「セブンペイ(7pay)」不正アクセスとクレジットカード不正使用の原因がヤバい!

2019年7月1日(月)から開始した、キャッシュレス決済サービス「7pay(セブンぺい)」 。
サービス開始から早くも、クレジットカード登録をしたアプリから身に覚えのないチャージ決済が相次ぎ、問題になっています。

ほんの数分で30万円以上もの金額を不正利用されたというユーザも。恐ろしいです。

運営会社の対応

上記事象を受け、株式会社セブン&アイ・ホールディングスは7/3(水)にクレジットカードとデビットカードからのチャージを停止する対応を取りました。

以下は7iD会員でセブン‐イレブンアプリ利用ユーザに送信されたメールです。

━━━━━━━━━━━━━━━━━━

「7pay」に関する重要なお知らせ

━━━━━━━━━━━━━━━━━━

現在、一部アカウントが第三者にアクセスされる被害が確認されております。

つきましては、取引の安全が確認されるまでの間、クレジットカード及びデビットカードでのチャージを停止させて頂き、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージのみとさせて頂きます。再開の目途が付き次第ご案内いたします。

皆様には多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

現金やナナコポイントでのチャージは可能のようですが、事態が落ち着くまでは使用するには不安ですね。

不正使用の原因は

クレジットカード登録済みアプリ → 不正アクセス(パスワードリセット) → 不正利用 の流れのようです。

7payと連携できるomni7(オムニセブン)では生年月日とメールアドレスなど簡単な情報でパスワードがリセット出来てしまう仕様でそこの穴を利用された可能性が極めて高い。

被害者の声


1秒で3回のチャージされたという報告もあります。連打しているんでしょうか。なんだか腹立たしい。


パスワードリセットされ場合、登録されたクレジットカード情報は残るのでそのまま、使い放題という恐ろしい流れです。

最後に

アプリケーション上のパスワード管理の脆弱性をついた卑劣な犯行です。

不正利用に気づいた際は運営会社、クレジットカード会社に即時報告を行い判断を仰ぎましょう。

 

<☟あわせて読みたい>

「セブンペイ(7pay)」不正アクセス元は海外から⁉外国からの犯行か