セブンペイ、9月末でサービス廃止

不正の被害にあった人数は800人以上、被害総額は3,800万円以上、原因はリスト型アカウントハッキング

セブン&アイ・ホールディングスは9月30日（月）24時をもって「7pay」のサービスを廃止することを発表した。

同サービスは、開始直後に一部アカウントに対する不正アクセスが発生。被害状況の把握と発生原因の調査、今後の対応等を含めた検討を重ねた結果、以下の理由でサービス提供を継続することは困難であるとの判断を下したという：

チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されること
その間、サービスを継続するとすれば「利用（支払）のみ」、という不完全な形とせざるを得ないこと

被害人数は800人以上、被害総額は3,800万円以上

「7pay」は7月1日に「セブン‐イレブンアプリ」アプリ上でサービスを提供開始したものの、翌日に一部ユーザーから「身に覚えのない取引があった」などの問い合わせを受け、翌日3日には海外IPからのアクセスを遮断すると同時にクレジット/デビットカードからのチャージ利用を停止。

4日には店舗レジ/セブン銀行ATMからの現金チャージ利用を停止すると同時に新規会員登録を停止した。

7月1日（月）	サービス開始（セブン‐イレブンアプリ上に搭載）
7月2日（火）	お客様より「身に覚えのない取引があった」旨のお問合せをいただく
7月3日（水）	各社ホームページへ「重要なお知らせ」を掲載海外IPからのアクセスを遮断クレジット／デビットカードからのチャージ利用を停止
7月4日（木）	店舗レジ／セブン銀行ATMからの現金チャージ利用を停止新規会員登録を停止
7月5日（金）	「セキュリティ対策プロジェクト」の設置
7月6日（土）	モニタリング体制の強化
7月11日（木）	外部IDによるログイン停止
7月30日（火）	7iDのパスワードリセットの実施
8月１日（木）	サービス廃止を決定
9月30日（月）	サービス廃止（予定）

現在の被害対象とされる人数は808人となっていて、被害損額は38,615,473円。対象ユーザーに対し、セブンは不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償すると説明している。

不正アクセスの手口としては「いわゆる『リスト型アカウントハッキング』の可能性が高い」

不正アクセスの手口としては、「攻撃者がどこかで不正に入手した ID・パスワードのリストを用い、7pay の利用者になりすましつつ、不正アクセスを試みる、「いわゆる『リスト型アカウントハッキング』の可能性が高い」との結論に至ったと説明。

一方、「セキュリティ対策プロジェクト」では、「現時点で、外部 ID 連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」との結果を報告している。