能性が高い」と主張

セブンアンドアイホールディングスは2019年8月1日の発表にて、不正アクセスの原因は「パスワードリスト型攻撃の可能性が高い」と主張しています。

また、同社はサイバー攻撃を受けた背景として7payにまつわる管理体制に問題があり、不正アクセスの要因となったと発表。

  • 「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなかった結果、リスト型攻撃に対する防御力を弱めた
  • システム全体の最適化を十分に検証できていなかった結果、今回のインシデントを引き起こした
  • 相互検証・相互牽制の仕組みが十分に機能していたのか検証が必要

上記のような点に課題があったと反省点を明かしています。

被害は全額補償する方針

セブンアンドアイホールディングスによると、7pay不正アクセスによる被害額は、2019年7月31日17時で約3,861万円です。

同社は被害について「不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償いたします」と発表。莫大な被害を出しながら、サービス終了という結末を辿った形です。

7payの歩み

2019年7月1日 サービス開始
2019年7月2日 顧客から「身に覚えのない取引があった」旨の問合せ
2019年7月3日 ホームページに「重要なお知らせ」を掲載・海外IPの遮断やカードからのチャージを停止
2019年7月4日 店舗レジ/セブン銀行 ATM からの現金チャージ利用を停止
2019年7月5日 「セキュリティ対策プロジェクト」の設置
2019年7月6日 モニタリング体制の強化
2019年7月11日 外部IDによるログイン停止
2019年7月30日 7iD のパスワードリセットの実施
2019年8月1日 サービス廃止を決定
2019年9月30日 サービス廃止(予定)

参照「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について/セブンアンドアイホールディングス