2019年7月3日（水）、株式会社セブン&アイ・ホールディングス（本社：千代田区、代表取締役社長：井阪 隆一）傘下の株式会社セブン・ペイ（本社：千代田区、代表取締役社長：小林 強）が運営するバーコード決済サービス「7pay」の一部アカウントが、第三者による不正なアクセスの被害を受けたことが判明した。

本人なりすましによって商品を不正購入

「7pay」の一部アカウントが、第三者による不正なアクセスの被害を受けたことが判明した。被害の内容としては、第三者がなんらかの方法で「7pay」利用者のアカウントにアクセスして本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行ってセブン‐イレブン店舗において商品を購入する等といったものだ。

被害の発生状況と経緯

■発生の経緯

[2019年7月2日]
ユーザーより「身に覚えのない取引があったようだ」との問い合わせあり（第一報）。

[2019年7月3日]
社内調査を実施した結果、不正利用が発覚。

「お客様サポートセンター緊急ダイヤル」を設置。

7pay ホームページの「重要なお知らせ」に ID・パスワード管理の注意喚起を掲載。

クレジットカードおよびデビットカードによるチャージを停止。

■不正アクセスが疑われる人数・金額（試算）

約900名／約 5,500万円
（2019年7月4日6：00現在）

■顧客対応について

[1]
本件により被害に遭った利用者には、全ての被害に対して補償。

[2]
お客様サポートセンター緊急ダイヤル（TEL：0120‐19‐044）を設置。

■今後の対応について

[1]
現在、クレジットカードおよびデビットカードからのチャージを停止しており、セブン‐イレブン店頭レジ・セブン銀行 ATM での現金チャージ、nanaco ポイントからのチャージを停止し、全てのチャージを一時停止する。また「7pay」の新規登録についても停止する（既にチャージ済みの金額については利用可能）。

[2]
今回の原因追及を徹底的に行い抜本的な解決に向けて改善策を図る。

サービス開始早々での不正利用の発生

政府の後押しもありキャッシュレス決済が急速に広がりつつある。コンビニ各社もそれにこぞって対応する中、セブン-イレブンに関しては、各キャッシュレス決済プラットフォーマーのものを含めて、対応が遅れていた。ようやくサービスインした「7pay」であったが、開始早々に大規模な不正利用が発覚し、すでに各方面に大きな波紋を広げている。

現在、公式からは不正が発生するに至った具体的な原因については明らかにされていないが（一部からは、当初パスワードリセットを別のメールアドレスからできてしまうというセキュリティ上の穴があったと指摘する声もある）、一義的には不正利用をする悪意ある者が責められるべきは当然であるにしても、キャッシュレス決済を提供する側のセキュリティ対策がどうであったのかにも注目が集まるところだろう。

同時に、利用者についてもあくまで一般的な意味で、万が一にそなえてパスワードが露見しにくいものにする、あるいは他のサービスとパスワードを変える等の自衛策が必要な状況に変わりはないだろう。

EC市場においても散発的にこうした不正利用が発覚するケースが見られている。特にサービスの提供者側になんらかの落ち度があるケースでは、サービスそのものへの信頼と企業やブランドイメージの低下にもつながりかねず、不正利用に対抗するための備えを常にすることは、引き続き重要となってきそうだ。