2019年7月1日に満を持して登場した「7pay」。多くから支持を集めているセブンイレブンがコード決済を導入するとのことで大きな話題となりましたが、ローンチ直後から不正使用の事件が発生し、信頼性はボロボロという結果になっています。
しかし、こんなものではありません。もっとヤバイ情報をこの記事でお伝えします。
「メールアドレスと生年月日だけでセブンイレブンのIDを乗っ取る」
という内容です。
セブンイレブンが運営するサービス全てに信頼感を持てなくなるレベルのセキュリティ意識の低さを露わにします。
緊急で記事化しているため、かなり荒い文章になっておりますがご了承ください。
- セブンイレブンのセキュリティ意識が低すぎることが分かる。
- 前代未聞のレベルの低さに唖然とします…。
メールアドレスと生年月日だけで乗っ取ってみた(自分の空アカウント)
見出しだけでインパクトがありますが、実際に自分のアカウントを使って乗っ取りを実演してみます。
オムニ7という通販サイトの「ある仕様」を悪用して7iDを乗っ取ります。
オムニ7のパスワードを忘れた場合というページにある「セブンイレブンアプリ・イトーヨーカドーアプリ…etcで7iD会員登録済みのお客様」を選択します。

「パスワードを忘れた場合」にパスワードを再設定できる機能ですが…。入力項目が少なすぎることと、一般的にオープンな情報だけでパスワード再設定が可能になっていることがお分かりかと思います。
もうヤバいのは十分伝わったかと思いますが実際に進めてみます。
乗っ取りをするアカウントの生年月日とメールアドレスを入力します。

上の画像は実際に入力した状態です。「7iD(メールアドレス)」と「送付先メールアドレス」が異なっていることがお分かりかと思います。この状態で「メールを送信する」を押してみます。

なんと、通ってしまいました…!「送付先メールアドレス」に記入したメールアドレスを確認してみます。嫌な予感がするよ…。

なんと、7iDとは無関係のメールアドレスにパスワード再設定のお知らせが届いてしまっているのです。記載されているURLをクリックするとパスワード再設定画面が表示されてしまいます。

ここで適当にパスワードを変更してしまえば…アカウントの奪取に成功です。
色んな意味でお疲れ様でした。
かなり危険な状態であることがお分かりではないでしょうか?
対策は?
7iDのままにしおくのではなく、オムニ7への登録を行っておきましょう。
オムニ7に登録しておくことでパスワードを忘れた際に聞かれる情報が多くなります。(下記)

会員IDは知ることができませんので、簡単には乗っ取ることができません。(会員ID分かるならパスワード忘れないだろ!というのは置いといて…。)
追記:2019/07/04 3:44
オムニ7の「会員ID」はメールアドレスのことを指しているようです。電話番号や生年月日が分かるような知人にアカウントを盗まれる可能性は残っているようです。
下記ツイートをRTにて広めて注意喚起にご協力ください。
【緊急】セブンペイのセキュリティが問題になっていますが、7iDを簡単に乗っ取ることができる方法が見つかってしまいました。実際に自分の捨てアカウントを乗っ取ってみました。https://t.co/O1Q67aE53l
— Cashless JAPAN (@Cashless_jp) 2019年7月3日
マジでセブンイレブンは何を考えてんの?
システム会社云々より仕様レベルから終わってる
追記:2019/07/04 4:03
現状の対策としては、偽りの生年月日を登録するか、退会するかの2択しか方法は無さそうです。
追記:2019/07/04 14:50
アカウント流出の恐れがあるが、現時点では全面的なサービス停止については検討せず。チャージサービスのみ停止を行うと発表。(セブン&アイ記者会見にて)
まとめ:セブンイレブンのアプリは危険すぎるので退会してアンイストールしよう!
セブンイレブンに対するアンチ活動みたいで嫌ですが、かなり危険な状態なので記事化しました。前代未聞のセキュリティレベルの低さに驚愕するとともに、今後のセブンイレブンのサービスに信頼できなくなりました…。
詳細な手順を掲載するか迷いましたが、この記事を見た方が単純な手順であることが分かると「わたしも乗っ取られてしまうかも!」という危機感を持ってもらえると思い掲載しています。何卒ご理解ください。