7月1日のサービス開始からわずか1ヶ月で廃止が発表された7pay。7月2日には早くも不正利用が発覚し、翌3日にはチャージ利用を、4日には新規入会をそれぞれ停止するなど、コンビニの覇者らしからぬ展開を見せてしまったセブン&アイ・ホールディングスですが、なぜ7payは開始早々犯罪集団から狙い撃ちされてしまったのでしょうか。ケータイ/スマートフォンジャーナリストの石川温さんが自身のメルマガ『石川温の「スマホ業界新聞」』で探っています。
7payがわずか1ヶ月で「廃止」を発表――不可解な「サービス開始直後の不正アタック」
7payがサービス開始1ヶ月で「廃止」を余儀なくされた。7月1日のサービス開始からわずか2日で数千万回というリスト型アタック攻撃をされ、IDとパスワード、さらにはチャージ用のパスワードが突破された。被害者数は808人、被害総額は3,861万円までになった。実際に不正利用されたセブンイレブンの店舗は全国に及ぶという。
個人的に不可解に感じていたのが、なぜこんなにも早く、犯罪集団から7payが狙われたという点だ。サービス開始してわずか1日、2日の未明には不正アクセスされ、すぐに店舗で不正な買い物が行われている。どう考えても、サービス開始前から狙われていたとしか思えない。
「なぜ、こんなに早く狙われたのか」という質問に対して、セブン・ペイの奥田裕康営業部長は「事前から第三者の準備がされていたかどうかは想像の域を出ない」と回答した。
筆者が想像するに、こんなに短時間に集中して不正アクセスできたのは、もしかすると、セブンiDが事前に流出していたのではないか。犯罪組織が事前に大量のセブンiDリストを保有していれば、短時間に効率よく、アタックを仕掛けることができる。セブンiDが大量に流出している可能性があったからこそ、7月30日にパスワードの一斉リセットをしたのではないか。
今回、パスワードリセットをした理由について、セブン&アイ・ホールディングスの後藤克弘副社長は「セブンiD自体、セキュリティレベルとしてはしっかりとしている認識がある。しかし、やはり安心感という意味で、どこかのタイミングでリセットをしようと思っていた。ただ、大量のお客様が登録されており、その対応準備に時間を要した」と語っていた。
安心感のためにリセットを施したというが、リセットをすれば、不安に思うユーザーもいるだろうし、それによって、ユーザーがサービスから離脱するリスクもある。セキュリティレベルがしっかりしているのなら、なぜこのタイミングで、あえてすべてのユーザーにリセットを強制するのか理解に苦しむ。
今回の会見を見ていると、早々にサービスを廃止することで、7payを切り捨て闇に葬り、なんとかオムニ7を守っていきたいというセブン&アイ・ホールディングスの本音が見え隠れする。
会見ではリスト型アカウントハッキングが原因としているが、SNS上の被害者の声を拾うと、リスト型の攻撃では説明がつかないものも見受けられる。おそらく、セブン・ペイとしてはこれ以上、真相を明らかにすることはないだろう。サービス開始1ヶ月で幕引きを図ることで、オムニ7関連への悪影響を食い止めたいのではないか。
ページ: 1 2