「二段階認証……?」7pay緊急記者会見、ユーザーから不安視する声が続出 質疑応答の要点まとめ

「二段階認証……?」7pay緊急記者会見、ユーザーから不安視する声が続出 質疑応答の要点まとめ

10

不正アクセス被害が続出しているバーコード決済サービス「7pay」を運営するセブンペイは7月4日、緊急記者会見を行い、被害の状況や今後の対応について説明。質疑応答での要点を箇条書きでまとめました。

「7pay」不正アクセス被害が続出で緊急記者会見

7pay

バーコード決済サービス「7pay」で不正アクセスされ、第三者が登録されたクレジットカードおよびデビットカードから多額をチャージし、決済されてしまう被害が続出している件について、セブンペイは7月4日、緊急記者会見を開きました。

記者会計では「7pay」のすべてのチャージとアカウントの新規登録を一時停止。被害を試算したところ、約900名、約5,500万円になったと報告。

関連:「7pay」不正アクセス被害規模、約900名・約5,500万円と試算――全てのチャージと新規登録を停止

「7pay」不正アクセス被害を巡っては、セキュリティの甘さや、不正アクセスによる乗っ取りのしやすさが専門家らから指摘されていました。

質疑応答で、記者から「なぜ二段階認証にしなかったのか」と問われると、セブンペイ・小林強社長は「二段階認証……?」と二段階認証を知らない様子を見せるなど、ユーザーの不安をさらに煽ってしまう場面も見られました。

また不正アクセスによってユーザーの個人情報が閲覧できてしまう問題については、「情報漏えいが起こっていると認識していない」と応えるなど、話題になっています。

「7pay」緊急記者会見、質疑応答の要点まとめ


kishya
記者

不正利用された抜け穴はどこにあったと考えられる?

seven-eleven
7pay

詳細はこれから改めて専門家をいれて調査する。


kishya
記者

パスワードリセットの部分は改善したのか

seven-eleven
7pay

今後改善していく。いくつか対応はしている。海外からのアクセスは遮断。パスワード変更に必要な事項を検討中。

※「display: none」でフォームの一部を隠す対応をしていたことには言及せず。


kishya
記者

緊急ダイヤルにつながらい問題はどうなったか

seven-eleven
7pay

昨日からスタッフを増員。今日も増員した。電話が取れないことのない体制に拡大していっている。


kishya
記者

チャージを止めても、すでにチャージされた金額は使われてしまうのでは?なぜ決済は止めない?

seven-eleven
7pay

ユーザーの利便性を重視。クレジットカードとデビットカードからのチャージを止めたら状況がかわった。多額の不正は減った。なので決済は維持した。不正被害は全額補償する。


kishya
記者

事前に脆弱性はどうしてわからなかったのか

seven-eleven
7pay

システムのセキュリティ審査は行ったが、脆弱性の指摘はなかった。確認したうえでサービス開始している。


kishya
記者

オムニ7(セブン&アイの通販サイト)などを不安視する声もあるが?

seven-eleven
7pay

外部からの不正アクセスはチェックしている。この1週間で際立ったものはなかった。


kishya
記者

別のメールアドレスでパスワードリセットできるようにした理由は?

seven-eleven
7pay

スマホのキャリア変更してメールアドレスが使えなくなってしまった人でも変更できるように、別のメールアドレスでもリセットできるようにした。


kishya
記者

被害は全額保証するというが、クレカの補償もあると思うが?

seven-eleven
7pay

厳密にはクレジットカード会社からの補償や警察への被害届を出してもらうなどあるが、この状況でユーザーに細かいことを説明しても困惑するので、基本的には全部補償しますということで理解してもらいたい。


kishya
記者

チャージの再開はいつになる?

seven-eleven
7pay

今回の不正アクセスが完全にクリアできると確認してから。具体的には未定。


kishya
記者

リスト型攻撃だった可能性はあるのか?

seven-eleven
7pay

調査中でまだわからない。


kishya
記者

試算された900人より多い問い合わせはあるのか?

seven-eleven
7pay

ない。被害にあったユーザーを900人としたのは被害総額からの試算。被害にあったユーザーは申告ベースでは900人にはいたっていない。


kishya
記者

ユーザー登録時に二段階認証にしなかったのはなぜ?

「二段階認証……?」とセブン・ペイの小林強社長は二段階認証を知らない反応。

seven-eleven
7pay

セブン−イレブンアプリの機能の1つとして開始しているので、アプリと連携したかたちで登録になるので、二段階認証と同じ土俵で比べられるのか認識していない。


kishya
記者

不正利用で購入されたものは?Amazonギフトカードは?

seven-eleven
7pay

換金性としてはタバコなどでは。Amazonギフトカードは買える。


kishya
記者

不正ログインされている状態で、本人はログインできる?

seven-eleven
7pay

同時ログインは無理だと思う。色んなパターンを含め調査を行っている。


kishya
記者

スマホ決済の信頼を下げたのでは?

seven-eleven
7pay

非常に残念な事象。これをきっかけに安心安全、かつ便利なものに立て直したい。

kishya
記者

利便性を優先した結果として不正アクセスが発生したのでは?

seven-eleven
7pay

使いやすさとセキュリティ面はリンクした話ではないと理解している。どこに不備があったのか精査していく。


kishya
記者

不正アクセスで個人情報の漏えいはあるか?

seven-eleven
7pay

可能性を含めて調査中。

kishya
記者

不正アクセスされたユーザーは第三者に何を見られてしまうのか

seven-eleven
7pay

自分がアプリに登録した情報が見られてしまう。


kishya
記者

不正アクセスは海外からか?

seven-eleven
7pay

最初見つけた事案はほとんどが海外のIPアドレスからだった。精査している最中だが中国など。


kishya
記者

不正アクセスの原因はパスワードリセットの部分なのか?

seven-eleven
7pay

サービス開始前にセキュリティ診断はしているが、改めて調査しないと原因はわからない。開始前に脆弱性があったという認識はない。


kishya
記者

被害実例の多いパターンは?防犯カメラの映像から警察への情報提供などは?

seven-eleven
7pay

個別の事案は精査中。現在、個別の取引の精査をしている。平均被害額などは把握できている状況ではない。防犯カメラの映像は警察の捜査への協力が優先。FC店オーナーの協力が必要。


kishya
記者

被害額5,500万円は被害全体の推定か?

seven-eleven
7pay

あくまでも試算だが、今後増える可能性はある。昨晩と今朝の数字を比較するとそれほど増えてない。


kishya
記者

被害補償を受けるためにやるべきことは?

seven-eleven
7pay

警察に被害届を出すことが基本。もう少し違うやり方も可能かどうか検討していく。被害アカウントの特定を最優先でやっている。その後、どのように手続きをしていくかを検討していく。7pay側から被害アカウントへ連絡することも検討する。


kishya
記者

7pay開発したのはどこの会社?

seven-eleven
7pay

協力会社の何社かと一緒に開発した。


kishya
記者

今回のようなケースの攻撃は検証はしていたいのか

seven-eleven
7pay

何度もチェックして安全面では問題はないと思っていた。


kishya
記者

セブン−イレブン店舗への対応は?

seven-eleven
7pay

現段階では大量買いなどは制限していない。今後については本部で対応を検討中。


kishya
記者

不正アクセスの"被害"とはどこからどこまでを言っている?

seven-eleven
7pay

ユーザーの意図しないお金の動きがあれば調査して、被害の定義と金額を確定し、どういう形で補償するか個別のケースごとに対応していきたい。


kishya
記者

現在も不正アクセスができる状態で情報漏えいは拡大しているが、全面停止は検討しているか?

seven-eleven
7pay

7idの取りうる安全策を速やかに対応し、抜本的な対応をする必要があれば対応する。情報漏えいについて、現時点では認識していない?


kishya
記者

対応が遅くなった理由は?

seven-eleven
7pay

遅くなった認識はない。2日夜に被害を確認し、3日午前中に発表。3日午前10時には海外からのアクセスを遮断している。


kishya
記者

別端末でログインしても通知がないのはセキュリティが甘かったのでは?

seven-eleven
7pay

セキュリティの安全は確認してスタートしている。利便性と安全性のバランス。安全で便利なものを開発してきたつもり。


kishya
記者

不正アクセスが疑われるアカウントの凍結は?

seven-eleven
7pay

順次凍結の作業は行っている。


kishya
記者

被害5,500万円は実際に店舗で使われたものか?

seven-eleven
7pay

はい。