なぜ「7pay(セブンペイ)」は失敗してしまったのか [303493227]
■ このスレッドは過去ログ倉庫に格納されています
大量不正アクセスで被害額「約3,860万円」…セブン&アイ「7pay」がわずか3ヵ月でサービス終了となった本当の原因
2023年8月19日 8時15分 THE GOLD ONLINE(ゴールドオンライン)
さらなる顧客拡大のために、いまや企業のDX推進は必須といえます。しかし、顧客の利便性を重視するあまり、セキュリティーが脆弱なサービスを提供してしまっては、かえって顧客の信頼を失いかねません。本記事では、特定非営利活動法人失敗学会理事の佐伯徹氏の著書『DX失敗学 なぜ成果を生まないのか』より、セブン&アイ・ホールディングスのDX失敗原因について紐解いていきます。
顧客拡大を狙ってセキュリティレベルを下げて失敗
~事例から【他山の石】としていただきたいこと~
企業戦略のために顧客拡大を狙うのは民間企業では当たり前のことである。しかし、顧客の使い勝手を優先して大事なセキュリティーに目をつぶってしまった結果、顧客の信頼を失ってしまった。
https://news.livedoor.com/article/detail/24826951/ セブン&アイ・ホールディングス「7pay(セブンペイ)」
DX戦略
電子決済としては後発であるが、「かんたん」「便利」「おトク」を3大コンセプトとして、登録から支払い・チャージ・ポイントなどにおいて、ユーザーが簡単で使いやすくお得になるサービスとして打ち出された。
7payとは?
7payはセブン&アイ・ホールディングス(以下セブン&アイ)が2019年7月1日に始めたスマートフォンによるバーコード決済のサービス。2万店舗を超えるセブン-イレブン店舗で利用できるようにした。
既存のセブン-イレブンアプリに支払い機能を付加したもので、アプリトップ画面からわずか2タップで利用登録できるという簡単さを売りにした。当初の予定では、2019年10月以降に外部加盟店での利用も始め、2020年からはセブン&アイグループ各社のアプリとの連携を図っていく予定だったが約3ヵ月でサービス終了となった。 失敗事象
不正アクセスによって第三者によって支払われてしまう事案が多数生じた。
被害状況
808人/38,615,473円(2019年7月31日17:00時点) 不正アクセスの手口
セブン&アイが情報セキュリティーの会社と連携した「セキュリティ対策プロジェクト」の調査によると「攻撃者がどこかで不正に入手したID・パスワードのリストを用い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」(セブン&アイのプレスリリースより)とされた。
2019年8月1日現時点では、「外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセットなどの機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」との結果が取りまとめられた。
本事案発生の原因
犯行を防ぐことができなかった理由として3つの要因と対応策が挙げられた。 ①7payに関わるシステム上の認証レベル
「複数端末からのログインに対する対策」や「二要素認証などの追加認証の検討」が十分でなく、結果『リスト型アカウントハッキング』に対する防御力を弱めることとなった。
②7payの開発体制
7payのシステムの開発には、グループ各社が参加していたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の可能性がある。
③7payにおけるシステムリスク管理体制
7payにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していなかった可能性がある。
経緯
https://image.news.livedoor.com/newsimage/stf/d/b/db699_1719_575a5560cbb55c2e82998351c6508188.jpg
[図表1]今回の事例の経緯 結論
以下の3点の理由から、2019年9月30日をもって7payのサービスを廃止した。
①7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間が必要である。
②その間、サービスを継続するとすれば「利用(支払)のみ」、という不完全な形となる。
③顧客の不安を完全に拭うのは難しく、7payのサービススキームを保ったままサービス提供を継続することは困難である。
失敗の真の原因を考察
ここまで公開された報告内容を使い、直接的ではない真因を考察していきたい。本来であれば、「ITプロジェクト版失敗原因マンダラ図」はグループ作業を推奨しているが、個人でも作業が可能であるため、本記事では筆者の知見・知識でステップ1~5を行ってみる。
読者は本記事を読み終えたあと、自分ならどう考えるかをぜひ実践していただきたい。それでは失敗の原因をリストアップしていく。 これやり直しても良かったよな
なんであんなにあっさり撤退したんや これに限らずネットなんかでも丸出しとかやらかして
ビックリするほど弱かったよな セブンイレブンだからコンサルNRIなんだろうけど盛大にやらかしたな😰 SMS認証はなんでしなかったの?って質問に対してSNS連携の話かと勘違いするシーンはビビったよな
その程度の脳みそで金融決済やろうとしてたんだ 三井住友NLがあるとセブンとか他の決済使われなさそう 約束された成功ゆえにボンボン枠が陣頭指揮をとったから 5500万って言ってたのに
「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
2019年07月04日 17時49分 公開
[村上万純,ITmedia]
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月4日、緊急会見を開いた。被害額は全額補償するという。運営元のセブン・ペイ小林強社長は「詳細については調査中。いろいろな角度から精査しないといけない」と語ったが、全体を通してセブン&アイ側の“認識の甘さ”が垣間見えた会見だった。
残高チャージ、新規登録を停止 決済機能はそのまま
7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。
同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だった。
https://www.itmedia.co.jp/news/articles/1907/04/news113.html 今考えるとマイナカードのミスのほうがよっぽどひどくない? もしかしてこれの失敗で弁当容器や絵海苔やフードシュリンクの商品開発に傾注していったのでは… 弁当かさ上げ、プリントパッケージ飲料、はみ出させた調理パン、量を減らして値上げのリニューアル商品等数々の騙しに懲りたから 7payやるからnanacoのポイント改悪したんだよな ドコモ口座はなぜか忘れられててセブンイレブンは覚えられてしまう
つまり1番最初にやらかしたところは売名できるってわけだな <サービス開始時点での7payのメリット>
・スマートフォンをツールとした、セブン&アイ独自のバーコード決済サービスである。
・セブン-イレブンアプリから最短2タップの画面遷移で簡単に登録できる。 ・店頭レジ、セブン銀行ATM、各種クレジットカードなどからチャージが可能である。
・使用方法として、レジでお会計の際に「支払いバーコード」画面を提示し、バーコードを読み取るだけ。
・7payによる支払いでnanacoポイントもためることができる。 nanacoってクレカからチャージ出来るの?ヤフオクやメルカリの支払いで世話になってるんよ >>32
でもそのおにぎりも実はゴキが這ってたんだよね… 結果的には覇権を取ったPayPay連携したお陰で客も増えたんじゃないだろうか
俺は一時期PayPay連携のクーポン目当てでセブン行ってたわ >>36
ファミマはポケットカードだもん
ポケットカードは伊藤忠だし ファミマやローソンと違って無能しかいなかったんだろ オムニセブンとかいうやつも大失敗だったよな
大金投入したのに誰も知らないレベルでこれの方がヤバい セブンってどっかのなんちゃらペイ系買収したりせずに諦めた感じなの?
pc触らない人一番上に置いたの痛い目に合ったな。 ビックウェーブにいきなりのれなくて 早々に見切ってPayPay連携したのは優秀だと思う >>50
最初からやらない=有能
失敗してやめる=無能 >>47
どういうつもりだったのか知らんが
縦割りがとてもキツくなって買い物が面倒になったな セブンイレブンってかさ増しとか印刷で騙して物売ってる悪どいイメージしかない
絶対に使わない セブン&アイ関係のアプリって全体的に使いにくい
イトーヨーカドーのアプリとか 会見見てたけど「2段階認証……?」みたいな空気あってそりゃダメだと思ったわ まあ一番の問題はパスワード変更できるメールを任意のメールアドレスに送信できるというところだな
登録してたメールアドレスに送ってればそう簡単に乗っ取られはしなかった
https://i.imgur.com/vHmWNWa.jpg 7&yも失敗したよな
基本馬鹿なんだからコンビニだけやっとけ 被害額補填分は弁当のかさ増し値上げで賄ってるから実質タダ オムニセブンはセブンネットショッピングが改名したものだった
セブンネットショッピングも流出騒ぎやらかして俺もクレカ交換する羽目になったよ __
/ _`ヽ、
/ト、 ,-__, ー_ i、
lイミF fr'三テ fヨ!
ハ マl} 丶 .ィー;_チ_!
jリヘ._ト、 //゙,ニ、`i}
jノLイムjト、 {!_,rヌミヽi!
/ / ヾiヽlリ `「|i |! li |\
/ 、 ヾiヽ`、 ヾ!i |リ! .ヽ
/ ヽ :i! ヾiヽ\/ノ!ii| i. ヽ
,′/ ', ! lii lヽ./ |lii| 、! , '、
! i: ヾiiヽ |lii| V ヽ
i ー ' / l iil、|lii| ! i
! , 、-、-く ヾヾ洲 , ヽ
. l \\\\ ___ヾ:ぐ,ィーi′ _ ヽ
| 、 \\\\─┴==イヱ-'´ ゙i-ー=ー-、
| ヽ 丶-\\\\-f、^ヽ、``丶、 ゙、__ )_ヾ \
世 文平 [shi wenping]
(2019~2019)
キャッシュレス決済時代の武将。王族の出身であり、
初陣において父である世文合(セ・ブンアイ)の家臣と
「おにぎり無料」を掲げて集めた大軍を率いて戦場へと赴いたが
二段階認証を知らなかったため
留守となった居城を賊に襲われてしまう。
民明書房『不正利用の計』より >>53
実際されたのかどうかは知らないけど被害者全員に全額補償するって発表してたな これ手動してたやつ、またセブン&アイグループの重役になってるな
自浄作用のない組織は必ず崩壊する
>>13
いや伊藤か鈴木のバカ息子がやらかした
omni7とかいうのもこいつら 2段階認証が無いとえらい目にあうんだなって実感できたアプリ ■ このスレッドは過去ログ倉庫に格納されています