セブン・ペイは、バーコード決済サービス「7pay」の一部アカウントに対する不正アクセス発生を受け、9月30日24:00をもって7payのサービスを廃止することを発表。
今回の事案を受け、同社はセキュリティ対策プロジェクトを立ち上げ、被害状況の把握と発生原因の調査を実施。今後の対応などを含めた検討を重ねた結果、サービス再開には相応の期間を要すると想定し、現在の7payのサービススキームに基づいたサービス提供を継続することは困難であると判断。廃止を決定した。今後の対応については、詳細決定次第、改めて発表する旨を述べている。
なお、直近の被害状況は7月31日17:00時点で808人、被害総額は3,861万5,473円と発表。不正アクセスの手口については、捜査当局による捜査が引続き行われているとしたものの、外部情報セキュリティ会社と連携した調査では、「攻撃者が不正に入手したID・パスワードのリストを用い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」と結論づけている。一方で、「現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセットなどの機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」とも述べている。
セブン&アイ・ホールディングスは、キャッシュレス化に対する社会的ニーズへの対応の重要性を踏まえ、今後はグループ外部の決済サービスとの連携を積極的に推進し、サービス体制の拡充を行うとしている。
