「7pay」への不正アクセス、システム上の認証レベルが不十分なことが原因(セブン&アイ・ホールディングス) | ScanNetSecurity
2024.03.29(金)

「7pay」への不正アクセス、システム上の認証レベルが不十分なことが原因(セブン&アイ・ホールディングス)

株式会社セブン&アイ・ホールディングスは8月1日、同社傘下の株式会社セブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスについて、これまでの経緯と同サービスの廃止について発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 6 枚 拡大写真
株式会社セブン&アイ・ホールディングスは8月1日、同社傘下の株式会社セブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスについて、これまでの経緯と同サービスの廃止について発表した。

これは7月1日にサービス開始した7payについて、翌7月2日に顧客から見に覚えのない取引があった旨の問い合わせが同社にあり、7月3日に海外IPからのアクセスを遮断するとともにクレジットカード・デビットカードからのチャージ利用を、7月4日には店舗レジ・セブン銀行ATMからの現金チャージ利用を停止するとともに、7月5日にセキュリティ対策プロジェクトを設置し、7月11日には外部IDによるログイン停止、7月30日には7iDのパスワードリセット等の対策を実施してきたが、当該プロジェクトによる検討の結果、チャージを含めた全サービスを再開するための抜本的な対応を完了するには相応の期間が必要となることや、その期間中にサービスを継続する場合は「利用(支払)のみ」という不完全な状態となること、同サービスに顧客は依然として不安を持っていることから、同サービスの継続は困難で9月30日午後12時を持って廃止するという結論に至ったというもの。

同サービスでの被害は不正チャージと不正利用の双方があり、セブン・ペイ社では、顧客から直接問合せや照会依頼があった場合の相互確認による被害認定と、カード会社からの情報連携による認定、不正被害発生パターン同様の利用が確認されたケースの独自認定を行っている。

7月31日午後5時現在の被害状況について対象は808人で、その金額は38,615,473円。セブン・ペイ社では、不正チャージ・不正利用いずれかに拘わらず被害金額の全てを補償する。

セブン・ペイ社では今回の不正アクセスについて、外部情報セキュリティ会社と連携したセキュリティ対策プロジェクトの調査によると、攻撃者が不正に入手したID・パスワードのリストを用い不正アクセスを試みた可能性が高いとのこと。またパスワードリスト型攻撃を防げなかった理由として、複数端末からのログインへの対策や二要素認証等の追加認証の検討が十分でなかったこと、システム全体の最適化を十分に検証できていなかったこと、システムリスク管理体制上の問題があったことを要因としている。

セブン&アイ・ホールディングス社では今後、グループ横断的に情報セキュリティを統括管理する組織を設置し、同社が中心となってグループ全体の情報セキュリティ水準を高めることに努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る