[更新]セブンHDが外部IDログインを11日17時で遮断。残高利用には手続き必要な場合も

7pay-1

  • 7月12日以降、しばらくの期間外部ID経由での利用ができなくなる
  • 外部ID経由でログインしているユーザーは、停止期間中、7payの残高が利用不可に
  • 対象外部IDは、Facebook、Twitter、グーグル、Yahoo!、LINEの5つ
  • 対象サイトはオムニ7、セブンネットショッピング、アカチャンホンポ ネット通販など7iD経由でアクセスする全サイト

(2019年7月11日19時更新)

セブン&アイ・ホールディングスは7月11日、リリースで11日17時をもって外部ID(Facebook、Twitter、Google、Yahoo! JAPAN、LINE)によるログインを一時停止したと発表した。

外部IDで同社のアプリを利用していたユーザーは、現在ログイン状態にあればそのまま利用が可能。だが、何らかの理由でログアウトし、再ログインが必要な場合は、所定の手続きを踏む必要があるという。

※手続きの手順はこちらから

同社はとくに停止期限を設けておらず「今後も引き続きセキュリテイ向上を目的に、さまざまな対策を検討してまいります」としている。

今回の外部IDの遮断対象となるのは同傘下の総合ショッピングサイト「オムニ7」をはじめとする、「セブンネットショッピング」「アカチャンホンポ ネット通販」など「7iD」経由でアクセスするサイトすべて。

ph01

「オムニ7」など「7iD」を使うサービスが7月12日以降、しばらくの間は外部ID経由で利用できなくなる。

「7pay」を巡る一連の不正アクセス事件について、外部IDからのアクセスで安全上の問題がある可能性が指摘されたことを受けたものだ。そのため、7月12日以降、遮断が解除されるまでの間、外部ID経由でログインするユーザーは「セブンイレブン」アプリが利用できなくなるほか、7pay上に残高があったとしても使えなくなるため注意が必要だ。

対象となる外部IDは「7iD」へのログイン時に利用可能な「Facebook」「Twitter」「Google」「Yahoo!」「LINE」の5つの外部IDサービス。

該当するユーザーが7iD関連アプリやクーポン、7payなどを使うためには、所定の手続きを踏む必要がある。

ph02

「7iD」の設定時に利用可能な5つの外部ID。これらの外部IDによるログインを利用しているユーザーが対象になる。

「7payセキュリティー不備」解決への道のりはまだ遠い

7pay-5

7月4日の記者会見の様子。セブン・ペイの小林強社長(中央)。左は、セブン-イレブン・ジャパンの宮地正敏執行役員デジタルサービス本部長、右はセブン&アイHDの清水健執行役員デジタル戦略部シニアオフィサー。

7pay取材班

今回の報道の起点は日本経済新聞が「セブンペイ、外部IDのログイン遮断」のタイトルで11日昼過ぎに報じたもの。

日経の独自取材によるレポートであり、筆者がセブン&アイHD広報に問い合わせて内容が確認できた。

本来であれば「事前にユーザーに遮断を広く告知」あるいは「(問題がわかっていた場合は)告知前にサービス遮断」のいずれかの手順を踏むべきだが、セブン側が準備中に日経新聞が報道したため、イレギュラーな形で情報が拡散してしまったようだ。

なお、セブン&アイHD広報によると、セキュリティー対策の一環として一時的に外部ID接続を止めたという(日経新聞の報道では、外部IDからのログインの際にセキュリティー上の弱点がある可能性を専門家から指摘を受け、安全強化に向けた総点検の一環として実施したとある)。

この外部IDを介してサイトへのログイン許可を行う仕組みは、「OAuth(オーオース)」と呼ばれる。指摘が正しいとすると、各IDサービスを提供する外部サービスと、7iDの接続中継の仕組みに何らかの問題を抱えている可能性がある。

7pay

実際の7payの不正利用被害者のスクリーンショット。まったく位置の違う別店舗で次々に使われていることが確認できる。

提供:不正利用被害者

とはいえ、今回の7payの事件で30万円の被害に遭った筆者の知人は、外部IDをログインに利用しておらず、少なくとも今回指摘された脆弱性とは直接リンクしていない可能性が高い。

セブン側は「可能性の1つ」として遮断の選択肢を選んだとみられ、実際どのような問題が内包されているか(あるいは、ないのか)の検証はこれからなのだろう。

前述の知人の被害者のケースでは、「7iDのみで使用している16桁のパスワード」「7payチャージ用に設定した7iDとは異なるパスワード」の組み合わせでハッキングが行われている。

仮に7iDの仕組みに何らかの脆弱性が存在したとして、チャージパスワードを1日とかからず突破された件は不可解だ。

7月4日の会見以降、セブン側の対応が素早くなりつつある点は評価できるが、まずは焦らず、きちんとした検証が必要だ。そのうえで、第2の問題を起こさないようサービスを再開してほしいところだ。

編集部より:初出時、チャージ済みの残高について「すでに持っているクーポンや7payでチャージ済みの残高が利用できなくなる」としておりましたが、正しくは所定の手続きを踏むことで、再度利用可能になります。また、外部ID遮断が実施されたため、本文をアップデートしております。 2019年7月11日 19:10

(文、写真・鈴木淳也)

ソーシャルメディアでも最新のビジネス情報をいち早く配信中

あわせて読みたい

Popular

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい

広告のお問い合わせ・媒体資料のお申し込み