|
【状況】
バーコード決済サービス7payへの不正アクセス事案を受け、サービス提供を継続することは困難であるという結論に至り、9月30日(月)24:00をもって7payのサービスを廃止する
被害:808人/38,615,473円(7月31日17:00現在)
【原因】
『リスト型アカウントハッキング』
攻撃者が不正に入手したID・パスワードのリストを用い、7payの利用者になりすまし、不正アクセスを実行
・7payに関わるシステム上の認証レベル
複数端末からのログインに対する対策や二要素認証等の追加認証の検討が不十分
・7payの開発体制
開発するグループ各社が、システム全体の最適化を検証できなかった
・7payにおけるシステムリスク管理体制
リスク管理上、相互検証、相互牽制の仕組みが十分に機能しなかった
【経緯】
7月1日:サービス開始
7月2日:顧客から「身に覚えのない取引があった」旨のお問合せ
7月3日:海外IPからのアクセスを遮断
クレジット/デビットカードからのチャージ利用を停止
7月4日:店舗レジ/セブン銀行ATMからの現金チャージ利用を停止
新規会員登録を停止
7月5日:「セキュリティ対策プロジェクト」設置
7月6日:モニタリング体制の強化
7月11日:外部IDによるログイン停止
7月30日:7iDのパスワードリセットの実施
8月1日:サービス廃止を決定
9月30日:サービス廃止(予定)
【対応】
不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償
|