2019年7月1日(月)から開始した、キャッシュレス決済サービス「7pay(セブンぺい)」 。
サービス開始から早くも、クレジットカード登録をしたアプリから身に覚えのないチャージ決済が相次ぎ、問題になっています。
ほんの数分で30万円以上もの金額を不正利用されたというユーザも。恐ろしいです。
運営会社の対応
上記事象を受け、株式会社セブン&アイ・ホールディングスは7/3(水)にクレジットカードとデビットカードからのチャージを停止する対応を取りました。
以下は7iD会員でセブン‐イレブンアプリ利用ユーザに送信されたメールです。
━━━━━━━━━━━━━━━━━━
「7pay」に関する重要なお知らせ
━━━━━━━━━━━━━━━━━━
現在、一部アカウントが第三者にアクセスされる被害が確認されております。
つきましては、取引の安全が確認されるまでの間、クレジットカード及びデビットカードでのチャージを停止させて頂き、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージのみとさせて頂きます。再開の目途が付き次第ご案内いたします。
皆様には多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
現金やナナコポイントでのチャージは可能のようですが、事態が落ち着くまでは使用するには不安ですね。
不正使用の原因は
クレジットカード登録済みアプリ → 不正アクセス(パスワードリセット) → 不正利用 の流れのようです。
7payと連携できるomni7(オムニセブン)では生年月日とメールアドレスなど簡単な情報でパスワードがリセット出来てしまう仕様でそこの穴を利用された可能性が極めて高い。
#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 https://t.co/2PkHOywbxV pic.twitter.com/wO2hrzrp9K— shao (Sho SAWADA) (@shao1555) July 3, 2019
被害者の声
【写真】7payで不正アクセス被害に会いました。
今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。
1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX
— Tack C. Mizoguchi (@ttack1122) July 3, 2019
1秒で3回のチャージされたという報告もあります。連打しているんでしょうか。なんだか腹立たしい。
クレジットカードの登録には3DSecureを使って登録、その後は都度のパスワードによりチャージできる仕組みですが、そのパスワードはアプリへのログインとも違うものを登録していましたが、2段階どちらも突破されました
なお桁数は16桁、使いまわしはしていません
— めるかば (@methuselah3) July 3, 2019
パスワードリセットされ場合、登録されたクレジットカード情報は残るのでそのまま、使い放題という恐ろしい流れです。
最後に
アプリケーション上のパスワード管理の脆弱性をついた卑劣な犯行です。
不正利用に気づいた際は運営会社、クレジットカード会社に即時報告を行い判断を仰ぎましょう。
<☟あわせて読みたい>
コメント
[…] 「セブンペイ(7pay)」不正アクセスとクレジットカード不正使用の原因がヤバい! […]