[更新]セブンHDが外部IDログインを11日17時で遮断。残高利用には手続き必要な場合も

• 7月12日以降、しばらくの期間外部ID経由での利用ができなくなる
• 外部ID経由でログインしているユーザーは、停止期間中、7payの残高が利用不可に
• 対象外部IDは、Facebook、Twitter、グーグル、Yahoo!、LINEの5つ
• 対象サイトはオムニ7、セブンネットショッピング、アカチャンホンポ ネット通販など7iD経由でアクセスする全サイト

（2019年7月11日19時更新）

セブン&アイ・ホールディングスは7月11日、リリースで11日17時をもって外部ID（Facebook、Twitter、Google、Yahoo! JAPAN、LINE）によるログインを一時停止したと発表した。

外部IDで同社のアプリを利用していたユーザーは、現在ログイン状態にあればそのまま利用が可能。だが、何らかの理由でログアウトし、再ログインが必要な場合は、所定の手続きを踏む必要があるという。

※手続きの手順はこちらから

同社はとくに停止期限を設けておらず｢今後も引き続きセキュリテイ向上を目的に、さまざまな対策を検討してまいります｣としている。

今回の外部IDの遮断対象となるのは同傘下の総合ショッピングサイト｢オムニ7｣をはじめとする、｢セブンネットショッピング｣｢アカチャンホンポ ネット通販｣など｢7iD｣経由でアクセスするサイトすべて。

｢7pay｣を巡る一連の不正アクセス事件について、外部IDからのアクセスで安全上の問題がある可能性が指摘されたことを受けたものだ。そのため、7月12日以降、遮断が解除されるまでの間、外部ID経由でログインするユーザーは｢セブンイレブン｣アプリが利用できなくなるほか、7pay上に残高があったとしても使えなくなるため注意が必要だ。

対象となる外部IDは｢7iD｣へのログイン時に利用可能な｢Facebook｣｢Twitter｣｢Google｣｢Yahoo!｣｢LINE｣の5つの外部IDサービス。

該当するユーザーが7iD関連アプリやクーポン、7payなどを使うためには、所定の手続きを踏む必要がある。

｢7payセキュリティー不備｣解決への道のりはまだ遠い

今回の報道の起点は日本経済新聞が｢セブンペイ、外部IDのログイン遮断｣のタイトルで11日昼過ぎに報じたもの。

日経の独自取材によるレポートであり、筆者がセブン＆アイHD広報に問い合わせて内容が確認できた。

本来であれば｢事前にユーザーに遮断を広く告知｣あるいは｢（問題がわかっていた場合は）告知前にサービス遮断｣のいずれかの手順を踏むべきだが、セブン側が準備中に日経新聞が報道したため、イレギュラーな形で情報が拡散してしまったようだ。

なお、セブン＆アイHD広報によると、セキュリティー対策の一環として一時的に外部ID接続を止めたという（日経新聞の報道では、外部IDからのログインの際にセキュリティー上の弱点がある可能性を専門家から指摘を受け、安全強化に向けた総点検の一環として実施したとある）。

この外部IDを介してサイトへのログイン許可を行う仕組みは、｢OAuth（オーオース）｣と呼ばれる。指摘が正しいとすると、各IDサービスを提供する外部サービスと、7iDの接続中継の仕組みに何らかの問題を抱えている可能性がある。

とはいえ、今回の7payの事件で30万円の被害に遭った筆者の知人は、外部IDをログインに利用しておらず、少なくとも今回指摘された脆弱性とは直接リンクしていない可能性が高い。

セブン側は｢可能性の1つ｣として遮断の選択肢を選んだとみられ、実際どのような問題が内包されているか（あるいは、ないのか）の検証はこれからなのだろう。

前述の知人の被害者のケースでは、｢7iDのみで使用している16桁のパスワード｣と｢7payチャージ用に設定した7iDとは異なるパスワード｣の組み合わせでハッキングが行われている。

仮に7iDの仕組みに何らかの脆弱性が存在したとして、チャージパスワードを1日とかからず突破された件は不可解だ。

7月4日の会見以降、セブン側の対応が素早くなりつつある点は評価できるが、まずは焦らず、きちんとした検証が必要だ。そのうえで、第2の問題を起こさないようサービスを再開してほしいところだ。

もっと知る

【極秘入手】7pay開発の内部資料。｢セキュリティー不備｣は急な開発と“度重なる仕様変更”が一因か

（文、写真・鈴木淳也）