「7pay」への不正アクセス、システム上の認証レベルが不十分なことが原因(セブン&アイ・ホールディングス) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.23(月)

「7pay」への不正アクセス、システム上の認証レベルが不十分なことが原因(セブン&アイ・ホールディングス)

株式会社セブン&アイ・ホールディングスは8月1日、同社傘下の株式会社セブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスについて、これまでの経緯と同サービスの廃止について発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 6 枚 拡大写真
株式会社セブン&アイ・ホールディングスは8月1日、同社傘下の株式会社セブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスについて、これまでの経緯と同サービスの廃止について発表した。

これは7月1日にサービス開始した7payについて、翌7月2日に顧客から見に覚えのない取引があった旨の問い合わせが同社にあり、7月3日に海外IPからのアクセスを遮断するとともにクレジットカード・デビットカードからのチャージ利用を、7月4日には店舗レジ・セブン銀行ATMからの現金チャージ利用を停止するとともに、7月5日にセキュリティ対策プロジェクトを設置し、7月11日には外部IDによるログイン停止、7月30日には7iDのパスワードリセット等の対策を実施してきたが、当該プロジェクトによる検討の結果、チャージを含めた全サービスを再開するための抜本的な対応を完了するには相応の期間が必要となることや、その期間中にサービスを継続する場合は「利用(支払)のみ」という不完全な状態となること、同サービスに顧客は依然として不安を持っていることから、同サービスの継続は困難で9月30日午後12時を持って廃止するという結論に至ったというもの。

同サービスでの被害は不正チャージと不正利用の双方があり、セブン・ペイ社では、顧客から直接問合せや照会依頼があった場合の相互確認による被害認定と、カード会社からの情報連携による認定、不正被害発生パターン同様の利用が確認されたケースの独自認定を行っている。

7月31日午後5時現在の被害状況について対象は808人で、その金額は38,615,473円。セブン・ペイ社では、不正チャージ・不正利用いずれかに拘わらず被害金額の全てを補償する。

セブン・ペイ社では今回の不正アクセスについて、外部情報セキュリティ会社と連携したセキュリティ対策プロジェクトの調査によると、攻撃者が不正に入手したID・パスワードのリストを用い不正アクセスを試みた可能性が高いとのこと。またパスワードリスト型攻撃を防げなかった理由として、複数端末からのログインへの対策や二要素認証等の追加認証の検討が十分でなかったこと、システム全体の最適化を十分に検証できていなかったこと、システムリスク管理体制上の問題があったことを要因としている。

セブン&アイ・ホールディングス社では今後、グループ横断的に情報セキュリティを統括管理する組織を設置し、同社が中心となってグループ全体の情報セキュリティ水準を高めることに努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

    メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

  2. Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

    Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

  3. 日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

    日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

  4. 受験者への合格通知を誤って2名分同封し発送(愛知県)

    受験者への合格通知を誤って2名分同封し発送(愛知県)

  5. サイバーセキュリティ技術者の「職人技」どこまで標準化できるか

    サイバーセキュリティ技術者の「職人技」どこまで標準化できるかPR

  6. 個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

    個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

  7. MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解

    MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解PR

  8. Scan BASIC 登録方法

    Scan BASIC 登録方法

  9. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  10. 10連休控え例年より早く発表、今年の長期休暇におけるセキュリティ注意喚起(IPA)

    10連休控え例年より早く発表、今年の長期休暇におけるセキュリティ注意喚起(IPA)

ランキングをもっと見る