7ペイ不正使用事件 - ドラクエウォークとワンタップバイ

f:id:b-sann:20190707082213p:plain

2019年7月初日、

ファミリーマートのファミペイと同時にスタートしたセブンイレブンの7ペイですが、まさかの開始1週間経たずに不正利用が多発、かなりの被害総額に上っていますね。

f:id:b-sann:20190707092224p:plain

　　　　　　　　　　　セブンペイのHPに張り出されたお知らせ

今回の件、よく前出のペイペイのクレカ不正利用と比較されたり混同されたりしてますが、若干内容が異なります。

というか、今回のセブンペイの方が圧倒的にお粗末です。

ペイペイの件は元々クラッキングされていたカードが主な被害経路だったのに対し、今回のセブンペイ不正利用はリアルタイムでクラッキングされています。

では、なぜリアルタイムにここまで多数のカードが破られたかと言えば、いくつか要因が挙げられますが、、、

最大がこれだと思っています。

そもそもカード一枚でクレカ等の金融情報、決済システム等の個々人の生活の根幹に関わる処理を多数受け持っているのに2段階認証すらないんです。

2段階認証とはネットワークサービスのログイン時や決済時に使われる、ショートメールによるリアルタイムパスワード設定のことですね。

ちなみにこれはペイペイ事件の際に、業界団体であるキャッシュレス推進協議会でガイドラインを策定しており、当然セブンイレブンを運営するセブン・アイホールディングスも加盟しています。

そこには

「サービスに当たり、利用者のスマホと決済用のスマホのアプリを紐づけて管理しなければならない。また、アプリによる決済では紐づけられた利用者のスマホから行われていることをその都度確認する」

となっているんですね。

（強調体のところが2段階認証を指しています）

これには経済産業省もガッカリしてましたね。

という事は当然破るのも楽（一概には言えませんが）だと思ってます。

パス変更には生年月日や電話番号が必要になってはいるものの、セブンペイも一括で管理しているアプリのパス変更は生年月日の入力を省略できるんです。

つまり、誰にでもオープンな状態の電話番号さえわかればパス変更が可能、パスの書き換えが終われば、入出金し放題という確変状態に突入できるんですよね。

利用登録1100万とされているアプリに決済システムまで導入してこれはザルすぎると思います。

一応、1回に動かせる金額の上限は3万円と有るみたいですが、1分で1回トライできるとすれば、1時間＝60分ｘ3万円で自給180万円となります。

コレを巷の悪い方々が見逃すはずは無い訳で・・・・

不正利用の報告が上がって来たにも関わらず、対応が出たのは翌日になってからクレジットカードとデビットカードからの入金を停止したことだけなんですよね。

セキュリティ面に自信が有って疑ってなかったのか、他人の財布だから大して気にしてなかったのかは知りませんが、業務内容に対する対応としては最悪の形ですね。

同様のファミペイで同事象の報告が上がっていない時点で、自分の固有システムに問題があったという事を想定に入れるべきです。

結果2次被害も拡大し、金銭的な面だけで5千万強という見積もりが出ています。

管理費や時間、手間賃まで考慮すると2か月以上引っ張り数億の減損にはなるかと思います。

額面保証に関する発表も遅かったですし、謝罪会見では社長自身がシステムをロクに理解していない状態。

キャッシュレスに関する〇〇ペイでは後発にもかかわらずこの体たらく、社内情報では「社運をかけて」だとか「全店長に協力を」とか色々ありましたが・・・

働き方改革を受けての対応やFC契約の各店長との過労問題、そして今回の不正利用、立て続けに問題が起こる前から低迷がちな株価を更に叩き落とす様なことをして何の得があるんでしょうかね、株主総会を盛り上げたいんでしょうか・・・

きっとここは経営が労働者を無料で交換可能な電池、利用者は賽銭を投げてくれる貯金箱としか見ない内は立ち直らないんでしょうね。

そういや5月のトラッキングトレード報告まだ書いてなかったな。。。

7月になったから急いでまとめないと。。。