モバイル決済サービス「7pay」で不正ログインの被害が相次いだ問題で、セブン&アイ・ホールディングス(HD)は8月1日、同サービスを9月30日で終了すると発表した。7月1日にリリースしたばかりだが、「抜本的な解決には相応の期間が必要」との判断から、早期の廃止を決断したという。今後は被害者への補償を進める他、弁護士を中心とする検証チームによる原因究明と再発防止に努める。キャッシュレス決済事業に注力する方針は継続し、時期をおいて新サービスを始める可能性もあるという。
7payでは、サービス開始直後から第三者にアカウントを乗っ取られ、登録していたクレジットカードを不正利用される被害が相次いだ。セブン&アイHDによると、7月31日午後5時時点での被害者数は808人、被害額は約3900万円。当初の発表から人数・金額が増減している理由は詳細を精査したためで、7月中旬以降は新たな被害は確認していないという。
「お客さまが不安を覚えている。廃止もやむなし」
同日開いた記者会見に登壇した、セブン&アイHDの後藤克弘副社長は「ご迷惑とご心配をおかけした多くのお客さま、不正利用の舞台となったセブン-イレブン加盟店の皆さま、多くの関係者の皆さまに心よりおわびを申し上げる」と各方面に謝罪。
不正ログイン被害が起きた原因については「リスト型攻撃の可能性が高いと認識している」(後藤副社長)とした。
また後藤副社長は、早期の終了を決めた理由について、「現在は7payのチャージも新規登録もできず、チャージした金額を使えるだけという不完全な状態にある。今からシステム改修を行うには時間がかかり、お客さまも7payに不安を感じている。廃止もやむなしと判断した」と説明した。
不正ログイン被害は「システム開発やリスク管理に問題あった」
今回の事態について、後藤副社長は「7payのシステム開発やセブン&アイグループ全体のリスク管理などに問題があった」と不備を認めた。「複数端末からのログイン対策や二要素認証などの検討が十分ではなく、結果としてリスト型攻撃に対する防衛力を弱めた」という。
セブン&アイHDでデジタル戦略推進の指揮をとる清水健執行役員(デジタル戦略推進本部 デジタル戦略部 シニアオフィサー)も、「(7payの)システムの開発チームを横断して束ねられていなかった」と、マネジメントに課題があったことを認めた。
清水氏によると、7payのシステムは各機能を複数のプロジェクトチームが開発していた。それぞれのシステムを俯瞰し、全体像を検証する作業がおろそかになっていたという。
オムニ7アプリのソースコード漏えいも事実
同社のセキュリティ面の不備はこれにとどまらず、7月24日付のWebメディア「BUSINESS INSIDER JAPAN」は「7payとログインの仕組みが一部似ている、セブン&アイHDのECサイト『オムニ7』アプリのソースコードが『GitHub』に掲載されており、誰でもダウンロードできる状態だった」と報道。7月10日頃まで公開が続いていた可能性を示した。
同グループのデジタル戦略支援を手掛けるセブン&アイ・ネットメディアの田口広人社長は、この報道を認めた上で「(GitHub上のソースコードについて)管理不行き届きだった」と謝罪した。
田口社長によると、問題のソースコードは2015年秋に開発環境向けとして作られたもので、当時は現在のサービス展開を想定していなかったという。ソースコードに書かれたインタフェースやログイン関連の仕様は、「現在は使われていない」としている。
全額を補償する方針
セブン&アイHDの調査によると、不正ログインの実行犯が7payで決済したセブン-イレブン店舗に地域性はなく、犯行は全国的なものだったという。一方、一部地域に不正利用が集中した店舗があることも突き止めており、同社は再発防止に向けて防犯体制を強化中だとしている。
また同社は現在、クレジットカード会社と連携し、不正に使われた額が利用者の口座から引き落とされないよう対応中という。今後はクレカの他、デビットカードやnanacoポイントも含め、被害者に遭ったユーザーに全額を補償する方針だ。
セブン&アイHDは“再チャレンジ”の意向
体制の不備が続々と明るみに出ているセブン&アイHDだが、当初はキャッシュレス決済サービスをデジタル戦略の大きな柱として位置付けていた。7payは失敗に終わったが、今後もこの方向性に変わりはなく、体制を整えてもう一度チャレンジする可能性があるという。
後藤副社長は「時期や内容は白紙」としながらも、「キャッシュレス化の社会的ニーズは高く、今後もその需要は高まっていく。当社は引き続きキャッシュレスサービスの可能性を探るとともに、快適に買い物ができる環境を整えていく」との意向を語った。
関連記事
2019-08-01 13:22:00Z
https://www.itmedia.co.jp/news/articles/1908/01/news151.html
0 Comments:
Post a Comment