2019年8月1日情報:2019年9月30日(月)をもって7pay(セブンペイ)の
お支払い、新規登録、チャージ全てのサービスを終了することが決定。
詳しくは公式サイトへ⇒7Pay(セブンペイ)|お詫びとお知らせ
不正アクセスされた7Payに紐付いているクレジットカードから、高額チャージされてしまうという被害が相次いでいます。
目次
7Payでの不正チャージ&利用の被害の声多数
「7Payのアカウントに不正アクセス→身に覚えのない金額が7Payにチャージされる→利用されてしまっている」という報告がネット上で多く見受けられました。
7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn
— 岬太郎 (@frogeye9999) 2019年7月2日
【写真】7payで不正アクセス被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。
1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX
7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 https://t.co/mUNXozAt21
— 藤川大祐 (@daisukef) 2019年7月3日
7payで不正利用発生!
— ぬのびき@2019年はJGCプレミア! (@nuno_chann) 2019年7月3日
クレジットで計18万円チャージされ
内、9万円がセブンイレブンJR錦糸町駅前店で使われる!
クレジット会社への連絡→済。担当者からの折り返し待ち
7payのパスワード変更→済。
クレジットカードの紐付け解除→済。
7pay運営への電話→つながらず。メール送信済み。
#7pay で紐付けしているクレジットカードが不正チャージされた‼️
— 三菜瀬 なつか (@MinaseNatsuka) 2019年7月3日
カード会社へ問い合わせしたところ、7月3日 3時42分から43分にかけ3万円を3回チャージされている。
カード使用を即停止❗️
再発行することに。
長く使用した思い出の番号が💢
えらいことになってますね…
不正利用されてしまった理由と原因(予想)
- 事前に、他のサービスで利用していたメールアドレスとパスワードの組み合わせリストが外部に漏えいしており、そのリストを攻撃者に利用された。
- [7payの不備]7pay自体にSNS認証機能がないので、他の異なる端末でもメールアドレスとパスワードさえ入力すればアプリを使うことができる。
- [7payの不備]位置情報で不正使用を防御する仕組みがない。池袋で使用した後、2分後に数km離れた別の店舗でも利用してもアラートがでない。
- 7payのパスワードのリセットが、メールアドレスと誕生日だけで実行できる。さらに、そのパスワードリセット情報を他のメールアドレスに送ることができる。→つまり、TwitterやSNSなどで誕生日を入手してしまえば簡単に他人の7payを乗っ取りできる。
- クレジットカードで7payにチャージする時には、7payのアプリのパスワードとは異なるチャージ専用のパスワードが必要。7payのアプリのパスワードとチャージ専用のパスワードを同じ設定にしていた場合。→事前に他のサービスで利用していたメールアドレスとパスワードのリストが外部に漏れていた場合、チャージのパスワードも同様に漏れていることになる。
7payのパスワードのリセットの問題
7payで新規登録をした場合は、メールアドレスと誕生日だけで実行できる。
実際にリセットしてみると…
他の端末でリセットしてみた。
リセットしたパスワードでログインができた…。
クレジットカードのチャージ時の認証パスワードを共通の物にした場合
事前に他のサービスで利用していたメールアドレスとパスワードのリストが外部に漏れていた場合、チャージのパスワードも同様に漏れていることになるため、不正使用されてしまう!
あなたは大丈夫?確認と対策
- 7Payのチャージ履歴
- 7Payの利用履歴
- クレジットカード情報の確認
- 7Payサービスに登録しているメールアドレスの受信箱確認
以上の4点を確認し、怪しい部分があれば早めにお問い合わせ窓口に連絡しましょう。
- 外部に漏れていそうな、過去使っていたパスワードとは異なるパスワードに変更する
- 7Payからクレジットカードを紐付けを解除する
- レジやセブンATMで現金をチャージする
7Pay公式の動き
これに関して7Pay側でも注意喚起を発表しています。
7Pay公式ホームページ|【ご注意ください】ID・パスワードの管理について
https://www.7pay.co.jp/info/info_20190703_01.html
2019年7月1日にはじまったばかりのサービスなのに先行きが不安すぎますね…。
7月3日
2019年7月3日18時頃に新たに情報が発表されました。一時的にクレカ・デビットカードからのチャージを停止するようです。
7Pay公式ホームページ|7payに関する重要なお知らせ
https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190703_01.pdf
当面の間、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブンイレブン店頭レジでの現金チャージのみとなりました。
7月4日最新情報
2019年7月4日15時頃に新たに情報が発表されました。
クレジットカードおよびデビットカードからのチャージを停止しておりますが、セブン‐イレブン店頭レジ・セブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを停止し、全てのチャージを一時停止いたします。
また、「7pay」の新規登録についても停止いたします。
※既にチャージ済みの金額については、ご利用いただけます
7Pay公式ホームページ|一部アカウントへの不正アクセス発生による チャージ機能の一時停止について
https://www.7pay.co.jp/news/news_20190704_01.html
7Payの新規登録と全チャージ手段が停止されました。残っている残高を使うことは可能なようです。
不正利用されていた場合のお問い合わせ窓口
チャージした7Pay残高が不正利用された場合
7payお客様サポートセンター緊急ダイヤル:0570-012-113(24時間・年中無休)
7月4日(木)9時以降はこちら:0120-192-044(24時間・年中無休)
クレジットカードやデビットカードで不正にチャージされていた場合
7Payに登録したクレジットカードの発行会社へ連絡。下記以外はカード裏面の緊急連絡先に電話をしましょう。
| セブンカード | ||
|---|---|---|
| 紛失・盗難受付ダイヤル(24時間受付 年中無休) | ||
| 東京:0422-71-7704 | 大阪:06-6945-6678 | 札幌:011-281-1337 |
| クラブオンカード | ||
|---|---|---|
| 紛失盗難連絡先(24時間受付 年中無休) | ||
| 東京:03-5996-9125 | 大阪:06-7709-8002 | |
不正利用された場合、自分でチャージした分に関しては補償なし
【続報】7pay アカウント乗っ取り被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
クレジットカードカード会社の対応については何ら不安はありませんでしたが、7pay側は不正アクセス以前の、私自身の意思によるチャージ分の補償の予定はないとの事。
利用登録者(私本人)アプリ利用登録上の落ち度は無いにもかかわらず、
セブンペイで得するどころか、損をしてしまっています…
不正アクセスや不正利用に遭いやすいケース
- ログインIDやパスワードが単調でわかりやすい
- クレジットカードやメールアドレスなどサービス登録時に同じIDやパスワードを設定している
面倒ではありますがパスワードの番号はランダムな英数字で構成した方が安全です。
不正利用対策が弱い
PayPayのキャンペーンでも不正利用被害の騒動があったことは記憶に新しいです。
そもそもQRコード決済自体が比較的新しいサービスなので、今後も何かサービスが出るたびに何か起きる可能性はないとはいえません。
PayPayや7Payの不正利用で、一般的には「QRコード決済は危険」という認識が広まって、結局、たいして普及せずに終わってしまいそうだなぁ。
— 石川 温 (@iskw226) 2019年7月3日
なので…まず、Payサービスのリリース初日でクレジットカードを登録や紐付けすること自体をやめておいたほうがいいですね。
セキュリティ面ではクレジットカードのほうが強い
今回の騒動の要因として、メールアドレスだけで簡単に7Payを利用できてしまうという点がマズかったですね。nanacoと同じ感覚でやってしまったんでしょうか。
せめて電話認証くらいあれば、もっと不正利用を防げたような気はします。
やはり、不正利用されても補償される機能を持ったクレジットカードのほうが圧倒的におすすめです。
アメリカン・エキスプレス系のカードは安全性が高いので安心して決済に使うことができます。オンライン上での不正利用も補償されますし、普段と違う用途に利用されると、カスタマーセンターから確認の電話が来ることもあります。
ファミペイの方がセキュリティ面で安全
クレカは嫌い!QRコード決済の方が良い!という場合、ファミペイはSNS認証があるので、セブンペイよりおすすめです。
コード決済なら圧倒的にLINE Payがおすすめ
数年前からクレジットカード(プリペイド式)として運用していた実績があるので、サービスが安定しています。しかもポイント還元率は使い方次第で2%以上になります。
まとめ
今回被害に遭っている方をSNSで調べたところ、サポートセンターでたらいまわしにあっている方が非常に多かったです。そもそもサポセンに繋がらない、という人もいました。
次々とリリースされるQRコード決済サービスですが、セキュリティの脆弱性がかなり目立ちます。
もちろんこれから改善されていく可能性は高いですが…今はまだクレジットカードの方が安全性が高いのは間違いないでしょう。
安定するまでは現金チャージで利用するのがおすすめです。