このページの本文へ移動します

2019年8月1日

株式会社セブン&アイ・ホールディングス

「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について

株式会社セブン&アイ・ホールディングス(以下、当社)傘下の株式会社セブン・ペイ(以下、セブン・ペイ)が運営するバーコード決済サービス「7pay(セブンペイ、以下、7pay)」の一部アカウントに対する不正アクセスが発生いたしました。
お客様をはじめとする皆様に、多大なご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。
上記不正アクセス事案(以下、本事案)につき、当社では「セキュリティ対策プロジェクト」を立ち上げ、被害状況の把握と発生原因の調査を進めるとともに、今後の対応等を含めた検討を重ねてまいりました。当該プロジェクトにおける検討結果を踏まえ、(1)7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されること、(2)その間、サービスを継続するとすれば「利用(支払)のみ」、という不完全な形とせざるを得ないこと、(3)当該サービスに関し、お客様は依然としてご不安をお持ちであることから、現在の7payのサービススキームに基づきサービス提供を継続することは困難であるという結論に至りました。このため、9月30日(月)24:00をもって7payのサービスを廃止することとし、ここにご報告申し上げます。
本事案のこれまでの経緯および今後の対応につきまして、概略は以下の通りです。なお、今後の対応につきましては、詳細な内容が決定次第あらためてお知らせいたします。

                                                      記

1.7payのサービスに関わる経緯について

7月 1日(月) サービス開始(セブン‐イレブンアプリ上に搭載)
7月 2日(火) お客様より「身に覚えのない取引があった」旨のお問合せをいただく
7月 3日(水) 各社ホームページへ「重要なお知らせ」を掲載
        海外IPからのアクセスを遮断
                      クレジット/デビットカードからのチャージ利用を停止
7月 4日(木) 店舗レジ/セブン銀行ATMからの現金チャージ利用を停止新規会員登録を停止
7月 5日(金) 「セキュリティ対策プロジェクト」の設置
7月 6日(土) モニタリング体制の強化
7月11日(木) 外部IDによるログイン停止
7月30日(火) 7iDのパスワードリセットの実施
8月1日(木) サービス廃止を決定
9月30日(月) サービス廃止(予定)


2.被害について

1)被害の認定方法について

本事案における被害とは、不正チャージおよび不正利用の双方を含んでおり、個別には、以下の方法で把握し、認定を行っております。
・お客様より直接お問合せ、照会をいただいた場合の相互確認による認定
・カード会社からの情報連携による認定
・不正被害発生パターン同様のご利用が確認されるケースの独自認定

2)直近の被害状況について
 808人 / 38,615,473円(7月31日17:00現在)
※なお、7月中旬以降、新たな被害は確認されておりません。

※お客様への対応について

1)今回被害に遭われたお客様への対応
不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償いたします。
まだご連絡をいただいていないお客様は、7payお客様サポートセンター緊急ダイヤル(0120-192-044 24時間・年中無休)までお問合せください。

【不正チャージによる被害】
・ご自身が登録されたクレジットカードから「身に覚えのない」チャージ被害に遭われた方につきましては、各カード発行会社の協力をいただきつつ、お客様のカードお支払日までに当該チャージ分のお引き落としがかからないよう、順次7payにて対応を進めております。念のため、お客様のお手元に届くカード会社からのご利用代金明細、および銀行口座からの引き落とし状況をご確認くださいますよう、お願いいたします。
また、支払日までに対応が間に合わず、引き落とされた場合も、翌月以降、お引き落とし口座で確実に精算させていただきます。
なお、カード会社からのご利用代金明細書において、万が一「身に覚えのない」チャージ取引がございましたら、各カード会社までご一報いただきますよう、改めてお願いいたします。(その後、各社と7payにて調整の上、対応いたします)

・ご自身が登録されたデビットカードから「身に覚えのない」チャージ被害に遭われた方につきましては、デビットカードのブランド各社の協力をいただきつつ、お客様の口座への被害額の払い戻しを順次進めております。
なお、デビットカードのご利用明細書において、万が一「身に覚えのない」チャージ取引がございましたら、デビットカードのブランド各社までご一報いただきますよう、改めてお願いいたします。(その後、各社と7payにて調整の上、対応いたします)

・nanacoポイントからの「身に覚えのない」チャージ被害に遭われた方のうち、既にご連絡先等をいただいているお客様につきましては、8月19日(月)より順次、補償手続きについて個別にご案内いたします。なお、nanacoポイントからの「身に覚えのい」チャージ被害に遭われた方のうち、まだご連絡いただいていないお客様は、7payお客様サポートセンター緊急ダイヤル(0120-192-044 24時間・年中無休)までお問合せください。

【不正利用による被害】
・ご自身がチャージした7pay残高を、第三者に利用される被害に遭われた方のうち、既にご連絡先等をいただいているお客様につきましては、8月19日(月)より順次、補償手続きについて個別にご案内いたします。なお、ご自身がチャージした7pay残高を、第三者に利用される被害に遭われた方のうち、まだご連絡いただいていないお客様は、7payお客様サポートセンター緊急ダイヤル(0120-192-044 24時間・年中無休)までお問合せください。

2)7payのサービスをご利用のすべてのお客様への対応
2019年9月30日(月)24:00をもって、7payのサービスを廃止いたします。
サービス終了時点で未使用のチャージ残高については、法令上の手続きを経た後に、順次払い戻しさせていただきます。払戻の詳細については別途ご案内いたします。


3.不正アクセスの手口について
本事案については、捜査当局による捜査が引続き行われておりますが、外部情報セキュリティ会社と連携した「セキュリティ対策プロジェクト」の調査では、今回の原因について、「攻撃者がどこかで不正に入手したID・パスワードのリストを用い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」との結論に至りました。
一方で、同じく「セキュリティ対策プロジェクト」では、「現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」との結果を取り纏めております。


4.本事案発生の原因について

このように、主原因として『リスト型アカウントハッキング』の可能性が高いと認識する一方で、当社は、こうした手口による犯行を防ぐことができなかった理由として大きく3つの要因があると考えております。具体的には、①7payに関わるシステム上の認証レベル、②7payの開発体制、③7payにおけるシステムリスク管理体制です。
①7payに関わるシステム上の認証レベルについて
開発当初より様々な観点から議論、検証を進めたものの、最終的に「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、『リスト型アカウントハッキング』に対する防御力を弱めたと考えております。
②7payの開発体制について
7payのシステムの開発には、グループ各社が参加しておりましたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の1つではないかと認識しており、この点について、今後、更なる検証が必要と考えております
③7payにおけるシステムリスク管理体制について
セブン・ペイにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか、今後更なる検証が必要と考えております。

当社は、本事案が発生するに至った「組織および意思決定等のガバナンス上の背景」を客観的に検証し、原因究明および再発防止策の策定等を行うため、弁護士を中心とする検証チームを設置いたしました。今後は、検証チームによる結果検証を踏まえ、再発防止に向け、必要な対応を図ってまいります。


5.今後の安全確保について

当社グループでは、本事案により、被害に遭われたお客様には、今後とも運営会社である
セブン・ペイを中心にグループとして、対応を進めて参ります。

また、「セキュリティ対策プロジェクト」において、「セブン-イレブンアプリや7payを利用するためのグループ共通のIDである7iDに関連する個人情報については、明確な漏洩の痕跡は認められない」ことを確認しておりますが、お客様に当社グループの7iDと紐づいた様々なサービスを、引き続き安心してご利用いただくため、7月30日(火)に7iDのパスワードリセットを一斉に実施いたしました。今回の事案に関連し、ID・パスワードが不正に取得されていたとしても、このリセットにより、リスクを極小化することが出来ると考えております。

これにより、本事案に起因するお客様の不安を払拭し、今後も7iDと紐づいた様々なサービスをお客様に安心してご利用いただきたいと考えております。
加えて、本事案を踏まえ、今後、当社に、グループ横断的に情報セキュリティを統括管理する組織を設置する予定です。これにより、当社が中心となって、グループ全体の情報セキュリティ水準を高めることができると考えております。


6.キャッシュレス化への対応について
決済サービスは、お買物の流れの中で不可欠なものですが、同時に、お客様は大きなストレスを感じているのも事実です。当社では、こうしたお客様のストレスを軽減しつつ、利便性を向上させることが、お客様の購買体験をより素晴らしいものにすると考えて参りました。
こうした流れの中で、2001年には、セブン銀行のATMサービスをスタートさせ、続けてクレジットカード事業に参入、2007年には、電子マネーnanacoのサービスを開始しました。そして、昨今のキャッシュレス化に対する社会ニーズの高まりと、バーコード、QRコード決済の普及を踏まえ、お客様へのサービス機能を高める取り組みの一環としてスタートしたのが、当社グループ独自のバーコード決済サービスである7payです。


今般、7payのサービスが大規模な不正アクセス攻撃を受けることとなった事態を真摯に受け止め、当該サービスの廃止を決定いたしましたが、キャッシュレス化への社会的ニーズはきわめて高く、そのニーズへの対応は今後ますます重要性を増していくと考えております。このため、当社グループでは、グループ外部の様々な決済サービスとの連携を積極的に推進することで、こうした社会の要請にしっかり応えつつ、より広範なお客様にキャッシュレスサービスを提供してまいりたいと考えております。

これにより、お客様には、引続き、キャッシュ決済、キャッシュレス決済両面にわたり快適にお買物をしていただける環境を提供し、当社グループのサービス体制を拡充してまいります。


以上

【PDF】 (PDFファイル)