【セブンペイ】なんちゃらペイの中でも使えないモバイル決済だった件

日本にはスマート決済方法としてFelicaをベースとしたSuicaが復旧しているため、おサイフケータイ機能を持ったスマホであれば、自動チャージ機能あるし不自由無いと思うんです。

みなさんはどう思いますか？

FeliCa（フェリカ）は、ソニーが開発した非接触型ICカードの技術方式、および同社の登録商標である。

参照URL：Wikipedia

わたしが使っているPixel3はおサイフケータイ機能が標準で付いており、モバイルSuicaはかなり重宝しています。そのため、今では無くてはならない存在になってます。

【Pixel3】ついにデビュー！Felica搭載のPixel3でGoogle Payを初期セットアップ

2018年11月24日

• 電車やバスの乗車
• コンビニでの支払い
• 自動販売機での支払い

などなど普段の生活ならSuicaがあれば何とかなるんじゃないかと思うくらい普及していると思います。

そんな中、2018年末から2019年にかけてQRコード読み取りやバーコード読み取り決済の「〇〇ペイ」と呼ばれるサービスがドンドン出てきて乱立状態になってます。

どうせ使わなくなるだろうと思いつつも、業界人であるため、新しい技術には触れておくべきと思い、「PayPay」を初め、「LinePay」に手を出し、今回「7Pay(セブンペイ)」に手を出したわけです。

「7Pay(セブンペイ)」は個人的に期待していました。なんてったって、大手コンビニを経営する「セブン＆アイ・ホールディングス」が手掛ける決済サービスですからね。

・・・が、まさか不正アクセスされて、セキュリティ対策がお粗末なシステムとは露知らず、パスワードが事前通知なく強制リセットされるなんて夢にも思わなかったわけです。。。

7PayはUIイケていないし、完全に失敗でした。同じような思いをする人が増えないことを願うばかりです。

セブンペイの新規登録方法(2019年7月1日)

セブンペイはスマホのセブンイレブンアプリをインストールしていれば、ポチポチとタップするだけで使えるようになります。

セブンイレブンアプリ起動後の上段に「7Pay」新規登録のボタンがあります。

利用規約を読んでから、チェックボックスをオンにして「同意する」ボタンをタップします。

なんと！これだけで「7Pay」新規登録作業は完了なんです。

えっ！これだけで登録作業は終わり！？と思いました。

ちゃんと登録完了メールが届いてました。

セブンイレブンアプリを起動すると、画面上段に「nanaco残高」と「nanacoポイント」に加え、「7Pay」の残高が表示されるようになってました。

「7Pay」残高はまだチャージしていないため、0円です。

セブンペイへのチャージ方法(2019年7月2日)

7Payへのチャージはセブンイレブンのアプリ下段にある「7Pay支払い/チャージ」ボタンからできます。

チャージ方法は

• クレジット/デビットカード
• セブン銀行(デビットカード)
• ゼブン銀行ATM
• nanacoポイントでチャージ
• レジで現金チャージ

があります。

ポイント還元を考えるとクレジットカードを登録してクレカからチャージしたほうがクレカ利用額に応じたポイント付与を期待できます。

ただ、わたしが試したのは「nanacoポイントからのチャージ」と「セブン銀行ATMからチャージ」の2つでした。

なんかいきなりクレジットカードを登録するのは怖いなぁと直感したからです。この直感が後々良かったことになるわけですけどね。

nanacoポイントからのチャージ(2019年7月1日)

チャージ方法で「nanacoポイントからチャージ」を選択後、チャージするポイントを入力して「チャージする」ボタンを押下します。

nanacoポイント使って7Payチャージすることができました。

チャージ後の7Pay残高を確認すると金額が増えています。

チャージ後にメールが届いてきましたが、メール本文に記載された宛先が「null様」になっていました。

これ、ちゃんとテストしてるんかいな？値が変数に埋め込まれていないのが明らかではないでしょうか？不安が残ります。

セブン銀行ATMのチャージ(2019年7月2日)

次にセブンイレブンにあるセブン銀行ATMからチャージしてみました。

チャージ金額をスマホで入力します。チャージ金額はお釣りがないようにするのがミソですね。今回は5,000円チャージしてみました。

スマホケース画面に記載された説明文通りにセブン銀行ATMを操作していきます。

1. ATM画面で「スマートフォンでの取引」ボタンをタップ
2. ATM画面にQRコードを表示させる
3. スマホ画面でチャージ金額を入力して「金額を確定して次へ」ボタンをタップ
4. QRリーダーが起動するため、ATM画面に表示されたQRコードを読み取り

スマホ画面に表示された企業番号をATMへ入力します。

そしたら、チャージが完了！？

ATM画面を見るとチャージ処理が完了したように見えますが、スマホを見てもアプリ側でチャージ完了したというポップアップが表示されないクソ仕様。

他の「PayPay」だと入金時にポップアップが出てきて、UIの使いやすいさが際立ちます。

しばらくしたらチャージ完了メール来ましたが、こちらもメール本文に記載された宛先が「null様」でした。品質に疑問が残るレベルです。

スマホアプリ側でリロードしたら、7Pay残高が反映されましたが、なんかUIやアプリそのものに不安が残るレベルです。

セブンペイで不正アクセスにより第三者による不正チャージ発生(2019年7月3日)

7/3頃からTwitterを見ていると、第三者にクレジットカードやデビットカードからチャージされて被害が出てるというツイートが出回り始めました。

ここらへんから雲行きが怪しくなってきます。

スマートフォン決済サービス「セブンペイ」の不正利用事件は、電子決済のセキュリティーの甘さをつき、匿名性の高いインターネットツールを悪用した国際サイバー犯罪だ。900人分のIDが乗っ取られ、5千万円を超える被害を許した。大半が加熱式たばこの購入に使われたことから、中国の組織の関与が強く疑われている。

引用元：日本経済新聞
　　　　セブンペイ不正、「たばこ爆買い」が指す中国組織の影

そして、7/3中に「クレジットカード」と「デビットカード」からのチャージが停止されました。

被害拡大を防ぐという観点でチャージ機能の一部をこのタイミングで停止したのは当然の対応で妥当でしょう。

現在、一部のアカウントが第三者にアクセスされる被害が確認されております。
つきましては、取引の安全が確認されるまでの間、クレジットカード及びデビットカードでの チャージを停止させていただき、セブン銀行 ATM での現金チャージ、nanaco ポイントでの チャージ、セブン‐イレブン店頭レジでの現金チャージのみとさせていただきます。

引用元：7Pay
　　　　7payに関する重要なお知らせ

心配が残るものの、わたしは「クレジットカード」や「デビットカード」を使ってチャージしていなかったため、不正チャージされることなく安心していました。

セブンペイ新規登録停止、全チャージ機能停止、緊急会見(2019年7月4日)

そして、翌日の7/4に7Pay新規登録を停止し、全チャージ機能が停止するという自体に。。。

ドンドン事が大きくなっていているんじゃないのか。。。これ。

現在、クレジットカードおよびデビットカードからのチャージを停止しておりますが、セブン‐イレブン店頭レジ・セブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを停止し、全てのチャージを一時停止いたします。
また、「7pay」の新規登録についても停止いたします。

引用元：7Pay
　　　　チャージ機能の一時停止に関するお知らせ

また、7/4は7Payの緊急会見が開かれた日でもあります。詳細は以下のまとめサイトからどうぞ。

Naverまとめ
セブンペイ不正利用でセブン＆アイが緊急会見

会見の様子を見て印象的だったのが、

セブンペイ社長が2要素認証を知らなかった！

この一言につきますね。

社長はリリース前のセキュリティ診断は問題なく、脆弱性は見つからなかったと強調してましたが、それはペネトレーションテストやWebアプリケーション診断のことでしょう。

ハッキリ言って、本質はそこじゃないのに。。。

今回の根本原因は

• 7Pay新規登録時の本人確認が不充分(2要素認証が無い)
• パスワード再設定メールを任意メールアドレスに送信できてしまう

であり、そもそもアプリ仕様が良くなくて、抜け穴を使われてしまったとしか思えません。

そして、第三者がアンダーグラウンドで手に入れた情報を使って、パスワード再設定をされてしまったんでしょう。

個人的には、このご時世でID/PASSが漏れていないってことはまず無いと思ってます。

「えー！そんなことないでしょー。」と思う人もいると思います。

ただ、よく考えてみてください。

連日、個人情報漏洩のニュースやっているわけで、自分の個人情報が漏れていないって言えるのかがわたしには疑問です。

わたしは公にされていないだけで、既に自分自身の個人情報は漏れているものだと思っています。そう思って、日頃から意識を高めて気を付けてます。

個人情報を漏らした側は毎回

「現時点で被害は確認されておりません」

と、連呼してますが、そんなすぐに使うわけないじゃないですか。何を寝ぼけたことを言っているのかと。

事件が落ち着いて使われてしまうと、被害者本人もいつ入力したときなのか忘れてしまっていることでしょう。

だからこそ、ID/PASSが漏れたとしても、都度発行する「ワンタイムパスワード」や「SMS認証」によりセキュリティを高めることができるわけで、決済サービスを提供するセブンペイ株式会社の社長なら知っておくべき内容です。

2要素認証を社長が知らないというあの会見を見て一気に信用がなくなりました。

セブンイレブンのおにぎりを2つ無料でゲット(2019年7月17日)

そうはいうものの、

• セブンペイ新規登録で160円未満のおにぎり1つプレゼント
• セブンペイへチャージしたら、160円未満のおにぎり1つプレゼント

セブンペイ新規登録とチャージしたことにより、上記のクーポンがセブンイレブンアプリに届いていました。

もらえるものはもらっておかないと！

ということで、クーポンが使える最終日の7/17(水)におにぎり2つをゲットしました。

この日はお昼御飯をちゃんと食べていたので、おにぎりはおやつとなりました。

オムニ7アプリのソースコードがGitHubに公開された状態だった！？(2019年7月24日)

そして、2019年7月24日にビックリするニュースが飛び込んできました。

7Payアプリではありませんが、セブン＆アイのオムニチャネルサービスであるオムニ7アプリのソースコードがGitHubで誰でもアクセスできる状態で公開されていたとのこと。

7Payはログインに「7iD」を使っていたり、「外部サービス」を使うことができている点から推測すると、7Payも同じ認証使用の可能性があるのではないでしょうか？

ソースコードはアプリ設計でロジックが全て書かれています。そして、認証方法のロジックももちろん書かれています。それが第三者に渡って使われていたとしたら・・・考えるだけで恐ろしいです。

GitHubサービスは便利で、わたしの周りでも使っている人がいます。ただ、ここ最近感じることとして、「利便性」と「セキュリティ」は相反するものでトレードオフの関係ということです。

便利なサービスはセキュリティを保ちつつ使っていかないと情報漏洩のインシデントにつながってしまいます。

1650万人の7iDパスワードを一斉リセット(2019年7月30日)

7Payはチャージ機能は停止したものの、セブンイレブンの決済方法として使えたため、残高が無くなるまで使おうと思ってました。

そんな矢先、セブン側は2019年7月30日にログインに使っていた7iDパスワードをセキュリティ対策のために一斉リセットという力業に出てきてきました。

セブン&アイ・ホールディングス（HD）は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しないと使えないようにする。

引用元：日本経済新聞
　　　　セブン、全会員のパスワードを強制リセット　1650万人

し・か・も
何の事前通知無し
にです。

まったく利用ユーザーのこと考えてませんね、ここの会社は。

だとしても、利用ユーザーへの事前通知無しにいきなりパスワードリセットするのは無しでしょう。何を考えているんだか。

セブンイレブンアプリでパスワードリセットしようとするができない(2019年7月30日)

セブンイレブンアプリを起動すると、早速パスワードをリセットするよう促されます。

7iDでログインしているため、画面に従って「7iDでご登録の方はこちら」をタップします。

そして、「生年月日」と「パスワード」を入力して、パスワード再設定メールを送るようにします。

メール送信完了画面が表示されました。

画面には入力情報が正しいときのみにメール送信するとあり、待てどもメールは届く気配無し。
「メールアドレス」は7Pay登録時に届いているため、間違うはずないし、自分自身の「生年月日」も間違えるはずもありません。

たまたまかなと思い、3回くらい試しましたが、いずれもメールが来る気配なし。どうなっているんだか。。。少なくともメール送信ボタンを押す前に入力データをチェックする仕様が普通じゃないでしょうか？利用ユーザーのことを考えていないこのクソ仕様はなんなの。

問い合わせ窓口に問い合わせたところでまともな答えはもらえないと思うため、しばらくしてから問い合わせてみようと思います。

緊急会見でセブンペイは2019年9月末で終了と発表(2019年8月1日)

そして、2019年8月1日に緊急会見を開き、
7Payを2019年9月末で終了
と、発表。

セブン&アイ・ホールディングス（HD）は1日、スマートフォン決済サービス「セブンペイ」を9月末で終了すると発表した。7月1日の開始直後に不正アクセスが発覚。入金などの一部機能を制限して全面再開を目指してきたが、セキュリティー対策に時間がかかることから廃止を決めた。消費者に身近な小売企業によるサービスとして期待されたが、同社の信頼を大きく傷つけることになった。

引用元：日本経済新聞
　　　　セブンペイ、9月末終了を発表　副社長「心よりおわび」

その会見に前回緊急会見をしたときにいたセブンペイ社長の姿はいないという。。。まぁ、察してくださいってことでしょうが、責任取る立場の人があの会見にいないのはどういうことでしょうか。

セブンイレブンにとって2019年一番の目玉だった「7Pay」が大コケしたことで、セブンイレブンのブランドを大きく傷つけることになったし、政府が進めようとしているキャッシュレス決済の流れを大きく止めたことになるでしょうね。

セブン＆アイ・ホールディングスとしては「7Pay」サービスをダラダラ伸ばしてしまうと、

• 対策費用がかかる
• ブランド価値が下がり続ける
• 企業イメージが悪くなり続ける

といったデメリットが大きいと判断して停止という判断に至ったのだと思われます。

早く忘れてねーってことでしょうが、そう簡単には忘れないです。それより早く7Payの残高を早く返して！って感じです。

とりあえず・・・

7iDで登録したはずのメールアドレスが削除されてる！？(2019年9月7日追記)

セブンペイ終了が発表されてから1ヶ月経ったので、何か変わったことないかな？と思っていたら、以下のようなパスワード変更を促すメールが届いてきました。

もう一回やってみるかーと思い、セブンイレブンアプリを起動してパスワード変更を試してみたら・・・

メールアドレスが存在しないとな！？

そ、そんなバカな。。。そしたら、なぜパスワード変更催促のメールが存在しないと言われるメールアドレスに届いているんだ・・・という話。

過去メール遡って確認してみたら、2018年12月1日には7iDを登録していたっぽいです。

これってどういうこと！？

セブンペイの残高返金方法が公開(2019年9月28日追記)

やっと7Payの払い戻し方法の情報が出てきました。

申し出はセブン―イレブン・ジャパンのスマホアプリやセブン・ペイの公式サイトに設けるフォームから受け付ける。利用者が氏名やメールアドレスなどを入力すると、セブン・ペイが残高を確認。指定の金融機関口座に振り込んだり、ゆうちょ銀行や郵便局で現金で渡したりする。

引用元：セブンペイ、払い戻し手続きを発表　10月1日から申し出受け付け
　　　　日本経済新聞

どうやら

• セブンイレブンアプリ経由で申請
• 公式サイトからフォームで申請

になる模様。

返金は「指定銀行口座に振り込む」「ゆうちょ銀行や郵便局で現金手渡し」ってありますが、これ追加で銀行口座や住所の個人情報渡さないとダメなんじゃないか！？

メールアドレスは7iD登録しておらず、Twitter IDでログインしていることが判明(2019年9月30日追記)

過去メールを漁って、てっきりメールアドレスを7iDとして登録していると思いこんでました。・・・が、サポートに問い合わせて調べてもらったところ、Twitter IDでアプリにログインしていることが判明。

「おいおい、マジかよ・・・」

7iDのパスワードを変更してくださいというメールを受信していたので、完全に勘違いしていたという。。。

Twwiter IDを使ってアプリへログインしてパスワード変更したら、問題なく変更できることを確認。

「何だったんだ、これまでの努力は。。。トホホ。」

とりあえず、アプリへログインして7Pay残高が残っていることを確認。

7Pay使えるのは9/30までということで、セブンイレブンで冷凍食品を買いまくって7Pay残高をゼロにすることに成功！

ふー、なんとかギリギリ間に合いました。もう7Payはこりごり。

今後、新しいサービスとしてスマート決済が出てきたとしても7&i HDが絡んでしたら2度と使うつもりはありません。

あと、忘れずにメールアドレスを7iDとして登録しておきました。


これで同じような過ちは侵さないはず。

そもそもセブンとオムニチャネルのシステムがイケていない。後から注ぎ足ししてるから、複雑になって、結果的に利用者から分かりにくい状態になっているようにしか見えないデス。