セブンペイは初めから狙われていた

セブンペイは初めから狙われていた

セブンペイ不正利用発覚後の7月4日の記者会見で、小林社長から「換金目的で大量にタバコが不正に購入されたようだ」と説明があった。また、中国籍の男2名が詐欺未遂で逮捕されたことから、中国の犯罪組織が関与していると疑われている。

前回の「セブンペイ不正利用の原因」に続き、今回は犯罪組織の手口や自衛のための予防策について解説していこう。

電子決済サービスは常に狙われている

2018年12月、「100億あげちゃうキャンペーン」で話題を呼んだPayPayだが、キャンペーン後に不正利用が発覚し、家電製品の他、電子タバコも大量に購入されていた。

このときの不正利用は、栃木県の男がウイルスを用いて逮捕されているが、他にも身に覚えのないクレジットカードの不正利用が相次いでいることや、電子タバコが大量に購入されていることから、セブンペイの不正利用も中国の犯罪組織が関与していると考えるのが自然だ。

では、自衛のために犯行の手口を知り、予防策について説明しよう。

一般的な犯行の手口は

まず、電子決済サービスに限らず、一般的な不正アクセスの手順は以下の通り。

  1. クレジットカード番号を入手
  2. IDやパスワードなどの入手
  3. 不正ログインを試みる
    1. クレジットカード番号を入手

      驚く人も多いと思うが、クレジットカード情報はリストにして闇サイトで売買されている。私が20代の頃からこの手の闇サイト(アングラサイト)の話しは耳にしていたが、色々と手法を変えて今も存在しているようだ。

      当然のことだが、人間が管理している以上、盗まれることもあるし、関係者が漏らしてしまうこともある。クレジットカードには裏面に書かれたセキュリティコードがあり、これが同時に流出していなければ、首の皮一枚で不正利用されていない可能性があるが、安全とは言い切れない。

      クレジットカードには裏面に書かれたセキュリティコードは3桁の数字でしかない。001から順に999回試すことができたら破られてしまう。

      冒頭で挙げたPayPayの不正利用も、セキュリティコードを何度も不正に試されたとされている。PayPayは不正に試された場合はログインをさせないようにロックする仕組みを入れていなかったために、甚大な被害を招いてしまったのだ。

      PayPayは不正利用の発覚後に、ロックする仕組みを導入したが、今回のセブンペイは、そのような失敗を学ばずに同じ失敗を繰り返している。

      IDやパスワードなどの入手

      クレジットカードの情報と同様にIDやパスワードも流出する可能性がある。例えば、Facebook は2016年にユーザーの情報を第三者へ提供し、8,700万人分の個人情報が流出している。

      また、2018年にはシステムの脆弱性を悪用され5,000万人分の個人情報が流出した可能性があるとされている。もちろん、この中には日本人のアカウントも含まれている。

      残念ながら、似たようなことはFacebookに限らず起こるだろう。Facebookを例に挙げたが、問題は一社だけの問題ではない。流出した個人情報の中には、IDやパスワードはもちろん、性別や生年月日も含まれているだろう。そして、これらをヒントに他のサービスにログインを試みる輩もいると考えねばならないのだ。

      不正ログインを試みる

      このようにして、犯罪組織は不正に入手したIDやパスワード、性別、生年月日、メールアドレスなどを使って、他のサービスへのログインを試みるのだ。そして、クレジットカードの情報を入力し、成功してしまえばお金を使って電子タバコなどに変えてしまう。

      中国では公に電子タバコは売られていないのだが、若い世代には人気があり、不正に入手した電子タバコを定価の6割で販売している組織があると報じられている。セブンペイのアクセス履歴にも中国を中心に海外からの不正アクセスが集中していた。

      同様のことはすでに、アップルペイでも中国人グループが事件をおこしている。つまり、新規の電子決済サービスは常に狙われてきたのだ。そして、今回もセブンペイは初めから狙われていたと考えるべきだ。

      犯罪組織はセブンペイのサービス開始前に情報を集め、セキュリティの穴を探し、実際に電子タバコを大量に購入させる用意をしていたのだ。チャージが停止されるまでの短時間に5,500万円もの被害を出した。

      では、最後にこれらの犯行手口を踏まえて、自衛のための予防策について話しておこう。

      予防策① 他のサービスのIDやパスワードを併用しない

      最近では、FacebookやTwitterなど大手SNSのアカウントで、他のサイトへログインできることも増えた。煩わしい会員登録をせずに新しいサービスを受けられるようになるため利用している人も多いのだろう。

      しかし、便利と引き換えにリスクがあることも既に理解しているはずだ。今回のテーマでいえば、セブンペイを組み込んでいるセブンイレブンの公式アプリ、7’iDはFacebookやTwitter、LINEのアカウントでもログインすることができる。そして、メールアドレスと生年月日が分かればパスワードを再設定できる脆弱性があるという。

      セブンイレブンは、不正利用発覚後の7月11日に外部IDからのログインを遮断する措置を取ったが、これは外部IDの不正利用された可能性があったということだ。

      ここまで説明すれば十分だろう。他サービスのIDやパスワードを併用することは極力避けて欲しい。面倒でもせめて決済サービスだけは、サービス毎に異なるIDやパスワードを設定し流用させないことを勧める。

      予防策② 新規の電子決済サービスに飛びつかない

      PayPay、セブンペイ、いずれもサービス開始まもない期間に狙われた。つまり、経営陣のセキュリティに対する認識が甘く、また、技術者にセキュリティのノウハウが貯まる前、まだセキュリティの穴がある期間が犯罪組織にとって最大の狙い目なのだ。

      新しい決済サービスが始まったとしても、安易に飛びつかず、セキュリティの穴が塞がってから登録することを勧める。今回のセブンペイは他者の失敗から何も学んでいたかった。

      次に始まる決済サービスも同じことを繰り返してしまう可能性はあるし、確実に犯罪組織は狙ってくることだろう。

      予防策③ オンライン用の口座とオフライン用の口座を分ける

      原始的と思える方法だが、被害に遭ったとしても最小限に抑える物理的な方法だ。クレジットカードの引き落し用に口座を持っておき、そこへは僅かな金額しか入れておかない。

      大切な資産は別の口座へ預けておき、この口座はオンラインの決済には使わないようにしておく。口座とインターネットを切り離しておくということだ。原始的な方法だが、最悪の事態は避けられるだろう。

      ここまで2回に分けて電子決済サービスのリスクや手口、予防策について解説してきたが、特定の企業を非難する意図はない。実例として企業名やサービス名を挙げさせてもらっているが、予防策の説明をするために具体例をもとに話しを進めたい意図があったためだ。

      今回の解説に挙がらなかった企業においても被害に遭う可能性はあるし、100%安全な決済サービスなど無いと考えておくべきだ。これらの失敗から学び、被害に遭わない、もしくは、最小限に抑えられるように知識を蓄えておいて欲しい。