わずか1カ月で終了決まった7pay　2段階認証にしなかった理由は？　緊急会見で語られたこと

　「多くの顧客や加盟店など、関係各位にご迷惑とご心配をおかけした。心よりお詫び申し上げます」──不正利用が発覚した、セブン＆アイグループのスマートフォン決済サービス「7pay」は、サービス開始からわずか1カ月で終了が決まりました。8月1日午後、都内で開かれた記者会見では、セブン＆アイグループの幹部が理由について説明しました。

　7payは9月30日24時でサービスを終了します。セブン＆アイ・ホールディングスの後藤克弘副社長は会見で、（1）全サービスを再開するに足る抜本的な対応を完了するには相応の期間が必要、（2）その間、サービスは支払いのみという不完全な形とせざるをえない、（3）お客様は依然として不安を抱えている──として、継続は困難と判断したと説明しました。

2段階認証を導入しなかったのはなぜ？

　不正アクセスの手口は「リスト型アカウントハッキングである可能性が高い」としています。攻撃者がどこかで不正に入手したIDとパスワードのリストを使い、7payユーザーになりすまして不正アクセスを試みたとみています。

　「細かいことは現時点では答えられないが、サービス開始翌日の早朝から何千万回という回数、IDへのアタックがあった」（セブン＆アイ・ネットメディアの田口広人社長）と、海外のIPアドレスから多数の攻撃を受けていたことを明らかにしました。「まず存在しないIDにアクセスを試みたエラーがたくさんあり、その後にパスワードエラー、その後で不正利用があった」（田口氏）。

　アタックは海外からのもので、「海外IPからのアクセス遮断が最初の対策だったが、相当数の抑止になった」（セブン・ペイの奥田裕康営業部長）といいます。警視庁は、7payの不正使用を巡り詐欺容疑で中国籍の男らを逮捕しています。

　ログインパスワードとチャージパスワードはそれぞれ設定する必要があり、両パスワードを別のものに設定していたユーザーが不正利用にあったという報告もありますが、「ログインとチャージでパスワードが同じだったという人が多く、内部からの漏えいもないことから、セキュリティ会社から現時点ではリスト型アカウントハッキングだったと結論いただいている」（田口氏）としています。

　ただ、SMSなどを利用した2段階認証を導入していなかったことが不正ログインにつながったとの指摘もあります。これについては「サービス開始後、利用状況をモニタリングし、怪しい取引はストップすると、それで守れると判断した。運用状況を確認しながらセキュリティを強化していくという仮説だった」（奥田氏）と、ユーザーの利便性を優先したためだと説明します。結果的に不正利用を招いたことについては「結果が全てであり、適当ではなかった」（同）と認めました。

　不正利用の被害は、7月31日の17時時点で計808人、3861万5473円。7月中旬以降は確認されていないとのことです。被害金額は全て補償するとしています。

開発体制にも原因

　不正利用の直接の原因は外部の攻撃者によるアタックですが、それを踏まえた上で、犯行を防げなかった原因として、2段階認証を採用しなかったなど認証レベルについての検討の甘さに加え、「7payの開発体制」と「7payにおけるシステムリスク管理体制」を挙げています。

　システム開発にはセブン＆アイグループ各社が参加していましたが、「システム全体の最適化を十分に検証できていなかった点」が原因の1つではないかと認識し、検証が必要だとしています。また「リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか」についても検証するとのことです。弁護士を中心とする検査チームにより、今後1～2カ月かけて調査するとしています。

　セブン・ペイの奥田氏によると、7payの開発に着手したのは2018年2月。一方、セブン-イレブンアプリは18年6月にリリースされました。セブン-イレブンアプリの利用状況を見ながら、セブン-イレブンアプリの開発サイドと検討を進め、最終的に同アプリの1機能として7payをスタートすることが利便性が高いと判断し、個別アプリで提供する方針を変更したとのことです。7月のサービス開始を目指し、セブン-イレブンアプリで提供できる機能に絞りながら、協力会社と途中での仕様変更を進めたと説明しています。

　7payの開発にかかった費用は非公表。今後、減損処理などを迫られる可能性がありますが、「連結全体からみると軽微な数字だと考えている。実際の数字は監査法人と詰めている」（後藤副社長）としています。セブン・ペイの会社自体は存続します。

キャッシュレスサービスに再チャレンジもある？

　不正利用の発覚で、小売り最大手であるセブン＆アイグループへの信頼を大きく損ねる結果になりました。後藤副社長は「一度失った信頼の回復は難しい。日々、なすべきことをなしながら回復していくしかない。奇策はない」としています。

　一方、キャッシュレス化は時代の流れであり、セブン＆アイグループとしても「そのニーズへの対応は今後ますます重要性を増していく」という認識。今後は「グループ外部の様々な決済サービスとの連携を積極的に推進することで、社会の要請にしっかり応える」という一方で、「『7pay』という名前でもう一度ということではないが、バーコード決済の中でどうしていくか。構想が決まっているわけではないので漠とした言い方になるが、考えてはいる」（後藤副社長）と、再チャレンジへの意向もにじませています。

7payの社長は……

　一部で、セブン＆アイグループのECサービス「オムニ7」のアプリのソースコードがGitHubに流出していたという報道がありますが、「15年に作ったもの、ログインの形式などは直接書かれているものではない。そのままアプリを再構築しても現在の環境に影響はないが、われわれの管理不行き届きだった」（田口氏）としています。

　またTwitter上で、チャージしていない人が支払えてしまったケースが話題になりましたが、「Twitter上の話は拝見し、本人と個別にやり取りしている。7payに関連することではないと本人とも了解している。個別の話なのでこの場では詳細は控えたい」（田口氏）と説明しました。

　記者会見には、7月4日に矢面に経ったセブン・ペイの小林強社長は出席しませんでした。後藤副社長は「サービス終了はセブン＆アイ・ホールディングスの取締役会で決定し、今回の記者会見はホールディングスとして会見を設定した。誰が質問に答えるのが適切かということで、今回は奥田（セブン・ペイ営業部長）にした」とのことでした。