「7Pay」で不正な乗っ取り被害が頻発 原因は一体?
7月1日に全国のセブンイレブンで使えるスマートフォンの決済サービス「7Pay」で不正利用による乗っ取り被害が相次いでいます。
原因はIDとPassが何らかの形で流出したようですが…。
「7Pay」の乗っ取り被害
Twitterを中心に7Payの被害報告が相次いでいます。
主にIDを不正に乗っ取り、クレジットカードでチャージする犯行が多いようです。
7payアカウント乗っ取り被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。
こちらの方は18万円も不正チャージされています。
7payで不正利用発生!
— ぬのびき@2019年はJGCプレミア! (@nuno_chann) 2019年7月3日
クレジットで計18万円チャージされ
内、9万円がセブンイレブンJR錦糸町駅前店で使われる!
クレジット会社への連絡→済。担当者からの折り返し待ち
7payのパスワード変更→済。
クレジットカードの紐付け解除→済。
7pay運営への電話→つながらず。メール送信済み。
この方は19万円の被害です。1分間に3回チャージしていることから、何らかのツールを使っているのだと思われます。
【写真】7payで不正アクセス被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。
1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX
原因はパスワードの仕様?
根本的な原因は不明ですが、パスワード設定の仕様に問題がありそうですね…。
7payの不正利用報告が増えてるけど、アカウントを乗っ取られたのだろうか。チャージには「認証パスワード」が必要だけど、小文字と数字だけで総当たりに弱そうではある pic.twitter.com/fi3ItanGDa
— 山口健太 (@tezawaly) 2019年7月3日
セブンイレブンの対応
セブンイレブン側は「不正利用の記録はありません。カード会社の問題では」と回答しているとのこと。
7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 https://t.co/mUNXozAt21
— 藤川大祐 (@daisukef) 2019年7月3日
被害者の傾向
三上氏によると7iDを元々使っていたユーザーの被害が多いようです。
7pay不正利用の調査テスト途中経過。別スマホに7iDのメール+パスワードを入れたところ、元端末は自動ログアウト。新端末にすべて取られる形。電話番号認証などはない。今の所濃厚なのは「7iDに他でも使っていたメール+パスワードを使ってしまった人がリスト攻撃被害にあった」ことか(まだ推測段階) https://t.co/OgwDasG2N4
— 三上洋 (@mikamiyoh) 2019年7月3日
不正被害のクレジットカード会社の対応
不正利用なのでクレジットカード会社はもちろん金銭的な被害はありませんでした。
7payの不正使用、続報。
— 森田 繁 (@siglic) 2019年7月3日
いましがた、カード会社のセキュリティ部門から連絡をもらいました。
不正利用ということで、わたしの金銭的被害はなし。
ただし、現行のクレジットカードは破棄し、新番号で再発行となりました。
ひとまず決着を見ましたので、これから警察に届け出ようかと思います。
しかし現在のクレジットカードは破棄とのことです。
続報です。
「7Pay」が遂にサービス終了…残金は口座振り込みか郵便局での受け取りに
7Payと同時に「ファミペイ」もリリースされています。こちらの特長や使い方をまとめました。
