7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。
決済業界の中の人・めるかば氏も被害
7payの事件では、多くの被害者が経緯をTwitterでリポートしています。そのなかでもっとも信頼できる情報を発信されているのが、めるかば氏です。めるかば氏は、ある企業で決済の仕事をされており、まさに今回の事件が起きた同じ業界にいらっしゃる方です。めるかば氏に伺った話から、被害の経緯をまとめます。
めるかば氏の被害経緯
・7月1日:7payサービス開始にともない登録。5,000円チャージし、1度決済
・7月3日朝:7payを利用。なぜかログアウトされており不審に思ったが、ログインして決済(通算2度めの決済)
・同日12時過ぎ:クレジットカードチャージのメールが届く。3万円のチャージが10回行われ、30万円のチャージ被害。8~9万円ずつセブンイレブンで不正決済被害
・同日メール到着30分後:メールに気づく。セブンイレブンアプリを起動するもログアウトされていた。パスワードは変更されていなかったのでログインし、画面上の履歴から不正チャージ・利用があったことを確認。アプリの操作がうまくいかない(犯人とのログイン合戦になっていた可能性もあるとのこと)
・同日午後:コールセンター電話がずっとつながらず。先にクレジットカードを止める。7payのウェブから問い合わせるも、「不正利用があった可能性があるのでコールセンターへ電話」というコメントが返信される
・7月4日午後:ようやくコールセンターにつながる。不正利用があった旨を伝え、折り返し連絡待ちとなる。
使用していたパスワードについて
・クレジットカードの登録にあたっては、3Dセキュアでの登録認証を行っている
・セブンイレブンアプリへのログインパスワードは16桁
・チャージ用の認証パスワードも16桁
・ふたつのパスワードは同一ではなく、いずれも使い回しなし
被害の直接的な原因はまだわかっていませんが、めるかば氏の経緯から推測できることがいくつかあります。
