大量不正アクセスで被害額「約3,860万円」…セブン&アイ「7pay」がわずか3ヵ月でサービス終了となった本当の原因

大量不正アクセスで被害額「約3,860万円」…セブン&アイ「7pay」がわずか3ヵ月でサービス終了となった本当の原因

さらなる顧客拡大のために、いまや企業のDX推進は必須といえます。しかし、顧客の利便性を重視するあまり、セキュリティーが脆弱なサービスを提供してしまっては、かえって顧客の信頼を失いかねません。本記事では、特定非営利活動法人失敗学会理事の佐伯徹氏の著書『DX失敗学 なぜ成果を生まないのか』より、セブン&アイ・ホールディングスのDX失敗原因について紐解いていきます。

顧客拡大を狙ってセキュリティレベルを下げて失敗

~事例から【他山の石】としていただきたいこと~

企業戦略のために顧客拡大を狙うのは民間企業では当たり前のことである。しかし、顧客の使い勝手を優先して大事なセキュリティーに目をつぶってしまった結果、顧客の信頼を失ってしまった。

セブン&アイ・ホールディングス「7pay(セブンペイ)」

DX戦略

電子決済としては後発であるが、「かんたん」「便利」「おトク」を3大コンセプトとして、登録から支払い・チャージ・ポイントなどにおいて、ユーザーが簡単で使いやすくお得になるサービスとして打ち出された。

 

7payとは?

7payはセブン&アイ・ホールディングス(以下セブン&アイ)が2019年7月1日に始めたスマートフォンによるバーコード決済のサービス。2万店舗を超えるセブン-イレブン店舗で利用できるようにした。

 

既存のセブン-イレブンアプリに支払い機能を付加したもので、アプリトップ画面からわずか2タップで利用登録できるという簡単さを売りにした。当初の予定では、2019年10月以降に外部加盟店での利用も始め、2020年からはセブン&アイグループ各社のアプリとの連携を図っていく予定だったが約3ヵ月でサービス終了となった。

 

<サービス開始時点での7payのメリット>


・スマートフォンをツールとした、セブン&アイ独自のバーコード決済サービスである。

 

・セブン-イレブンアプリから最短2タップの画面遷移で簡単に登録できる。

 

・店頭レジ、セブン銀行ATM、各種クレジットカードなどからチャージが可能である。

 

・使用方法として、レジでお会計の際に「支払いバーコード」画面を提示し、バーコードを読み取るだけ。

 

・7payによる支払いでnanacoポイントもためることができる。

 

失敗事象

不正アクセスによって第三者によって支払われてしまう事案が多数生じた。

 

被害状況

808人/38,615,473円(2019年7月31日17:00時点)

 

不正アクセスの手口

セブン&アイが情報セキュリティーの会社と連携した「セキュリティ対策プロジェクト」の調査によると「攻撃者がどこかで不正に入手したID・パスワードのリストを用い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」(セブン&アイのプレスリリースより)とされた。

 

2019年8月1日現時点では、「外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセットなどの機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」との結果が取りまとめられた。

 

本事案発生の原因

犯行を防ぐことができなかった理由として3つの要因と対応策が挙げられた。

 

①7payに関わるシステム上の認証レベル

「複数端末からのログインに対する対策」や「二要素認証などの追加認証の検討」が十分でなく、結果『リスト型アカウントハッキング』に対する防御力を弱めることとなった。

 

②7payの開発体制

7payのシステムの開発には、グループ各社が参加していたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の可能性がある。

 

③7payにおけるシステムリスク管理体制

7payにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していなかった可能性がある。

 

経緯

[図表1]今回の事例の経緯

 

結論

以下の3点の理由から、2019年9月30日をもって7payのサービスを廃止した。

 

①7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間が必要である。

 

②その間、サービスを継続するとすれば「利用(支払)のみ」、という不完全な形となる。

 

③顧客の不安を完全に拭うのは難しく、7payのサービススキームを保ったままサービス提供を継続することは困難である。

 

《最新のDX動向・人気記事・セミナー情報をお届け!》
≫≫≫DXナビ メルマガ登録はこちら

次ページ失敗の真の原因を考察

人気記事ランキング

  • デイリー
  • 週間
  • 月間

メルマガ会員登録者の
ご案内

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

メルマガ登録
会員向けセミナーの一覧