7月4日に記者会見したセブン・ペイの小林強社長(中央)は「セキュリティを一層強化し、早急に立て直したい」と述べて謝罪した(記者撮影)

「被害に遭われたお客様に対して、深くお詫び申し上げます」

セブン&アイ・ホールディングス期待の新サービスは、開始後2日も持たなかった。

コンビニ業界首位のセブン-イレブンは7月1日から、スマートフォンでのバーコード決済サービス「7pay(セブンペイ)」を開始した。注目度は高く、初日はアクセスが集中。7月3日時点の登録数は150万まで伸びた。

アプリで使われるIDやパスワードが盗まれる

だが、サービス開始翌日の2日夜、顧客より身に覚えのない取引があったとの連絡がセブン側に入る。調査を行った結果、セブンペイを利用するために必要なセブン-イレブンのアプリで使われるIDやパスワードが盗まれたことが判明した。

不正アクセスで登録済みのクレジットカードを使ってチャージされ、10万円分のタバコなど換金性が高い商品が購入された。4日午前6時までに約900人、約5500万円分の不正使用が疑われる事態に発展している。

今回の不正利用を受けて、会見したセブンペイの運営会社「セブン・ペイ」の小林強社長は冒頭のように謝罪した。不正アクセスの原因については「詳細は調査中」とのみ説明し、「セキュリティ面を一層強化し、利便性をうまくバランスさせながら、スマホ決済を安心してお使いいただけるように早急に立て直したい」と話した。

問題とされているのがパスワード再設定の仕組みだ。パスワードを再設定するためのURLを登録済みのメールアドレス以外でも受け取れる状態になっており、IDや生年月日、電話番号がわかれば、第三者がパスワードを再設定することができた。

さらに、SMSなど追加認証によるセキュリティ対策も行われていなかった。金融分野のデータ分析などを手がける「ジャパンデジタルデザイン」の楠正憲CTOは「2014年ごろからID・パスワードだけの認証では不十分だとして、GoogleやFacebookなどでセキュリティが強化されてきた。IDとパスワードだけでなく、ワンタイムパスワードや生体認証など別の要素を入れるのが現在のセキュリティのスタンダードだ」と指摘する。

脆弱性試験をきちんと行っていなかった?

セブンペイは、元々あったセブンのクーポンを配信するアプリやIDに機能を追加して作られている。楠氏は「クーポン配信用のアプリに決済機能を加えると、攻撃者にとって期待収益が高まるため、狙われるリスクが高まる。リスクの洗い出しから行い、機能を見直さなければならない」と話す。

会社側はセブンペイ開始前に行った試験の際には脆弱性は指摘されなかったという。ただ、エンジニア業界内では「通常ならすぐにセキュリティに穴があるとわかる状態だ。7月にリリースするという納期が優先された結果、脆弱性試験をきちんと行っていなかったのでは」という声が出ている。


セブンペイは5日現在でチャージと新規登録のみを停止。支払いは可能な状態になっている(撮影:尾形文繁)

セブン&アイ・ホールディングスには1500万人のID会員がおり、うちセブンペイ登録者が150万人。今回不正被害に遭ったのはそのうちの900人だ。セブンペイは5日現在、チャージと新規登録のみを停止しているが、セブンペイでの支払いは可能になっている。登録者が多く、顧客の利便性を考慮したこと、不正アクセスによる被害はセブンが補償すること、さらに、チャージを停止すると不正が減ると確認されたことがこうした対応をとった理由だ。

同グループではセブンやイトーヨーカドー、そごう西武などグループ内企業でIDを共通化することで、消費者の動向をつかむ戦略をとっている。セブンアプリと同じIDを使用するグループ通販サイト・オムニ7のサイトを見ると、未登録のメールアドレスにパスワード再設定メールを送る問題の欄は一見見当たらない。4日の記者会見で会社側は対策をとったと説明しているが、4日21時時点ではメールアドレスの入力フォームを非表示にしているだけだった。会見後もしばらくの間は、第三者がパスワードを変えられる状態のままだった(現在はメール送信フォームを削除済み)。

船出から大きなダメージを受けたセブンペイだが、このサービスはコンビニだけでなくセブン&アイグループ全体にとって大きな意味を持つビジネスだった。

ペイペイや楽天ペイ、LINEペイなど、次々と新規参入者が現れるスマホ決済市場の中で、流通業界の中でいち早く参入したのがセブンだった。Suicaやnanacoなどを含めたセブン店頭でのキャッシュレス決済比率は現在35%だが、この比率を2021年末に50%まで引き上げる目標を立てている。


セブンーイレブン・ジャパンの永松文彦社長は7月1日に「(セブンペイの導入によって)顧客への利便性提供と店の負荷軽減を進める」と語っていた(撮影:尾形文繁)

セブンペイ導入前までは、会計時にスマホ上に表示されるクーポンをスキャンし、その後代金をやりとりするという手間がかかっていたが、セブンペイ導入により、スマホを提示するだけでこうした手間が完了する。スマホ決済が普及すれば現金の取り扱いが減り、レジ作業の効率化にもつながる。7月1日のサービス開始当初、セブン-イレブン・ジャパンの永松文彦社長は「顧客への利便性提供と店の負荷軽減を進める」と語っていた。

グループのデジタル戦略の見直しを迫られる

全国に2万0965店もの店舗網を張りめぐらせ、1日あたり2200万人が来客するセブンにしてみれば、利用者を増やすことで、購買データをもとに顧客の好みに合わせたクーポンを安価に配信することができる。また、他社の決済手段を使う場合には決済手数料を支払う必要があるが、自社グループのスマホ決済を利用してもらえれば、そうした負担もなくなる。

7月1日に同じくスマホ決済サービス「FamiPay(ファミペイ)」を始めたファミリーマートでは、短期貸付や保険、投資などの新たなサービス展開を見据えている。詳細は未公表ながら、セブンでも同様の展開が考えられる。

また、2019年10月にはセブンペイとしてのアプリを配信し、グループ以外でもセブンペイを利用可能な場を作る計画だった。2020年春以降にはイトーヨーカドーやそごう西武などのグループ企業のアプリでもセブンペイ機能を搭載する予定だった。

期待の新サービスが問題を起こしたことで、グループ全体のデジタル戦略は見直しを迫られる。セブン&アイHDのデジタル戦略部の清水健執行役員は「7月からセブン各店で(おにぎりの無料クーポン配布などの)キャンペーンを進めており、会員数増加を期待していたが、期待通りに進まない可能性がある」と話す。

セブンは2021年末のキャッシュレス比率50%の目標やクーポン配信などに500億円を投下する計画などに変更があるかどうかについて、「決まっていない」とするのみ。セブンペイはいきなり、消費者の信頼を獲得する必要に迫られることになった。