') repeat;">
詐欺

2019年 7pay不正アクセス事件

📅 2019年7月3日 発生
🎯 対象: 中学生・高校生
2019年7pay不正アクセス事件 開始31日で終了した決済サービスから学ぶセキュリティの重要性

📌 事件の概要

2019年7月、セブン&アイが鳴り物入りでスタートさせた「7pay」が、開始わずか2日で不正アクセス被害に。二段階認証なし、パスワードリセットの脆弱性など、セキュリティの甘さが次々と発覚。記者会見で社長が「二段階認証?」と聞き返し大炎上。サービス開始から終了決定まで、わずか31日という前代未聞の結末となった。

何が起きたのか

2019年7月1日、セブン&アイ・ホールディングスが満を持してスタートさせたスマートフォン決済サービス「7pay(セブンペイ)」。しかし、サービス開始からわずか2日後の7月3日、不正アクセスによる被害が発覚した。

最終的な被害は約900人、被害額は約5500万円に及び、セキュリティの甘さが次々と明らかになった。記者会見で社長が「二段階認証?」と聞き返す場面が報道され、大企業のセキュリティ意識の低さが社会問題化。わずか1ヶ月後の8月1日、セブン&アイは7payのサービス終了を発表した。

サービス開始から終了決定まで、わずか31日。日本のキャッシュレス決済史上、最も短命に終わったサービスとなり、2019年の「セキュリティ十大ニュース」第1位に選ばれた。この事件は、「二段階認証」という言葉を日本中に広め、セキュリティ対策の重要性を改めて認識させるきっかけとなった。

経緯・タイムライン

2019年7月1日(月)

  • 7payサービス開始
  • セブン&アイが鳴り物入りで新サービスをスタート
  • 全国約2万1000店のセブン-イレブンで利用可能に
  • nanaco会員1500万人への展開を計画

7月2日(火)未明

  • 攻撃者による大規模な不正アクセス開始
  • 「何千万回」ものアクセスがサーバーログに記録される
  • リスト型アカウントハッキング(他サービスから流出したID・パスワードを使用)
  • 顧客から「身に覚えのない取引があった」と問い合わせが入る

7月3日(水)

  • 社内調査の結果、不正利用が発覚
  • お客様サポートセンター緊急ダイヤルを設置
  • クレジットカード・デビットカードによるチャージ機能を停止
  • 海外からのアクセスを遮断

7月4日(木)

  • 緊急記者会見を開催
  • 被害状況を公表:約900人、被害額約5500万円
  • 小林強社長が「二段階認証?」と聞き返す場面が報道され大炎上
  • 全てのチャージ機能(現金、nanaco含む)と新規登録を停止
  • 中国籍の男2人が歌舞伎町のセブン-イレブンで70万円以上を不正利用し逮捕

7月5日(金)

  • 経済産業省が「ポイント還元事業への参加を認めない可能性」を示唆
  • 次々とセキュリティの不備が明らかに
  • ネット上で批判が殺到

7月11日(木)

  • 被害状況を更新:1574人、被害額約3240万円
  • 金融庁が報告命令

7月12日(金)

  • 「セキュリティ対策プロジェクト」を立ち上げ
  • 外部のセキュリティ専門家を招聘

7月30日(火)

  • 全ユーザーの7iDパスワードを一斉リセット
  • 再設定を促す(ユーザーの不安感に配慮した措置)

8月1日(木)

  • サービス終了を発表
  • サービス開始から31日での異例の決断
  • 9月30日にサービスを廃止すると正式発表

9月30日(月)

  • 7payサービス終了
  • 未使用のチャージ残高は払い戻し
  • 約7000万円、約25万人が払い戻し手続きをせず期限満了

セキュリティの問題点

1. 二段階認証がなかった

最大の問題は、二段階認証(二要素認証)を導入していなかったこと。ID・パスワードだけでログインできるため、他サービスから流出した情報を使った「リスト型攻撃」に無防備だった。

💡 二段階認証とは?
パスワードに加えて、SMSで送られる認証コードやアプリに表示される番号など、「2つ目の鍵」で本人確認する仕組み。これがあれば、パスワードが漏れても不正ログインを防げる。

2. パスワードリセットの脆弱性

  • 生年月日と電話番号、メールアドレスだけでパスワード変更が可能
  • しかも、生年月日を入力しなくても会員登録できた(デフォルトで2019/01/01)
  • パスワードリセットのメールを、登録とは別のメールアドレスに送信できた
  • 第三者が簡単にパスワードを乗っ取れる状態

3. 外部ID連携の脆弱性

  • 外部連携機能で、ID(整数の数字)さえ分かればパスワードなしで認証できた
  • セキュリティの基本を無視した設計

4. 応急処置の不備

  • パスワード再設定の問題を修正しようとしたが、CSSで画面を非表示にしただけだった
  • 根本的な修正ではなく、見た目だけ隠す対処
  • 専門家から「素人レベル」と批判される

5. 開発体制の問題

  • 2019年10月の消費税増税・軽減税率対応を控え、7月1日のリリースを厳守
  • セキュリティ要件の検討や脆弱性検査のスケジュールに無理があった
  • 「納期優先、セキュリティ後回し」の開発姿勢

不正アクセスの手口

リスト型アカウントハッキング

攻撃者は、他のサービスから流出したID・パスワードのリストを使用。多くの人が「同じパスワードを使い回している」ことを利用した攻撃。

  1. 流出リストの入手:過去に他社サービスから流出したID・パスワードを入手
  2. 自動攻撃:7月2日未明から「何千万回」ものログイン試行
  3. アカウント乗っ取り:同じパスワードを使い回していたユーザーのアカウントに侵入成功
  4. 不正チャージ:クレジットカードやnanacoポイントから7payに不正チャージ
  5. 商品購入:国内の実働部隊がタバコなど換金しやすい商品を購入

国際犯罪組織の関与

  • 海外のIPアドレスからの攻撃が大半
  • 中国籍の男2人が実働部隊として逮捕
  • サービス開始時期を狙った計画的犯行
  • 国際的な犯罪組織の関与が疑われる

結果・影響

被害者への影響

  • 最終的な被害者数:約900〜1574人(調査により数値が変動)
  • 被害額:約3240万円〜5500万円
  • 不正チャージ、不正利用の全額を補償
  • 個人情報(生年月日、利用履歴など)が第三者に漏洩

セブン&アイへの影響

  • サービス終了:開始31日で終了決定という前代未聞の事態
  • ブランドイメージの失墜:「セブン&アイのセキュリティは甘い」という印象
  • 補償費用:被害者への全額補償
  • 開発費の損失:サービス開発にかけた費用が無駄に
  • 機会損失:キャッシュレス市場への参入機会を失う
  • 店舗への影響:対応に追われた店舗にお詫びとして1万円のクオカード配布

日本のキャッシュレス業界への影響

  • 経済産業省が各キャッシュレス事業者にガイドライン徹底を要請
  • 他のQRコード決済サービスがセキュリティ強化を急ぐ
  • 「二段階認証」という言葉が広く認知される
  • 消費者のキャッシュレス決済への不安が高まる

社会への影響

  • 2019年セキュリティ十大ニュース第1位(日本ネットワークセキュリティ協会選定)
  • 「二段階認証」の重要性が広く認識される
  • 「パスワードの使い回し」の危険性が再認識される
  • 大企業でもセキュリティ意識が低い実態が明らかに
  • 「納期優先」の開発姿勢への警鐘

教訓

1. 二段階認証は必須

二段階認証があれば、今回の被害のほとんどを防げたはずです。Google社は2019年5月に「二段階認証により自動化された不正アクセスを100%防止できた」と発表しています。

設定方法:

  • 各サービスの設定画面から「セキュリティ」を探す
  • 「二段階認証」「2要素認証」「2FA」などの項目を有効化
  • SMS、認証アプリ(Google Authenticatorなど)、生体認証を設定

2. パスワードの使い回しは絶対にダメ

「Netflix、Amazon、Instagram、メルカリ、LINE…全部同じパスワード」は危険すぎます。どこか1つから漏れたら、全てのサービスが乗っ取られます。

対策:

  • サービスごとに異なるパスワードを使う
  • パスワード管理アプリ(1Password、Bitwardenなど)を活用
  • 強力なパスワード:12文字以上、英数字+記号

3. 大企業でも安心できない

「セブン&アイなら安心」という思い込みは危険です。大企業でもセキュリティ意識が低いことがある、という現実を認識しましょう。

見極めポイント:

  • 二段階認証に対応しているか
  • プライバシーポリシーがしっかりしているか
  • 過去にセキュリティ事故を起こしていないか

4. 新サービスは様子見も大切

7payはサービス開始2日で被害発生しました。新しいサービスは、セキュリティが十分か確認されていないことも。急いで登録せず、様子を見るのも賢い選択です。

5. 不審な取引はすぐに報告

7payの被害者の多くは、「身に覚えのない取引」にすぐ気づいて報告しました。

チェック習慣:

  • 利用通知メールは必ず確認
  • 定期的に利用履歴をチェック
  • 不審な取引を見つけたら即座にサービス事業者に連絡

6. 「セキュリティより納期」は危険

7payは消費税増税対応を優先し、セキュリティ検証が不十分でした。将来、システム開発に関わる人は、「納期のためにセキュリティを後回し」は絶対にしないでください。

記者会見での問題発言

記者:「二段階認証は?」
社長:「二段階認証?」

この社長の問い返しが報道され、大炎上しました。決済サービスを提供する企業のトップが、セキュリティの基本である「二段階認証」を知らないという事実に、社会は衝撃を受けました。

この会見により、7payの問題は「技術的な不備」だけでなく、「経営層のセキュリティ意識の低さ」という根本的な問題が明らかになりました。

対象年齢

この事件は特に以下の年齢層に知ってほしい内容です:

  • 中学生:キャッシュレス決済を使い始める前に、セキュリティの基本(二段階認証、パスワード管理)を理解するため
  • 高校生:実際にキャッシュレス決済を使う中で、安全なサービスの見極め方を学ぶため

私たちができること

今すぐできる対策

  1. 二段階認証を設定する
    • Google、Apple ID、Instagram、X(Twitter)、TikTokなど
    • 特に金銭が絡むサービス(PayPay、LINE Pay、メルカリなど)は必須
  2. パスワードを見直す
    • 使い回しているパスワードを全て変更
    • パスワード管理アプリの導入を検討
  3. 利用通知を確認する習慣
    • メールやアプリの通知を必ずチェック
    • 不審な取引はすぐに報告
  4. 新サービスは慎重に
    • サービス開始直後の登録は避ける
    • セキュリティ対策を確認してから登録

📚 参考資料・関連記事

この事件について、以下の報道機関・メディア・企業公式サイトが詳しく報じています。

ℹ️ リンク先は外部サイトです。記事が削除されている場合があります。

💡 この事件から学んだことを共有しよう

同じ過ちを繰り返さないために、学んだことを家族や友達と話し合いましょう

質問・相談する ← 事件簿一覧に戻る