7pay崩壊、でも「7iDはセキュリティ十分」　経営陣の「自信」はどこから来ているのか

   キャッシュレス決済サービス「7pay」の不正アクセス問題で、セブン＆アイ・ホールディングスは2019年8月1日に会見を開き、9月末をもって同サービスを廃止すると発表した。

   同社は7payについて「脆弱性に問題があった」とする一方で、7payの利用に必要なアカウント「7iD」に関しては「セキュリティレベルは十分な水準に達していると内外から評価がある」として自信を見せている。だが、インターネット上ではこうした「アピール」に対して「大丈夫なん？」など懸念を示す声もあがった。

一斉リセットは「安心感という意味で...」

   サービス開始から終了決定までわずか1か月だった。セブン＆アイHDの後藤克弘・代表取締役副社長は会見で、「すべてのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とする」「当サービス（7pay）に関してお客様は依然ご不安をお持ちである」ことなどを廃止の理由としてあげた。

   7payはサービス開始翌日の7月2日に不正アクセス被害が発覚。3日にクレジットカードからのチャージを停止し、4日には現金チャージと新規登録も停止。不正利用の被害状況は31日17時の時点で808人、約3800万円にのぼる。

   7payはスマートフォンのセブン-イレブンアプリから、セブン＆アイグループのサービスを利用するためのアカウント「7iD」に会員登録したうえで、利用登録する必要があった。一方で不正アクセスの手口は、攻撃者が不正に利用者のID・パスワードのリストを入手してアクセスを試みる「リスト型アカウントハッキング（リスト型攻撃）」である可能性が高いと同社は見ている。そのため、30日にはセキュリティ強化の一環として7iDのパスワードを強制的に一斉リセットし、再設定することを求めた。

   だが後藤副社長は会見で「7iD自体はセキュリティレベルとしては相応のレベルをしっかり確保しているという認識です」とセキュリティ面で自信を見せた。一斉リセットは「安心感という意味で」実施したという。

   また、不正アクセス問題を受けて安全対策を進める中で、後藤副社長は

「7iDについては、同様のサービスと比較しても、セキュリティレベルとしては十分な水準に達していると内外からの評価があります。そこは引き続き維持します」

と、やはり7iDのセキュリティ面に自信を示した。

   会見に出席したセブン＆アイ・ネットメディアの田口広人社長は「専門のセキュリティ会社の評価がある」とし、

「7payは認証に脆弱性があったと認識しています。7payのサービスについて、皆様にご心配と被害を与えたことは深く反省しておりますが、7iDそのものについては、現時点で一定程度の評価があります」

と話した。