7pay(セブンペイ)はなぜ消えた?不正アクセスの教訓

しみじみIT回顧録
7pay(セブンペイ)はなぜ消えた?不正アクセスの教訓を3行で要約
  • 7pay(セブンペイ)は、2019年7月の開始直後に不正アクセスが発生し、わずか3カ月で廃止されたスマホ決済サービスだ。
  • セブン&アイ・グループの店舗網を背景に、全国2万店を超えるセブン-イレブンで使えるはずの大型サービスとして登場した。
  • この記事では、廃止に至った経緯と認証設計が残した教訓、いま使える代替の考え方まで整理する。

2019年の夏、あるスマホ決済サービスが、開始からたった3カ月で店じまいを決めました。セブン&アイ・グループが満を持して送り出した7pay(セブンペイ)です。

華々しいスタートのはずが、開始の翌日には不正アクセスの報告が相次ぎ、街の空気は一気に不安へと変わっていきました。私が今も強く印象に残っているのは、機能の派手さではなく、決済という土台がいかに信頼で支えられているかという事実です。

この記事では、7pay(セブンペイ)がどんな課題を解こうとして生まれ、なぜ短命に終わったのかを、公式発表と当時の報道をもとに落ち着いて振り返ります。失敗を笑うためではなく、いま私たちが毎日使う決済アプリを見直すための材料にしていきます。

スマホ決済7pay(セブンペイ)が開始直後の不正アクセスで信頼を失い、わずか3カ月で廃止された栄枯盛衰を描いた4コマ漫画
①レジでスマホをかざしキャッシュレス決済を楽しむ利用者。②身に覚えのない不正利用の報告が広がり不安が高まる。③わずか3カ月でサービス終了の告知が示される。④デプロイ太郎が決済の土台は認証だと教訓を語る。

この4コマは、7pay(セブンペイ)がたどった短い栄枯盛衰を、利用者の視点でなぞったものです。財布いらずの快適さへの期待が、不正アクセスの報告によって短期間で不安に反転しました。決済サービスにとっての第一印象は、機能の便利さよりも安全への信頼で決まるという構造がここに表れています。

背景にあるのは、キャッシュレス競争の激化というビジネス環境です。後発で市場に入るほど、目に見える機能で差をつけたくなる力が働きます。その一方で、利用者が本当に評価するのは、自分のお金と個人情報が守られているという安心感でした。

公式には不正アクセスの手口はリスト型アカウントハッキングの可能性が高いと結論づけられています。あくまで外から見ていた私の見立てですが、後発ゆえのスピード優先が、安全性の作り込みより先に立ってしまった面もあったのではないかと考えています。

7pay(セブンペイ)の基本情報

まずは7pay(セブンペイ)がどんなサービスだったのか、確認できている事実を表で整理します。数値と日付は、いずれも公式発表と当時の報道で確認したものだけを載せています。

項目内容
正式名称7pay(セブンペイ)
提供・運営元株式会社セブン・ペイ(セブン&アイ・ホールディングスの子会社)
サービス開始2019年7月1日
サービス廃止2019年9月30日
被害規模不正アクセス被害 808人・約3861万円(38,615,473円/7月31日17時時点の公式確定値)
公式の廃止理由抜本的な対応に相応の期間を要し、その間は不完全な提供となること、利用者の不安が払拭できないことから継続困難と判断

7pay(セブンペイ)の歩み:誕生から終了まで

7pay(セブンペイ)の3カ月
  • 2019年
    サービス開始(7月1日)
    セブン&アイ・グループのスマホQRコード決済として鳴り物入りで始動。全国のセブン-イレブンでの利用を見込む。
  • 2019年
    不正アクセス発覚・一部停止(7月上旬)
    開始翌日から身に覚えのない利用の報告が相次ぐ。チャージと新規登録を停止し、緊急の記者会見が開かれる。
  • 2019年
    廃止を発表(8月1日)
    抜本的な対応に相応の期間を要すること等から継続困難と判断。9月末での廃止を公式に発表。
  • 2019年
    サービス廃止(9月30日)
    9月30日24時をもって全サービスを廃止。開始からわずか3カ月での終幕となる。
  • 2020年
    残高払戻し(〜1月)
    残高の払戻しは2019年10月から2020年1月まで受け付けられ、7payは静かに幕を閉じた。

誕生から終幕まで、わずか3カ月。派手なスタートと急な撤退という落差が、この事例をキャッシュレス史に強く刻みました。

なぜ7pay(セブンペイ)は登場したのか?

7pay(セブンペイ)は、セブン&アイ・グループの巨大な店舗網とアプリ経済圏をキャッシュレスでつなぐために生まれたスマホ決済サービスです。全国のセブン-イレブンで、スマホのバーコードやQRコードを見せるだけで支払える手軽さが最大の狙いでした。

当時はPayPayや楽天ペイ、LINE Payといったサービスが大型還元キャンペーンを競い、キャッシュレス決済が一気に生活へ入り込んだ時期です。グループのアプリと会員基盤を活かせるセブン&アイの参入は、後発ながら大きな存在感を持つと期待されました。

私がこのサービスを評価するときにまず見るのは、誰のどんな課題を解こうとしていたかという点です。7payが狙ったのは、毎日の買い物を財布なしで済ませ、グループのポイントも自然にたまるという、日常に溶け込む体験でした。既存の電子マネーnanacoに続く一手として、グループ全体をキャッシュレスで束ねる構想は理にかなっていたと言えます。

2019年は、10月の消費増税に合わせたキャッシュレス・ポイント還元事業が控え、決済各社が利用者の囲い込みを競っていた年でした。生活のインフラであるコンビニを押さえるセブン&アイの参入は、その競争図を塗り替え得る一手として注目を集めます。だからこそ、開始直後のつまずきは業界全体にとっても大きな衝撃だったのです。

ITKAGYO運営者デプロイ太郎のアイコン画像
デプロイ太郎

構想そのものは筋が良かったと思います。巨大な店舗網とアプリ会員を持つ強みは、他社がうらやむ土台でした。だからこそ、その土台を活かす前につまずいたのが惜しまれます。

7pay(セブンペイ)はなぜ3カ月で廃止されたのか?

7pay(セブンペイ)が廃止されたのは、開始直後の不正アクセスによって利用者の不安が払拭できず、サービス継続が困難と判断されたためです。公式発表によると、被害は808人・約3861万円(7月31日17時時点の確定値)に上りました。

セブン&アイ・ホールディングスは2019年8月1日の発表で、廃止の理由を3点挙げています。チャージを含む全サービスを再開できる抜本的な対応には相応の期間が必要なこと、その間は利用のみという不完全な形になること、そして利用者が依然として不安を抱えていることです。不正アクセスの手口については、外部から流出したIDとパスワードを使い回すリスト型アカウントハッキングの可能性が高いと結論づけられました。

セブン&アイは開始直後にチャージと新規登録を停止し、原因の調査と対応にあたりました。緊急の記者会見も開かれ、経緯や対応方針の説明が行われています。それでも全面再開に足る抜本対応には時間を要すると見込まれ、最終的に廃止という判断に至りました。

当時の報道では、パスワード再設定の手続きに設計上の弱点があったこと、二段階認証が導入されていなかったことなどが専門家やメディアから指摘されたと報じられています。日経クロステックは、再設定に必要な情報が生年月日・電話番号・会員IDに限られ、これらが流出しやすい点や、メールアドレスの入力欄が当初自由に編集できた点を伝えています。

報道で指摘された論点を整理すると、問題は単一の穴ではなく、認証まわりの複数の設計が重なっていた点にあると報じられています。推測されやすい情報で再設定ができたこと、そして本人以外でも再設定の通知先を指定しうる余地があったことが、被害の広がりにつながったとされます。私は、個々の担当者を責めるのではなく、仕組み全体として安全を検証する体制が問われた事例だと受け止めています。

こうした認証設計や安全な開発の考え方は、情報処理安全確保支援士の学習領域とも重なります。関連記事:情報処理安全確保支援士(登録セキスペ)完全ガイド|試験概要・難易度・学習方法

ここからは事実の整理を離れ、私の見立てを述べます。あくまで外から公開情報を追っていた立場での推測ですが、7payの短命は技術力そのものより、タイミングと優先順位のズレに根があったのではないかと考えています。

先行する各社が還元合戦を繰り広げるなかで、後発として素早く市場へ出す圧力は相当に強かったはずです。目に見える機能や使いやすさに力が向く一方で、利用者からは見えにくい認証の土台を固める時間が、競争のスピードに追い越されてしまった可能性があります。公式にはリスト型攻撃が原因と説明されていますが、私はその攻撃を受け止める設計の余白が十分でなかった点にこそ、より深い教訓があると見ています。

ITKAGYO運営者デプロイ太郎のアイコン画像
デプロイ太郎

公式の説明と、外から見た私の推測は分けて考える必要があります。事実として言えるのは、被害が出て継続困難と判断されたこと。その奥にある原因の重みづけは、あくまで私の見立てにすぎません。

一方で、廃止という判断そのものは、被害の拡大を食い止めるうえで現実的な選択だったとも言えます。中途半端に継続するより、いったん止めて信頼を作り直す道を選んだ形です。私は、この撤退の速さを結果論で責めるより、決済を預かる事業者としての線引きの一例として受け止めています。

サービスは機能で選ばれ、習慣で生き残る。7payは日常の習慣になる前に信頼を失い、生き残る土俵に立てなかった。

7pay(セブンペイ)が残した教訓と、今なら何を使うべきか?

7pay(セブンペイ)が残した最大の教訓は、決済サービスの本当の競争力は還元率や機能ではなく、認証という土台の堅牢さにあるという事実です。どれだけ便利でも、一度お金が不正に奪われれば、利用者はその日で離れていきます。

この事件のあと、キャッシュレス業界では本人確認と認証の見直しが加速したと言われています。今では、パスワードに加えてSMSコードや生体認証を組み合わせる多要素認証が、決済アプリの標準的な備えになりました。パスワードそのものを使わないパスキーのような新しい認証も広がりつつあります。

7payの一件は、単独の企業の問題にとどまりませんでした。国内のキャッシュレス各社が、本人確認やパスワード運用、不正検知の仕組みを改めて点検するきっかけになったと言われています。利用者側でも、決済アプリの安全性を気にする空気が明らかに強まりました。

下の表は、7payと現在の主要なスマホQRコード決済の一般的な傾向を並べたものです。個別のサービス名や細部ではなく、認証まわりの考え方の違いに注目してください。

観点7pay(2019年)現在の主要なスマホ決済(一般的傾向)
提供元セブン・ペイ(セブン&アイの子会社)各社(PayPay、楽天ペイ、d払い 等)
認証の備え二段階認証が導入されていなかったと報じられている多要素認証やSMS認証の導入が一般的
現状2019年9月に廃止サービス継続中
ITKAGYO運営者デプロイ太郎のアイコン画像
デプロイ太郎

技術に良い悪いはなく、使いどころで価値が決まると私は考えています。QRコード決済そのものが危ういわけではありません。土台となる認証を丁寧に設計できるかどうかが分かれ道でした。

大切なのは、7payを特別な失敗として遠ざけないことです。急いで作り、認証の検証を後回しにするという構図は、決済に限らずあらゆる新サービスで起こり得ます。この事例は、便利さと安全のどちらを先に固めるべきかを静かに問いかけています。

新しい技術は、過去のサービスがつまずいた場所を一度なぞりがちです。7payが示したのは、便利さを競う前に、安全という見えにくい価値をどう先に積むかという順序の問題でした。この順序を意識できるかどうかが、次の決済サービスの明暗を分けていくはずです。

いまキャッシュレス決済を提供する側も使う側も、還元率の大きさだけでサービスを選んでいないか、一度立ち止まって考える価値があります。次に新しい決済が登場したとき、同じ落差を繰り返さずに済むでしょうか。歴史を知っている側が有利だという姿勢で手元のアプリの設定画面を開くと、多要素認証の有無という新しい判断軸が見えてきます。

  • 7pay(セブンペイ)は、認証の土台を固める前に信頼を失ったことで、わずか3カ月で幕を閉じた。
  • 公式発表では808人・約3861万円の被害が示され、継続困難という判断の重みを物語っている。
  • 次の決済を選ぶときは、還元率よりも多要素認証という安全の備えを確かめる姿勢が問われる。

この記事で使用された用語

用語概要
QRコード決済スマホでQRコードやバーコードを読み取り、店頭で現金を使わずに支払う決済方式。
リスト型アカウントハッキング他サービスから流出したIDとパスワードの一覧を使い回し、ログインを試みる攻撃手法。7payの原因として公式に可能性が高いとされた。
二段階認証パスワードに加え、SMSコードなど別の要素で本人確認を二重に行う仕組み。
多要素認証(MFA)知識・所持・生体など複数の異なる要素を組み合わせ、本人確認を強化する認証方式。
パスキーパスワードを使わず、端末の生体認証などで安全にログインする新しい認証技術。

よくある質問

Q
7payの残高やチャージしたお金はどうなったのですか?
A

残高は払戻しの対象となりました。公式案内によると、払戻しの受付期間は2019年10月1日から2020年1月10日までとされていました。

Q
結局、被害はどのくらいの規模だったのですか?
A

被害の集計は、速報値から確定値へと更新されました。発覚直後の2019年7月4日時点では約900人・約5,500万円の被害の可能性があると発表され、その後の調査を経て7月31日17時時点で808人・約3,861万円(38,615,473円)に確定しています。本記事の本文では、この確定値を基準としています。

Q
7payの後継となる決済サービスはあるのですか?
A

7payと同名で復活したサービスはありません。セブン-イレブンの店頭では、既存の電子マネーnanacoや他社のQRコード決済など、複数のキャッシュレス手段が利用できる形になっています。

Q
この事件から個人が学べる対策は何ですか?
A

まず、複数のサービスで同じパスワードを使い回さないことが基本の防御になります。加えて、多要素認証が用意されている決済アプリでは、それを有効にしておくと不正ログインのリスクを下げられます。

出典・参考リンク

本記事の日付・数値・廃止理由は、以下の公式発表と報道で確認しています。

  • 株式会社セブン・ペイ/セブン&アイ・ホールディングス「『7pay(セブンペイ)』サービス廃止のお知らせ」(2019年8月1日)https://www.7andi.com/company/news/release/201908011500.htmlhttps://www.7andi.com/company/news/release/201908011500.html
  • セブン-イレブン・ジャパン「『7pay(セブンペイ)』サービス廃止に関するご案内」(2019年9月27日)https://www.sej.co.jp/company/important/20190927.htmlhttps://www.sej.co.jp/company/important/20190927.html
  • ねとらぼ(ITmedia)「『7pay』不正アクセス、900人・5500万円被害の可能性 新規登録と全チャージを停止」(2019年7月4日)https://nlab.itmedia.co.jp/cont/articles/3292790/https://nlab.itmedia.co.jp/cont/articles/3292790/
  • 日経クロステック「『7pay』の不正アクセス事件、似た問題続発の危険性が大」https://xtech.nikkei.com/atcl/nxt/column/18/00001/02523/https://xtech.nikkei.com/atcl/nxt/column/18/00001/02523/
  • 流通ニュース「セブン‐イレブン/国内店舗が2万店突破」(2018年)https://www.ryutsuu.biz/store/k013111.htmlhttps://www.ryutsuu.biz/store/k013111.html
  • JNSA「2019 セキュリティ十大ニュース」https://www.jnsa.org/active/news10/2019.htmlhttps://www.jnsa.org/active/news10/2019.html

コメント