7pay 開発 ベンダー。 7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開

7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと |ビジネス+IT

7pay 開発 ベンダー

株式会社セブン・ペイ Seven Pay Co. , Ltd. , Ltd. )は、 7pay(セブンペイ )を提供する企業。 サービスを開始した2019年7月に、不正利用事件によりサービスを停止。 7pay事業は2019年9月30日に廃止されたが、株式会社セブン・ペイは存続した。 は7payに30億円の投資をし、2020年3月の決算でセブン・ペイに約30億円の損失を計上した。 沿革 [ ]• 2018年(30年)6月14日 - 株式会社セブン・ペイ設立。 2019年(元年)• 7月1日 - 「7pay」サービス開始。 7月2日 - 「身に覚えのない取引があった」との問い合わせが寄せられる。 7月3日 - 「7pay」の大規模な不正利用が判明し、サービスの制限を開始。 以後、サービス制限の範囲を拡大()。 7月4日 - 店舗レジ及び、セブン銀行ATMからの現金チャージ利用を停止。 新規会員登録を停止。 7月8日 - 一連の不正使用案件に関連し、がセブン・ペイに対してに基づく報告徴求命令を出す。 7月11日 - 外部IDによるログインを停止。 7月30日 - 共通IDの7iDの全会員約1650万人のパスワードを一斉リセット。 8月1日 - 7payのサービスを2019年9月30日24時に廃止することを発表。 9月27日 - 残高払い戻し方法を発表。 9月30日24時 - 7Payサービス終了。 10月1日 - 7pay残高の払い戻しを開始。 払い戻し期間は2020年1月13日まで。 チャージは、(および・・)、、ATM(現金チャージに限る)、レジでの現金チャージに対応する。 なお、nanacoの利用で貯めたnanacoポイントは7payアプリ経由で7pay残高にチャージすることはできる。 決済音はが作曲したオリジナル :3。 サービス開始時のプレスリリースにて「毎日聞くものだからこそシンプルでかつハッピーに。 ぜひ永く愛される決済音になってほしいと願っております」とコメントしていた :3。 不正利用事件 [ ] サービスイン翌日の2019年7月2日、7pay利用者より「身に覚えのない取引があった」と問い合わせがあり、7月3日に社内調査を行ったところ不正利用が発覚した。 同時にセブン・ペイではクレジットカードやデビットカードからのチャージを一時停止した。 7月4日18時5分からはサービスの新規登録も一時停止となり、同日にはすべてのチャージを一時停止した。 7月4日、は、他人の7payを不正に使用し、を購入したとして中国籍の男2人を逮捕した。 7月12日には、東京都千代田区内のセブン-イレブン店舗に勤務する中国人アルバイト従業員の女が、7payを不正に取得し決済したとして窃盗の容疑で警視庁のに逮捕された。 被害額は7月31日現在で808人のアカウント、38,615,473円に上り、これらの被害額についてはセブン&アイ・ホールディングスが全額補償する。 セブン・ペイ側は、7月4日の緊急記者会見で「事前にセキュリティー審査を繰り返し、脆弱性は指摘されなかった」と説明していたが、この時点で「7iD」にやパスワード変更の通知機能が導入されていないことなど、認証システムに問題があると指摘されており、記者会見での記者からの2段階認証に関する質問にも社長が答えられなかった。 また、も一般社団法人キャッシュレス推進協議会が策定した『不正利用防止のためのガイドライン』 が守られていなかったことを指摘した。 その後の調査で「7iD」が、外部IDでログインしている他人のアカウントにパスワードなしでログインして、なりすますことができたことが明らかになった。 などの認証連携プロトコルで定めている、なりすましを防ぐためのチェック手順が実装されていなかったと推察されている。 また「7iD」にログインした後に認証システムから取得できるユーザーデータの設計にも問題があり、ハッシュ化されたパスワードを含む広範な個人データを取得できたという。 未利用残高については、10月1日から2020年1月13日までの間に払い戻しに応じることとなった。 また、トラブルの要因の一つとなった 7iD についても「(外部IDログインの停止やパスワード強制リセットによるリスクの極小化により)7pay以外のサービスの利用では十分な(セキュリティ)レベルであることが確認できた」として使用を継続することを表明している。 セブン・ペイは2019年9月27日、口座振込等で7Pay残高の払戻しを行うと発表した。 ただし、同年9月30日までにサービスを退会した利用者の払戻しには応じられないとしている。 脚注 [ ] []• 7pay. 株式会社セブン・ペイ. 2019年7月4日閲覧。 PDF プレスリリース , , 2019年4月4日 , 2019年7月4日閲覧。 2018年6月22日. 2019年7月4日閲覧。 グループ会社. 2019年7月4日閲覧。 2019年7月4日閲覧。 田中聡 2019年7月3日. アイティメディア株式会社. 2019年7月4日閲覧。 ITmedia NEWS 2019年7月3日. 2019年8月6日閲覧。 2019年7月12日. 2019年7月14日閲覧。 2019年7月30日. 2019年8月1日閲覧。 浅川直輝 2019年7月30日. 日経 xTECH(クロステック). 2019年8月6日時点のよりアーカイブ。 2019年8月6日閲覧。 磯谷智仁 2019年8月1日. INTERNET Watch. 2019年8月6日閲覧。 井上翔 2019年8月1日. ITmedia Mobile. 2019年8月6日閲覧。 2019年9月27日閲覧。 セブン・ペイ. お知らせ一覧. 株式会社セブン・ペイ 2019年9月27日. 2019年9月27日閲覧。 流通ニュース. 2019年9月27日. 2019年9月30日閲覧。 中澤彩奈 2018年6月22日. アイティメディア. 2019年7月4日閲覧。 1 2018年8月. 2019年7月13日閲覧。 J-CASTニュース(2019年8月1日作成). 2019年8月1日閲覧。 毎日新聞: p. 2019年7月4日• 毎日新聞: p. 2019年7月5日• 日本経済新聞. 2019年7月4日. 2019年7月6日閲覧。 毎日新聞東京夕刊. 2019年7月12日. 平土 令 2019年7月6日. AERA dot.. 2019年7月14日閲覧。 毎日新聞. 2019年7月4日. 2019年7月14日閲覧。 一般社団法人キャッシュレス推進協議会 2019年4月16日. 2019年7月14日閲覧。 一般社団法人キャッシュレス推進協議会 2019年3月29日. 13-18. 2019年7月14日閲覧。 「6 セキュリティ」部分。 一般社団法人キャッシュレス推進協議会 2019年3月29日. 13-19, 30-36. 2019年7月14日閲覧。 第1部および第2部の「6 セキュリティ」部分。 Cnet Japan. 2019年7月5日. 2019年7月14日閲覧。 プレスリリース , , 2019年7月5日 , 2019年7月14日閲覧。 日経 xTECH. 2019年7月12日閲覧。 鈴木淳也 2019年7月11日. BUSINESS INSIDER JAPAN. 2019年7月12日閲覧。 ニュース. 2019年8月1日. 2019年8月3日閲覧。 ニュース. 2019年8月1日. 2019年8月27日閲覧。 関連項目 [ ]• - との合弁会社による、元々やや類似の電子決済サービス。 - (JR東日本)が発売していた交通系カード。 サービス終了の理由の一部に、偽造の危険性などを挙げている。 外部リンク [ ]• この項目は、に関連した です。 などしてくださる()。

次の

7pay無限おにぎりとは?捨て垢リセマラ登録を繰り返し無料クーポンがもらえるバグが話題!

7pay 開発 ベンダー

株式会社セブン・ペイ Seven Pay Co. , Ltd. , Ltd. )は、 7pay(セブンペイ )を提供する企業。 サービスを開始した2019年7月に、不正利用事件によりサービスを停止。 7pay事業は2019年9月30日に廃止されたが、株式会社セブン・ペイは存続した。 は7payに30億円の投資をし、2020年3月の決算でセブン・ペイに約30億円の損失を計上した。 沿革 [ ]• 2018年(30年)6月14日 - 株式会社セブン・ペイ設立。 2019年(元年)• 7月1日 - 「7pay」サービス開始。 7月2日 - 「身に覚えのない取引があった」との問い合わせが寄せられる。 7月3日 - 「7pay」の大規模な不正利用が判明し、サービスの制限を開始。 以後、サービス制限の範囲を拡大()。 7月4日 - 店舗レジ及び、セブン銀行ATMからの現金チャージ利用を停止。 新規会員登録を停止。 7月8日 - 一連の不正使用案件に関連し、がセブン・ペイに対してに基づく報告徴求命令を出す。 7月11日 - 外部IDによるログインを停止。 7月30日 - 共通IDの7iDの全会員約1650万人のパスワードを一斉リセット。 8月1日 - 7payのサービスを2019年9月30日24時に廃止することを発表。 9月27日 - 残高払い戻し方法を発表。 9月30日24時 - 7Payサービス終了。 10月1日 - 7pay残高の払い戻しを開始。 払い戻し期間は2020年1月13日まで。 チャージは、(および・・)、、ATM(現金チャージに限る)、レジでの現金チャージに対応する。 なお、nanacoの利用で貯めたnanacoポイントは7payアプリ経由で7pay残高にチャージすることはできる。 決済音はが作曲したオリジナル :3。 サービス開始時のプレスリリースにて「毎日聞くものだからこそシンプルでかつハッピーに。 ぜひ永く愛される決済音になってほしいと願っております」とコメントしていた :3。 不正利用事件 [ ] サービスイン翌日の2019年7月2日、7pay利用者より「身に覚えのない取引があった」と問い合わせがあり、7月3日に社内調査を行ったところ不正利用が発覚した。 同時にセブン・ペイではクレジットカードやデビットカードからのチャージを一時停止した。 7月4日18時5分からはサービスの新規登録も一時停止となり、同日にはすべてのチャージを一時停止した。 7月4日、は、他人の7payを不正に使用し、を購入したとして中国籍の男2人を逮捕した。 7月12日には、東京都千代田区内のセブン-イレブン店舗に勤務する中国人アルバイト従業員の女が、7payを不正に取得し決済したとして窃盗の容疑で警視庁のに逮捕された。 被害額は7月31日現在で808人のアカウント、38,615,473円に上り、これらの被害額についてはセブン&アイ・ホールディングスが全額補償する。 セブン・ペイ側は、7月4日の緊急記者会見で「事前にセキュリティー審査を繰り返し、脆弱性は指摘されなかった」と説明していたが、この時点で「7iD」にやパスワード変更の通知機能が導入されていないことなど、認証システムに問題があると指摘されており、記者会見での記者からの2段階認証に関する質問にも社長が答えられなかった。 また、も一般社団法人キャッシュレス推進協議会が策定した『不正利用防止のためのガイドライン』 が守られていなかったことを指摘した。 その後の調査で「7iD」が、外部IDでログインしている他人のアカウントにパスワードなしでログインして、なりすますことができたことが明らかになった。 などの認証連携プロトコルで定めている、なりすましを防ぐためのチェック手順が実装されていなかったと推察されている。 また「7iD」にログインした後に認証システムから取得できるユーザーデータの設計にも問題があり、ハッシュ化されたパスワードを含む広範な個人データを取得できたという。 未利用残高については、10月1日から2020年1月13日までの間に払い戻しに応じることとなった。 また、トラブルの要因の一つとなった 7iD についても「(外部IDログインの停止やパスワード強制リセットによるリスクの極小化により)7pay以外のサービスの利用では十分な(セキュリティ)レベルであることが確認できた」として使用を継続することを表明している。 セブン・ペイは2019年9月27日、口座振込等で7Pay残高の払戻しを行うと発表した。 ただし、同年9月30日までにサービスを退会した利用者の払戻しには応じられないとしている。 脚注 [ ] []• 7pay. 株式会社セブン・ペイ. 2019年7月4日閲覧。 PDF プレスリリース , , 2019年4月4日 , 2019年7月4日閲覧。 2018年6月22日. 2019年7月4日閲覧。 グループ会社. 2019年7月4日閲覧。 2019年7月4日閲覧。 田中聡 2019年7月3日. アイティメディア株式会社. 2019年7月4日閲覧。 ITmedia NEWS 2019年7月3日. 2019年8月6日閲覧。 2019年7月12日. 2019年7月14日閲覧。 2019年7月30日. 2019年8月1日閲覧。 浅川直輝 2019年7月30日. 日経 xTECH(クロステック). 2019年8月6日時点のよりアーカイブ。 2019年8月6日閲覧。 磯谷智仁 2019年8月1日. INTERNET Watch. 2019年8月6日閲覧。 井上翔 2019年8月1日. ITmedia Mobile. 2019年8月6日閲覧。 2019年9月27日閲覧。 セブン・ペイ. お知らせ一覧. 株式会社セブン・ペイ 2019年9月27日. 2019年9月27日閲覧。 流通ニュース. 2019年9月27日. 2019年9月30日閲覧。 中澤彩奈 2018年6月22日. アイティメディア. 2019年7月4日閲覧。 1 2018年8月. 2019年7月13日閲覧。 J-CASTニュース(2019年8月1日作成). 2019年8月1日閲覧。 毎日新聞: p. 2019年7月4日• 毎日新聞: p. 2019年7月5日• 日本経済新聞. 2019年7月4日. 2019年7月6日閲覧。 毎日新聞東京夕刊. 2019年7月12日. 平土 令 2019年7月6日. AERA dot.. 2019年7月14日閲覧。 毎日新聞. 2019年7月4日. 2019年7月14日閲覧。 一般社団法人キャッシュレス推進協議会 2019年4月16日. 2019年7月14日閲覧。 一般社団法人キャッシュレス推進協議会 2019年3月29日. 13-18. 2019年7月14日閲覧。 「6 セキュリティ」部分。 一般社団法人キャッシュレス推進協議会 2019年3月29日. 13-19, 30-36. 2019年7月14日閲覧。 第1部および第2部の「6 セキュリティ」部分。 Cnet Japan. 2019年7月5日. 2019年7月14日閲覧。 プレスリリース , , 2019年7月5日 , 2019年7月14日閲覧。 日経 xTECH. 2019年7月12日閲覧。 鈴木淳也 2019年7月11日. BUSINESS INSIDER JAPAN. 2019年7月12日閲覧。 ニュース. 2019年8月1日. 2019年8月3日閲覧。 ニュース. 2019年8月1日. 2019年8月27日閲覧。 関連項目 [ ]• - との合弁会社による、元々やや類似の電子決済サービス。 - (JR東日本)が発売していた交通系カード。 サービス終了の理由の一部に、偽造の危険性などを挙げている。 外部リンク [ ]• この項目は、に関連した です。 などしてくださる()。

次の

【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か

7pay 開発 ベンダー

一部で7payにつながる流れができたのは2016年という話があったが、筆者が確認している範囲だと、7pay自体の開発がスタートしたのはセブン・ペイ設立と2016年の間だとみられる。 当初は文字通り「セブン&アイ」の中核に位置して決済を司るサービスを目指しており、オンラインからリアル店舗まで、オムニチャネルを包含して決済を可能にする「アプリ」だったようだ。 だが一方で、多くが知るように実際にリリースされた7payは「アプリ」ではなく、「セブン-イレブンアプリ」にアドオン的に追加された「機能」の形態だった。 仕組み的にはセブン-イレブンアプリ上で決済が必要になった場合に呼び出す「Webアプリ」のようなもので、いわゆるモバイルアプリではない。 なぜこのような形態になったのかといえば、一部でも報道があるが「技術的問題」と「スケジュール的問題」に起因する。 当初は単体で決済が可能な「アプリ」として7payをリリースし、そのまま店頭の決済に使ってもいいし、必要に応じて「セブン-イレブンアプリ」のような別のアプリから決済時だけ呼び出してもいい。 セブン&アイでは多数のグループ企業を抱えており、それらが個別にモバイルアプリを提供している。 それぞれのアプリから決済が必要なときに7payの「アプリ」を呼び出して、適時切り替えていけばいいという発想なのだろう。 これらグループ企業のオンラインサイトは「オムニ7(Omni7)」の名称でセブン&アイHDが運営するサービスで束ねられており、7payとはつまり一連のエコシステムにおける「決済」を司るピースというわけだ。 ただし、このアプリ間を遷移して安全に決済する仕組みの実現が技術的に難易度が高かったこと、そして10月1日のポイント還元施策に間に合わせるための7月1日という絶対的なデッドラインの存在が開発を困難にし、あくまでアドオン形態でのリリースとなった。 とはいえ、セブン・ペイ側でももう少し目標に近い形でのリリースを行いたかったようだ。 実際、7月4日にサービスを一部停止しても内部改良を進めており、不正被害に気付けずユーザーの指摘で初めて問題を認識した部分への技術的対処を行ったり、モバイルアプリで問題となっていた外部IDアクセスを遮断して修正に踏み切るなど、少なくとも7月中旬ごろまでは何らかの対策を施してサービス再開に結びつけようと動いていたことは確認できている。 7pay終了をどのタイミングで決断したかは不明だが、 比較的直前まで10月に合わせて「アプリ」版リリースの計画が存在していたとみられることからも、同社としては決断のその直前までサービスのセキュリティ対応を進めていたとみて間違いないだろう。 だが最終的に「セブン&アイHD」は7payを切る決断をした。 理由はいくつか考えられるが、1つはキャッシュレス政策の推進元であり、ポイント還元施策の仕切り役でもある経済産業省からのプレッシャーがあったこと、そして事件の本丸にあたる「7iD」ならびに「オムニ7」側に追求の手が伸び始めたからだ。 筆者の推測で、おそらく大きな理由は後者にある。 7月中旬ごろから7iDにまつわる各種問題がクローズアップされるようになり、7payという決済サービスだけではなく7iDにも疑義の目が向けられるようになった。 記者会見では不正利用の原因が「リスト型攻撃」によるものと断定していたが、でも触れたようにリスト型攻撃では攻略しにくい相手であっても被害に遭っており、さらには「チャージパスワード」が解析された理由にいたってはそもそも会見で説明されていない。 セキュリティ対応で監査を行った企業名も伏せられており、具体的なレポートも公開されていない現状で、「7payを素早く切ることで7iD、ひいてはオムニ7へのさらなる追求をかわしたい」という感想を抱いてもおかしくない。 実際、すでに存在していた7iDはともかく、サービス開始直後に別システムとして存在する開発したばかりの7payのチャージ機構が悪用されるという事態はそれそのものが大きな問題であり、技術的に考えても納得できるものではない。 未解決の問題 とはいえ、すでに終了宣言の出されたサービスに対し、そのものの話題をこれ以上追求するのは難しい。 セブン&アイにも「7payの(現状からの)復活」という思考はすでになく、その後始末を巡る問題が目の前に迫っており、その対処に追われるからだ。 1つは利用者ならびに被害者への補償で、前者については個別の返金対応、後者についてはカード会社との交渉の末での返金対応だ。 すでにチャージした金額の個別返金はそこまで難易度が高くないが、カード会社との折衝はまだ続くとみられる。 筆者がBusiness Insider誌で各社へのアンケート結果をが、カード引き落とし期限が迫るなかでカード会社は引き落としのストップを優先したとみられる。 ただ、このアンケート記事でも触れているように、異常を検知して早めに不正利用をストップしたカード会社もあれば、限度額近くまで一気に利用を可能にしてしまったケースもある。 おそらく揉めるのは後者のケースで、セブンとカード会社で補償比率が必ずしも10:0にはならないのではないかと予想している(実際、30万円の被害額のケースではセブンとの交渉が進んでいない可能性があるという情報がある)。 今回7payでは登録可能なカードはオンアス(on-us)と呼ばれる形式でカードブランドではなくカード会社を直に指定する方式を選んでいるが、ある情報源によれば、オンアス形式では国際ブランドのルールではなく、カード会社と加盟店(この場合はセブン)での直契約における補償規約に準拠するとのことで、引き落としがストップされても補償額自体は2社の交渉が今後も続く可能性があるという。 それに、そもそもセブン・ペイ側から被害者への直接の謝罪と事情説明はまだ行われていない。 次に7pay開発に参加したベンダーとの支払いや補償交渉だ。 個別契約であり筆者が関知するものではないが、「7月1日に7payがリリースされるまでの開発費」「問題が発覚して以降の事後対応(主にセキュリティ関連)と将来の開発計画のキャンセル対応」「7payで発生した不正利用被害における補償や賠償」の3点について話し合いが行われると思われる。 工期短縮などの無理な対応も、今後のセブン&アイという大口顧客との関係を重視してベンダー側は受け入れてきたと考えられるが、全体の開発案件自体が縮小するとなれば話は別かもしれない。 そして、最も大きいと思われるのが、残された「7iD」と「オムニ7」のリブートだ。 強引な全パスワード強制リセットをかけた時点で「7pay」を切ることは決断されていたと思うが、これは同時に「7iD」と「オムニ7」をなんとしてでも立ち直らせて、グループ戦略の中核に据えることを再確認したのだと筆者は認識する。 セブン&アイでは「将来的な決済市場への再参入」もにじませているが、少なくとも現状の不透明感残るセキュリティ体制や問題への認識では市場に受け入れられることはないだろう。 また「『7iD』と『オムニ7』は安全である」ということを世間に改めてアピールし、今後も利用を促したいと考えているだろうが、実際にどこまで受け入れられるだろうか。 筆者が最も恐れるシナリオは、現状の認識のまま「7iD」と「オムニ7」の運用を続け、さらに大きな問題を引き起こすことだ。 おそらく7payのような事件はもう当面ないと考えるが、この事件では攻撃ルートを含めて解明されていない事情がまだあり、攻撃者は「次の大きなチャンス」を狙って潜伏している可能性が残っているからだ。 継ぎ接ぎだらけの対応では、想定しない問題が発生する可能性もある。 このあたりを認識しつつ、セブン&アイHDにはシステムの運用を安全に行ってほしい。

次の