セブンイレブンのキャッシュレスサービスである「7Pay」で7月3日、不正アクセスによる被害によりサービスが停止しました。
7月4日現在ではクレジットカードに加え、nanaco、現金を含む全ての方法でチャージができない状況となっています。
以前私がこちらの記事で予想した通り、早くもキャッシュレス決済による不正アクセス被害が現実となった形です。7Pay公式の発表によれば被害者の数は約900人、被害総額は約5500万円とのことです。
ただし、今回の7Payの不正アクセス被害は、私が予想した「QRコードそのものの脆弱性」によるものではなく、7Payのサービスのセキュリティの甘さに起因するようです。MdNの記事によれば、
『7Payを利用するためのセブンイレブンアプリの「7iD」の登録の甘さ(本人確認が行われない)』、『チャージ用パスワードに対する総当たり攻撃、リスト攻撃に対する脆弱性』、『新規会員登録に生年月日不要』(中略)など、システムから何からスキが多すぎるという状態だ。
引用:セキュリティが甘すぎた「7Pay」、不正利用被害多発でもクレカ等でのチャージ停止に留まる
とのことです。とはいえ今回の騒動により、キャッシュレス決済そのものの安全性を自分でしっかり確かめることの重要性が改めて認識されることになりました。
被害は全額補償」「不正は海外IPから」──7pay緊急会見によれば今回の被害者には全額補償がされるようですが、7Payのお問い合わせ画面には、
7payマネーが第三者に使用された場合であっても、当社は一切責任を追わないものとします
と記載があることも話題になっており、今後ますます利用者のセキュリティ意識が問われることになりそうです。