2019.07.04 事件・トラブル
7payにリスト型攻撃、5500万円の被害…初日から標的に?
(株)セブン&アイ・ホールディングスの子会社(株)セブン・ペイは4日、同社が提供するスマートフォン決済サービス「7pay」で、第三者による不正なアクセスを受け、なりすましにより約900人・約5500万円が不正利用されたと発表した。同社は被害にあった利用者に対し、全額補償を実施している。
サービス開始からわずか3日でダウンロード停止に
不正アクセスの内容は、第三者がなんらかの方法で「7pay」利用者のアカウントにアクセスして本人になりすまし、登録されたクレジットカードやデビットカードからアカウントにチャージし、セブン‐イレブン店舗で商品を購入するといったもの。すでに流出したID・パスワードを組み合わせて不正ログインを繰り出す「リスト型攻撃」と見られる。
!nextpage!
同社は3日にクレジットカードとデビットカードによるチャージを停止し、現在はセブン-イレブン店頭レジとセブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを含め、すべてチャージを一時停止している。また、「7pay」の新規登録も停止した。
今回のセキュリティ事故の経緯は、2日に利用者から身に覚えのない取引があった旨の連絡を受け、3日には社内調査で不正利用が発覚。サポートセンターに緊急ダイヤルを設置したほか、7payホームページでID・パスワード管理に関する注意喚起を掲載。クレジットカード、デビットカードによるチャージ停止に至った。3日にチャージを停止するまで、わずか数日で5500万円が不正利用されたことから、サービス開始時点で不正者に狙いをつけられていた可能性もある。
同社はホームページで「原因追及を徹底的に行い、抜本的な解決に向けて改善策を図る」とコメントしている。