セブンイレブンが提供するバーコード決済アプリ「セブンペイ(7Pay)」が配信わずか3日間で早速不正利用の被害が続発する、という事態になっています。
本記事では現状の最新情報と既にアカウントを作成された方向けにアプリ内の確認すべきところをまとめて紹介致します。
もくじ
Twitterで多くの不正利用被害報告があがる
まず7/3(水)にTwitterからいくつかの不正利用被害の報告が上がり始めます。
7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 https://t.co/mUNXozAt21
— 藤川大祐 (@daisukef) 2019年7月3日
7payアカウント乗っ取り被害に会いました。
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
フォロー外から失礼します。
自分もまったく同様の被害にあいました。犯行の時刻もほぼ同一で、埼玉県ふじみ野市および東京都台東区のセブンイレブンでチャージした金額を使用されました。サポートにはまったく連絡がつながらず、困っています。 https://t.co/wbzAXLHtgP— 森田 繁 (@siglic) 2019年7月3日
上記の通りおおよその流れとしては、
- 自分のアカウントに第三者が侵入
- 高額なチャージを何度か繰り返す
- 複数の店舗で高額商品の支払いが行われる
というかなり悪質なもの。
また、店舗で購入された商品はポイントバックがされていない商品が多く、セブンイレブンのサイトでポイントバックがなされない商品を引用すると以下のようになり、
<ポイント加算対象外商品/サービス>
セブンネットショッピング以外のインターネットショッピング、切手、はがき、印紙、クオカード、ビール券、酒クーポン券、iTunesカードなどのPOSAカード、プリペイド携帯カード、たばこ、映画券、前売券、地域指定ゴミ袋、ゴミ処理券、スキーリフト券など
簡単に換金が可能な印紙、その他カード類の購入に当てられた可能性があります。
セブンイレブン側の対処としてクレカ・デビットカードからのチャージを一時停止
▼セブンイレブン側の一時的な対処として、クレジットカード・デビットカードからのチャージを一時的に停止しています。
アカウントを作成した人がまず行うべき対処法・チェック箇所
アプリ内のクレジットカードの削除
まずはお金が引き出される源になってしまうクレジットカード・デビットカードの削除を行うのが賢明です。
削除の方法は、
▼セブンペイアプリを起動後、7pay支払い/チャージのボタンをタップ。
▼チャージの画面でクレジット/デビットカードを選択し、
▼画面右上のカードの追加・削除をタップします。
次の画面で表示される登録済みカードの一覧画面で、削除を選択し、カードをアプリ上から削除しましょう。
基本的に全てのカードの削除を行うことをおすすめします。
メールアドレスと認証パスワードの変更
また、犯人が今回の犯行に及んでいる証左として、アプリにログイン出来てしまっていることが間違いないとされています。
そのため、いち早くIDと認証パスワードの変更を行うほうが良いでしょう。
メールアドレスを変更するには、
▼アプリトップ画面左上の≡ボタンをタップし、
▼7iD会員情報をタップ。
▼次に表示されるこちらの画面で7iDの箇所に変更ボタンがありますのでこちらからメールアドレスの変更を行いましょう。
認証パスワードを変更するには
▼アプリトップの7pay入り口をタップし、
▼メニューの画面内で認証パスワードの設定・変更の項目がありますのでそちらをタップ。
▼その後の画面でこのようにパスワード変更が可能になっています。
もし不正利用の被害にあったら?
もし、登録したクレジットカードに明らかな不正利用の履歴があった場合、冷静、かつ速やかに以下の対処をして被害を最小限に留めるようにしましょう。
即行でカード会社に連絡
不正利用があった場合、一番最初に連絡すべきなのはカード会社。
補償の内容はカードや会社によって違いますが、連絡時に不正利用被害似合った旨を正確に伝えましょう。
セブンイレブン側カスタマーセンターに連絡
今回の件を受けて、セブンイレブン側のカスタマーセンターにも現状の連絡をしておきましょう。
▼とはいえ、発生当初は全くつながらなかった模様ですが、
そして #7pay のサポートにはいまだにまったく電話がつながりません。
— 森田 繁 (@siglic) 2019年7月3日
▼7月4日からはフリーダイヤルの回線で別サポートを用意しているようですので、そちらで電話をかけてみましょう。
第三者の不正利用に関する専門お問い合わせダイアル
0570-012-113
7月4日のAM9時以降は以下の番号。
0120-192-044
警察への被害届は必要?
第三者からの不正利用は窃盗のイメージが強くありますが、実はクレジットカード・デビットカードで不正利用された場合でも、警察は不正利用されたユーザーを「被害者」とすることができないため、警察への届け出は特段意味がないようです。
- クレジットカードでの不正利用→「被害者」はカード会社
- デビットカードでの不正利用→「被害者」は口座のある銀行
ということになり、ユーザーからの被害届でなんらかの捜査もできないとのこと。
カードの実物を窃盗された場合は、警察への相談が必須ですが、オンライン上の不正利用の場合はまず警察へ足へ運ぶことよりもクレジットカード・デビットカードの会社に電話して対処を行うことが先決です。
まとめ
今回はリリースしてからたった3日間で起こってしまったセブンペイの第三者不正利用の現状と直近の対策についてご紹介させていただきました。
各所から指摘されている内容(アプリ側の落ち度)としては、
- SMS認証がない時点で脆弱
- クレジットカードは3Dセキュアで認証していてもアプリが突破されていて元も子もない
- 7iDアカウント作成時に本人確認用のメール送信がなくアカウント作成時点で他人のメールアドレスでも作成出来てしまう
- 設定できるパスワードが簡素過ぎる
などが突っ込まれています。
今後、被害に遭われた方の総数や被害総額などが明らかになっていく可能性がありますが、セブンペイ専用の新会社まで立ち上げて望んでいるセブンイレブンの「セブンペイ」。
決済事業は今後モバイルの中心的機能になっていくことが見込まれているため、このスタートでの大こけがどのように響いてくるか心配ですね…。