セブン＆アイ／「セブンペイ」9月30日廃止

2019年08月01日 16:30 ／ IT・システム

セブン＆アイ・ホールディングスは8月1日、スマホ決済サービス「7pay（セブンペイ）」を9月30日で廃止すると発表した。

＜セブンペイ廃止の告知＞

7月1日に導入したセブン・ペイが運営するバーコード決済サービス「セブンペイ」において一部アカウントに対する不正アクセスが発生したことを受けた措置。

セブンペイについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されること、その間、サービスを継続するとすれば「利用（支払）のみ」、という不完全な形とせざるを得ないこと、セブンペイに関し、お客は依然として不安を持っていることから、現在のセブンペイのサービススキームに基づきサービス提供を継続することは困難であるという結論に至ったという。

7月5日に緊急対策本部を設置。7月11日には、外部IDによるグループ各社のアプリへのログインを一時停止するとともに、外部情報セキュリティ会社と連携しながら、被害状況の把握と発生原因の調査を進め、今後の対応を含めた検討を重ねていた。

7月31日17時現在の被害状況は808人・3861万5473円で、7月中旬以降、新たな被害は確認されていない。被害者には、不正チャージ・不正利用のいずれかにかかわらず被害金額のすべてを補償する。

不正アクセスの手口は、「攻撃者がどこかで不正に入手した ID・パスワードのリストを用い、セブンペイの利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」との結論に至ったという。

また、セキュリティ対策プロジェクトでは、「現時点で、外部 ID 連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」と報告している。

セブン-イレブンアプリやセブンペイを利用するためのグループ共通のIDである7iDに関連する個人情報については、明確な漏洩の痕跡は認められないことを確認した。

一方で、お客がグループの7iDと紐づいたさまざまなサービスを、引き続き安心して利用してもらうため、7月30日に7iDのパスワードリセットを一斉に実施した。今回の事案に関連し、ID・パスワードが不正に取得されていたとしても、このリセットにより、リスクを極小化することができると考えている。

今回、セブンペイの廃止を決定したが、キャッシュレス化への社会的ニーズはきわめて高く、そのニーズへの対応は今後ますます重要性を増していくと考えている。グループ外部のさまざまな決済サービスとの連携を積極的に推進することで、こうした社会の要請にしっかり応えつつ、より広範なお客にキャッシュレスサービスを提供したいという。

なお、「セブンペイ」廃止後も、セブン・ペイが運営する決済の取次サービス事業は従前どおり継続。「セブンペイ」以外の同社グループの金融・決済サービスには、特段の影響はないとしている。

■セブンペイ
https://www.7pay.co.jp/