7pay の躓き

1 - 2

どうなる「イトーヨーカ堂」　衣料品売場で起きているすごい変化　伝統的な強みを取り戻せるか

スーパーマーケットの業界では、地域に密着した食品スーパーが堅調な一方で、大型の総合スーパー (GMS) の不振が続いている。　セブンイレブン　& アイ・ホールディングスの傘下にあるイトーヨーカ堂もご多分に漏れず苦戦が続いているが、明るい材料が見えてきた。　衣料品の平場に投入した「FOUND GOOD (ファウンドグッド）」の評判がすこぶる良いからだ。　ファウンドグッドはアパレルのみならず雑貨もカバーしており、洋服にとどまらないライフスタイルを提案するブランドになっているのが特徴。　これを核にして、寝具、日用品などに同じテイストの商品を投入していくことで、業績が回復する道筋が見えてきた。

GMS の将来性に関しては悲観的な見方が多い。　食品のみを残して、あとは専門のテナントに任せるべきという考え方が今の主流だ。　GMS の店を改装して、衣食住のうちの「食」にあたる食品売り場のみを自社で運営する。　「衣」と「住」に関するアパレル、家具、雑貨、家電、本、スポーツ用品などの店を専門店街と称して、著名ブランドを誘致。　あとはフードコートにハンバーガー、フライドチキン、セルフうどん、ラーメン、ドーナツ、グレープなどの著名ブランドを集めて運営しているケースが多い。　どの GMS にも似たようなラインアップのチェーン店が並ぶため、結果的に全国の GMS が没個性化し、売り上げが落ちている面がある。

要は、食品売り場を除いてどんどん専門量販店にシェアを奪われ、商品企画力、販売力を失い、それらをテナントとして取り込む不動産業にシフトしている。　しかも、リーシング（テナント誘致）するラインアップがどこも似ていて、面白みのない店が増えているのが現状だ。　そこに登場したのが、イトーヨーカ堂のアパレル平場に相当する売り場へと新提案されたファウンドグッドだ。　アパレル大手のアダストリアが請け負っており、「食品売り場との買い回りを意識した」とのことだ。　これまでイトーヨーカ堂が不振に陥り、そこから脱しきれなかった経緯と、ファウンドグッド投入による光明について、ひもといていきたい。

● イトーヨーカ堂の歴史

イトーヨーカ堂の発祥は 1920 （大正 9 年）、都内にオープンした「めうがや洋品店」だ。　祖業はアパレルなのである。　同社の創業者、伊藤雅俊氏の叔父にあたる吉川敏雄氏が後に「羊華堂洋品店」へ改名した。　店は繁盛して、千住、荻窪にも支店をオープン。　1929 年（昭和 4 年）、諸説あるが日本初とも言われるボランタリー・チェーン「全東京洋品商連盟」を 7 人の仲間たちと設立。　当時、勃興してきた百貨店に対抗する狙いがあった。　共同仕入れにより、廉価で販売。　しかも、流行りの服を研究して発注したので、大いに成功を収めた。

このように大衆的な洋服の販売店として、最先端を走っていたのが、羊華堂洋品店だったのだ。　1940 年、伊藤雅俊氏の兄、伊藤譲氏がのれん分けにより、浅草に「羊華堂」を開業した。1956年、伊藤譲氏が急逝し、雅俊氏が経営を継承。　また、1961 年には欧米の流通業を視察した雅俊氏がレギュラーチェーン政策に着手した。　1972 年頃には鳩のシンボルマークを制定し、現在の「イトーヨーカドー」の骨格が出来上がった。　同年、東京証券取引所第二部に上場している。　1970 年代から店舗を東日本中心に拡大して、ダイエーやジャスコ（現・イオン）などとともに、イトーヨーカドーは、全国的な知名度を持つスーパーマーケットチェーンとなった。

1970 年代後半から 1990 年代にかけて、衣食住に関する商品が何でもそろう GMS が、全国各地で中心駅前の一等地に台頭。イトーヨーカ堂もその流れに乗った。　　一方で、アパレルのユニクロ、しまむら、紳士服の青山商事、AOKI、家具のニトリ、大塚家具、家電のヤマダデンキ、ヨドバシカメラといった「カテゴリーキラー」と呼ばれる、専門量販店が次第に台頭してきた。　GMS の売り場は、専門的な商品の品ぞろえが良く、しかも安価なカテゴリーキラーに押されていった。

こうしたことが要因で、GMS は業績不振に陥った。　ダイエーとニチイはイオン傘下、西友は米国のウォルマート傘下（現在は米国の投資ファンド、コールバーグ・クラビス・ロバーツ傘下）といったように、スーパー再編が起こった。　2000 年に大店法の規制が緩和された。　これをチャンスと見て郊外の SC （ショッピングセンター）開発に注力したのは、イオンだった。　イオンと他のスーパーはここで差がついた。　イオンは GMS では苦戦しつつも、既に 1990 年代より SC による大規模開発に着手。　カテゴリーキラーをもテナントとして大幅に取り込んだイオンモールを構築。　2024 年 3 月現在で、イオンモールの数は国内 165、海外 37 で、202 店舗に達している。　それに対して、セブン & アイ・ホールディングスも、「アリオ」という SC のブランドを持っているが、19 店舗にとどまっている。

● 競合より高かった経常利益率

イトーヨーカ堂の売上高は、1999 年 2 月期の 1 兆 5,431 円がピークで、以降は減少しているのが実情。　同期の経常利益は 712 億円で、店舗数は 169 店だった。　　売上比率は、食品 39.5%、衣料品29.0%、住居関連部門 16.9%、その他 14.6%　となっていた。　つまり非食品が 6 割を占めていたのだ。　衣料品は 3 割を占め、まだまだ力を持っていた。　その頃のイトーヨーカ堂は競合他社に比べて利益率が高く、上手く経営しているとされていた。　そうした自負は社内にもあって、SC 開発に遅れる要因となったのは、歴史の皮肉だ。　例えば 1999 年度（2000 年 2 月期）の売上高経常利益率は、ダイエーの　0.05%、ジャスコの 1.8% に対してイトーヨーカ堂は 3.4% あった。　薄利多売ではなく、中流の家庭が喜ぶ売れ筋商品をそろえていて、POS データを現場に還元する情報活用も進んでいた。

1998 年頃から、メーカー・問屋・小売が一体となった「チーム MD」という、顧客がほしいものを連続的に提供する商品戦略を採用するようになった。　チーム MD は衣料品を中心に先行展開し、他の売り場にも波及させていった。　ところが、その後の売り上げが伸び悩んだ。　チーム MD が成功したかは微妙なところだ。　2005 年には、イトーヨーカ堂、セブン‐イレブン・ジャパン、デニーズジャパンの 3 社の株式移転により、セブン & アイ・ホールディングスが成立した。

この後、チーム MD をグループ内で最も成功させていたセブン‐イレブンが主導する形で、その手法を拡散させる「グループ MD」に再編される。　しかし、セブン‐イレブンは食品は強くても、衣と住の商品はほとんどカバーしていない。　2007 年に誕生した PB の「セブンプレミアム」により、イトーヨーカ堂の食品分野はシナジー効果で強化されても、衣と住の分野は、かえって衰退が加速する結果をもたらすこととなった。　2016 　年に鈴木敏文氏がセブン＆アイの会長と CEO を退任し、井阪隆一氏が社長に就任。　井阪氏がグループの経営トップとなったが、基本的な方針は変わっていない。

● 不採算店の閉店

近年の経営陣は、物言う株主の米国バリューアクト・キャピタルの要求に悩まされてきた。　好調なセブン‐イレブンと不採算の他の部門の経営を切り離すべきだという主張だ。　2023 年、グループのそごう・西武を、米国投資ファンドのフォートレス・インベストメント・グループに売却した。　イトーヨーカ堂の売却も求められている。　２024 年 2 月期決算は、南関東で食品スーパーの「ヨークマート」や「ヨークフーズ」を展開するヨークを吸収合併したため、売上高は 7,313 億円（前年同期比 12.7% 増）と増えたが、経常損失 3 億円（前期は 11 億円の利益）と赤字に転落した。　なお、最終損益は 4 年連続で赤字となっている。

店舗数が 226 と大幅に増加したのは、ヨークの店舗を加算したからだ。　2023 年 8 月末時点では、イトーヨーカ堂の店舗数は 125、ヨークの店舗数は 103 だった。　イトーヨーカ堂の売り上げは全盛時の半分以下で、利益も出ていない。　右肩下がりという印象が強い。　しかし、チーム MD の効果は、食のニーズを多角的に分析する上で、セブン‐イレブンにも恩恵を与えたと見られる。　セブン＆アイの経営陣がイトーヨーカ堂を一緒に経営するメリットを挙げて反論し、バリューアクトの要求に応じなかったのにも理由があった。　2024 年 2 月には、千葉県松戸市にセブン‐イレブンとイトーヨーカ堂が協業した、セブン‐イレブン新業態「SIP ストア」 1 号店をオープン。　平均的なセブン‐イレブンの売り場面積は約 40 坪だが、SIP ストアは約 88 坪を有し、生鮮食品、日配品、冷凍食品、加工食品が強化されている。

セブン＆アイは近年の決算で、イトーヨーカ堂の売上高における食品、衣料品、住居関連の売上構成比を出していない。　公表されているうちで最も新しい 2018 年度の実績を見ると、食品は 45.3% にまで高まっているのに対して、衣料品は　12.7% にまで衰退。　住居関連は 13.4% で全盛時より売上構成比はあまり減っていなかった。　つまり、食品が順調なのに対して、衣料品の落ち込みが激しかったということだ。　同社は 2023 年 3 月にアパレル事業からの撤退を発表した。　食品を軸にした売り場づくりという構造改革に着手するのは遅すぎたと思われるほどだった。　そればかりか、イトーヨーカ堂は不採算店 33 店を 2026 年までに閉店するとしている。

● 新しい GMS の成長モデルを構築できるか

しかし、その後に思わぬ展開が待っていた。　アパレル業界 3 位の大手、アダストリアがプロデュースしたファウンドグッドの売り場が、イトーヨーカ堂の衣料品売り場の平場を継承する形で、新ブランドとして登場したからだ。　アダストリアは、2024 年 2 月期の連結売上高 2,756 億円、経常利益 184 億円で、過去最高の売り上げと利益を更新している勢いのある企業だ。　代表的なブランドに「グローバルワーク」、「ニコアンド」、「ローリーズファーム」などがある。　ファウンドグッドは、2024 年 2 月に先行導入したイトーヨーカドー木場店を皮切りに、同年 7 月までに 64 店への展開を計画。　完全にイトーヨーカドーの衣料品売り場の顔になる。

アダストリアの中期経営計画のテーマの 1 つに、新規事業の開拓がある。　ビジネスプロデュース事業もその一環だ。　既に GMS 衣料品売り場のリブランディングとして、2022 年 9 月より、中国・四国・九州に「ゆめタウン」を展開するイズミと協業。　30 ～ 40 代の女性向けに、「SHUCA （シュカ）」というブランドを立ち上げている。　自然体で飾らない女性に、コーディネートしやすい、清潔感のあるシンプルカジュアルなスタイルを提案している。　2023 年 9 月には、メンズにも拡大した。

アダストリアとイトーヨーカ堂は、アパレル撤退表明前から協議を重ねてきた。　商品開発、商品の企画生産、売り場の空間演出、SNS 活用のプロモーションなどは全てアダストリアが行っている。　商品の発注、販売はイトーヨーカ堂の社員が行うが、接客のトレーニングなどもアダストリアが担当している。　アダストリアのプロデュースといっても、形をつくって終わりではなく、まさに協業といったビジネスモデルになっている。

● 食品にも波及効果

梅津尚宏・イトーヨーカ堂執行役員専門店事業部長は、「イトーヨーカドーのお客さまは高齢化しており、30 代、40 代の人たちにもっと来てもらえるような衣料品売り場を目指した。　弊社は食品を中心とした成長戦略を描いているので、食品売り場も冷凍食品、総菜を強化するなど品ぞろえを見直して、買い回りが起こるような波及効果を狙った」と説明する。　木場店の事例では、4 月 24 日の時点でアパレルの客数は改装前に比べて 40% 増。　しかも新規の顧客が 12.4% 増えた。　アパレルと食品を両方とも買った顧客は 82% に上った。

インスタグラムを使った販売促進、ZOZOTOWN でのネット通販の効果も上々で、狙い通り店舗全般が活性化しているという。　商品はレディース中心だが、メンズ、キッズの商品もあり、ファミリーのニーズに対応。　雑貨も 2 割ほどのスペースを取り、充実している。　店舗面積は 100 ～ 300 坪と幅広く対応する。　また、前出の SIP ストアへの商品提供も行っていく。

ファウンドグッドは、アパレルからのチーム MD を売り場全体に広げようとした、かつての取り組みと重なる部分がある。　それは、日本初とも言われるボランタリー・チェーンを協業により立ち上げて成功を収めた羊華堂洋品店の先進性をもほうふつとさせる。　アパレルが元気でなければイトーヨーカ堂らしくない。　そうした伝統の力が蘇ってきたのを感じさせる。

4 月 10 日、セブン＆アイはイトーヨーカ堂を再上場させる計画を打ち出した。　その話を聞いた時は非現実的に思われたが、ファウンドグッドのような革新的な売り場が今後も連続的に立ち上がってくるのであれば、希望が持てる。　早速、5 月 22 日には、惣菜の新ブランド「YORK DERI （ヨーク・デリ）」を発表した。　2 月に稼働を開始した、プロセスセンターとセントラルキッチンの機能を持つ食品工場「Peace Deli 千葉キッチン（千葉市）」を生かして、味・品質・鮮度を備えた新商品の開発と、店舗オペレーションの生産性向上が可能になったという。

創業 100 年を超えたイトーヨーカ堂が伝統と現代性を融合して再生し、令和の新しい GMS の成長モデルを構築できるか。　期待したい。 (長浜淳之介、IT media = 5-28-24)

セブンペイ、9 月末でサービス終了へ　不正アクセス受け

セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」の不正アクセス問題で、セブン & アイ・ホールディングス (HD) は 9 月末でセブンペイのサービスを終了する方針を固めた。　1 日午後の記者会見で詳細を説明する。　セブンペイは 7 月 1 日にサービスを開始したが、直後に多くの利用者が不正アクセスを受け、クレジットカードなどから無断でチャージ（入金）され、不正に利用されていたことが発覚。　4 日に入金や新規登録を中止してサービスを事実上、全面停止していた。　セブン HD によると、7 月 29 日時点での被害は 807 人、計約 3,860 万円。　7 月中旬以降は被害が確認されていないとしている。

セブンペイの登録者数は約 150 万人。　連携するクレジットカードなどから入金し、レジでスマホ画面にバーコードを表示し、支払う仕組み。　他の IT 大手などのスマホ決済に対抗するセブン HD の新たなデジタル戦略として注目されたが、トラブルにより短期間で終了する異例の決定となった。 (土居新平、asahi = 8-1-19)

セブン & アイ、7iD のパスワードを一斉リセット

セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」の不正アクセス問題で、セブン & アイ・ホールディングス (HD) は 30 日、セブンペイを含むセブン HD のグループのネット通販などで使われる共通 ID 「7iD」のパスワードを一斉にリセットしたと発表した。　「安全対策の一環」という。　セブンペイの登録者は約 150 万人だが、その 10 倍以上の 7iD の全会員約 1,650 万人が再設定を迫られる。

利用者の手間がかかるパスワードの一斉再設定まで行うことで、新たな不正アクセスを防ぐ狙いがある。　ただ専門家からは、セブンが想定する方法以外で不正アクセスされた可能性も指摘される。　パスワードを一斉リセットした 7iD はセブンペイのほか、セブン HD のネット通販「オムニ 7」、イトーヨーカドーなどグループ各社アプリでも共通で使われている。　リセットを機にパスワードの設定条件の強化も行う。　パスワードの文字数を従来より 1 文字増やして 9 文字以上とし、英字の大文字と小文字と、記号または数字の 3 種類を組み合わせなければならなくする。

セブン HD は、セブンペイへの不正アクセスが「リスト型攻撃」で行われた可能性が高いとみている。　以前に他企業などからネット上に流出していた ID やパスワードを、手当たり次第に機械的に入力する方法だ。　その ID などがセブンペイでも使い回されていれば、不正アクセスの被害に遭う可能性がある。　パスワードを一斉に再設定し、「不正アクセスのリスクを極小化できる」という。

ただセブンペイの不正アクセス被害者には、ID などの使い回しはないと証言する人もいる。　専門家からは 7iD のセキュリティーの欠陥が指摘されているほか、何らかの方法で 7iD の ID やパスワードそのものが流出した可能性も指摘される。　東京電機大学サイバーセキュリティ研究所の松本隆研究員は「リスト型攻撃を許した要因を分析し、それに対応した設定変更なら効果はある。　ただ、それ以外の原因にも対処する必要がある。」と話す。

リスト型以外のアクセスがあったかについて、セブン HD は「確認中」とし、原因についても「調査中」としている。　セブンペイは今月 1 日に利用が始まったが、何者かの不正アクセスを受け、利用者が無断でクレジットカードからチャージ（入金）され、大量の電子たばこを勝手に買われる事例が発覚。　4 日に新規登録やチャージを中止し、事実上サービスは停止している。　セブン HD が 30 日に発表した 29 日時点の不正アクセス被害は 807 人、計約 3,860 万円に上る。 (土居新平、村井七緒子、asahi = 7-30-19)

セブンペイ被害者、1,574 人に拡大　被害額 32,40,688 円

セブン & アイ・ホールディングス傘下のセブン・ペイは 16 日、スマートフォン決済「7pay （セブンペイ）」の不正利用が確認された被害者の数が、11 日午後 5 時の時点で 1,574 人に上ると明らかにした。　途中集計で、被害者数はさらに拡大する可能性がある。　同社は 4 日時点で、利用者の約 900 人で不正利用の被害が発生していた可能性があるとの見通しを示していた。

一方、被害額の総計については、11 日午後 5 時の時点で計 3,240 万 688 円を確認したという。　4 日時点では約 5,500 万円と試算していた。　4 日時点では、カードで 1 万円以上入金（チャージ）し、1 回の決済金額も 1 万円以上だった利用履歴を「被害」と想定していた。　その後、客からの申し出を基に実際の利用状況などを調査した結果、被害にあったと確認できた金額を公表した。 (sab\nkei = 7-16-19)

今度はアプリに欠陥か　セブンペイ問題、対応後手で批判

大規模な不正アクセス問題を起こしたセブン-イレブンのスマートフォン決済「7pay （セブンペイ）」で、新たにシステム上の欠陥が浮上してきた。　親会社セブン & アイ・ホールディングス (HD) 傘下のイトーヨーカドーやアカチャンホンポ、そごう・西武などのネットサービスの利用時に登録された個人情報が漏洩するリスクがあることがわかったのだ。　セブン HD はひとまず漏洩を防ぐ措置を公表したが、専門家からは対応の遅れを批判する声が出ている。

今回明らかになった問題点は、セブンペイの不正アクセスで指摘された「2 段階認証」や「パスワードリセット（再登録）」での不備とは異なるものだ。　いったいどういうものなのか。

セブンペイなどを使うためのスマホアプリ「セブン-イレブンアプリ」にログインするには二つの方法がある。　新たに登録して「7iD」のアカウントをつくる場合と、フェイスブックや LINE など他社のサービスでの外部アカウントと連携する「ID 連携」だ。　ID 連携を使えば、例えばフェイスブックなどのアカウントを使って、セブンアプリにもログインできる。　わざわざ新しい ID やパスワードをつくる必要はなく、便利だ。　複数の IT 専門家らによると、この ID 連携に関し、セブンアプリに欠陥があったという。　利用者が ID 連携でアプリを使っていた場合、不正行為者は欠陥を利用して利用者になりすまし、アプリにログインできた。　7iD に登録された個人情報をのぞき見できる状態だったという。

7iD はセブンペイだけではなく、そごう・西武やイトーヨーカドー、アカチャンホンポなどセブン HD グループのネット通販などで使える。　利用者がグループの様々なサービスを使っていた場合、住所や氏名、子どもの名前・生年月日など、様々な個人情報が登録されている場合がある。　こうした情報が不正行為者の目にさらされる可能性があった。　ID 連携を巡る問題点が、セブンペイでの約 900 人、約 5,500 万円の不正利用被害の直接の原因だったかどうかはわからない。　この問題点とは別の「隙」を狙い、不正アクセスされた可能性もある。

ただ、少なくともセブンアプリの ID 連携には重大な問題があり、不正利用被害とは別に、個人情報が不正行為者にさらされる危険があった。　セブンペイの不正アクセスではこれまで、本人確認システムの甘さなどの問題に焦点が当たってきた。　しかし今回の個人情報漏洩の問題では、セブン HD 傘下の各企業で共通の 7iD との連携にも問題があったことがわかった。　7iD の会員数は 1,500 万人超（5 月時点）とされ、セブンペイの登録者約 150 万人よりはるかに多い。　セブン側は「今のところ情報漏洩の形跡はない（広報」）と説明している。

対応の遅れ深刻

この問題点については、セブンペイでの不正アクセスが表面化した 3 日時点で、IT 専門家らがセブンアプリのシステムを解析し、問題点を指摘していた。　4 日にセブン HD が記者会見でセブンペイの新規登録の中止などを発表した際には、ネット上などでは「7iD も停止すべきだ」との声が多く出ていた。　しかしセブンはそうした対応はせず、会見から 1 週間もたった 11 日、アプリの脆弱性を認めたうえで、ID 連携の中止を公表した。　1 週間の間、個人情報が不正行為者に漏れる危険が続いていたことになる。

国際大学 GLOCOM 客員研究員の楠正憲氏は「ID 連携の停止は本来、４日のセブンペイの記者会見前にやるべきものだった」とセブン側の対応の遅れを批判する。 (栗林史子、asahi = 7-13-19)

セブンペイ不正、新たに中国籍の学生逮捕　窃盗の疑い

セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」が不正に買い物に使われ、中国籍の男 2 人が逮捕された事件で、警視庁は 12 日、中国籍の専門学校生の女 (21) = 東京都豊島区巣鴨 5 丁目 = を窃盗の疑いで新たに逮捕し、発表した。

女は兪慧霊容疑者。組織犯罪対策特別捜査隊によると、4 日午後 10 時 - 5 日午前 0 時 50 分ごろ、アルバイト先の東京都千代田区の店舗で勤務中、都内の 40 代男性らの名義のセブンペイを使い、電子たばこ 50 個や化粧品など計約 3 万 2 千円分を決済し、盗んだ疑いがある。　「中国人の友達から SNS で ID とパスワードを聞いた。　『お金をあげるからたばこを買うのを手伝って』と言われた」と供述しているという。　男 2 人が逮捕された別の店舗の事件でも同じ SNS を通じて ID などが伝えられており、警視庁が解明を進めている。 (asahi = 7-12-19)

セブンペイ、2 段階認証を導入へ　会見一夜明け一転対策

コンビニ最大手・セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」の不正アクセス問題で、セブン & アイ・ホールディングス (HD) は 5 日、他のスマホ決済事業者がすでに採り入れている「2 段階認証」の導入や、チャージ（入金）上限額の見直しなどを今後行うと発表した。　セブンペイの運営会社セブン・ペイの小林強社長は 4 日の会見で、2 段階認証を導入していなかった理由について、他社のような専用アプリではなく、既存のセブン-イレブンアプリに決済機能を追加する形でセブンペイを導入したためと説明。　「2 段階うんぬんと同じ土俵で比べられるのか、認識していない」と述べていた。　一夜明け、一転して対策に乗りだした形だ。

2 段階認証を導入する理由について、セブン HD の広報担当者は「そこが課題であると認識し、セキュリティーを強化することにした」と説明。　一方で不正アクセスを受けた原因については「まだ断定できていない」とした。　セブン HD は原因分析とセキュリティー対策の強化のための新組織も 5 日に立ち上げた。　総責任者にはセブン HD の後藤克弘副社長が、プロジェクトリーダーにはセブン・ペイの小林社長らが就く。　今後安全対策を検討し、不正防止対策を講じるという。

今回の問題で、経済産業省はセブンペイが 2 段階認証を使っていなかったことを問題視していた。　同省は 10 月の消費増税に合わせ、現金を使わないキャッシュレス決済への 5% （大手チェーンは 2%）分のポイント還元策を始める。　参加する決済事業者の登録を始めているが、セブン側が再発防止を徹底できていないと判断した場合、セブンペイのポイント還元への参加を認めない方針だった。

3 月にキャッシュレス決済の業界団体が策定した技術仕様の統一ガイドラインでは、「不正利用を未然に防止するため対策を行うこと」が重要だと定めている。　経産省は、セブンペイが 2 段階認証を採用せずに十分な安全対策を行わず、ガイドラインを逸脱したとみていた。　4 日に会見したばかりのセブンが、5 日夜になって新たな対策の導入方針を示したのは、経産省の厳しい姿勢も受けたものとみられる。　セブン HD 広報は「経産省の声は真摯に受け止めている。　その上で今回の対応は自主的にまとめた。」としている。

不正利用の原因について、セブン側は「調査中」としてまだ明らかにしていない。　4 日の会見で、セブン HD の清水健デジタル戦略部シニアオフィサーは、「サービス開始前にセキュリティー審査をきちんとやっている。　脆弱性は指摘されておらず、確認したうえでスタートした。」と強調していた。 (栗林史子、土居新平、asahi = 7-5-19)

セブンペイ不正、国際犯罪組織が関与か　ID や PW 指示

東京都新宿区のセブン-イレブンで他人名義のスマートフォン決済「7pay （セブンペイ）」を使い、電子たばこを購入しようとしたとして警視庁に逮捕された中国籍の男 (22) が、同店を含む 3 店で計約 2 千個分（約 100 万円相当）を不正に決済していたとみられることが捜査関係者への取材でわかった。　「SNS で知り合った指示役に 1 カートン（10 個）あたり 300 円の報酬を示された」と供述しているという。

セブンペイには中国などから不正アクセスを受けた形跡が確認されており、流出した可能性がある ID やパスワードが指示役から伝えられていたという。　警視庁は国際的な犯罪組織が関与しているとみて調べる。　男は住所、職業不詳のジャン・ション容疑者。　新宿署によると、セブン-イレブン西武新宿店で 3 日、都内の 40 代男性名義のセブンペイを使い、電子たばこ 400 個（20 万円相当）を買おうとした疑いがある。　中国籍で住所不詳の自称学生ワン・ユンフェイ容疑者 (25) とともに詐欺未遂容疑で 4 日に逮捕された。

捜査関係者によると、ジャン容疑者は、3 日午前に近くの別の店舗で 300 - 400 個分をセブンペイで決済した後、「もっと買いたい」と言って西武新宿店を案内してもらった、と説明。　同店で逮捕容疑を含む 1,460 個分（73 万円相当）、さらに別の店舗でも 190 個分（9 万 5 千円相当）の決済が確認されたという。　ワン容疑者は同日午後 2 時ごろ、近くのファストフード店でジャン容疑者と初めて会ったという。　SNS で指示役から「日当 1 万 5 千円」を提示されており、2 人で決済済みの電子たばこを各店に受け取りに行ったが、西武新宿店が通報。　ワン容疑者の車からは領収書とともに 190 個が見つかったという。 (asahi = 7-5-19)

セブンペイ、踏み切らない利用停止　社長「利便性ある」

セブン-イレブンが満を持して 1 日に始めたスマホ決済「セブンペイ」。　多額の不正利用の被害が判明し、開始わずか 4 日目で新規登録の停止に追い込まれた。　なぜ不正アクセスを許したのか。　システムに問題はないのか。　セブン側は原因を「調査中」として明らかにせず、利用者は不安を抱えたままだ。　拡大しつつあったスマホ決済は、コンビニ最大手が起こした不正アクセス問題で冷や水を浴びせられた。

4 日午後、東京都内で記者会見したセブン & アイ・ホールディングス (HD) の清水健デジタル戦略部シニアオフィサーは、「サービス開始前にセキュリティー審査をきちんとやっている。　脆弱性は指摘されておらず、確認したうえでスタートした。」と、何度も強調した。　ではなぜ、不正アクセスの被害が出たのか。　システムの安全対策に不備があったかどうかについて、清水氏は「システムに不備があったのか、違うところなのかも調査している。」　中国など海外からの不正アクセスが当初は目立ったという。　早期のサービス再開を目指すというが、原因については「調査中」と繰り返すばかりだった。

4 日午前 6 時時点で、不正アクセスの被害を受けた利用者は推計で約 900 人、被害額は約 5,500 万円にのぼる。　これはセブンの「試算」だ。　セブンペイの登録者数は約 150 万人で、被害がさらに増える可能性がある。　初めて利用者からセブンに被害の報告があったのは 2 日夕だった。　その後被害が相次ぎ、セブンは 3 日午後に不正被害を公表。　クレジットカードやデビットカードからのチャージ（入金）を停止した。　その後もネットなどで被害を訴える声が高まり、4 日午後に、レジや ATM からも含めて全面的に入金を停止。　新規登録も止めた。

なぜ不正被害の一報から入金や登録の停止まで 2 日間かかったのか。　運営会社セブン・ペイの小林強社長は「海外からのアクセス遮断など順次対応しており、それほど遅くなったとの認識はない」とする。　すでに登録した人が入金済みの額を使うことはできる。　それを使い切れば入金はできなくなり、当面はセブンペイのサービスは事実上停止することになる。

ただ、登録済みの人が入金済みのお金を不正に使われる可能性は残っている。　なぜサービスの全面停止に踏み切らないのか。　小林氏は「多額な不正が相当減っているというのは具体的事実として判明している」と述べ、全面停止をしないことが顧客の利便性にかなうとした。　被害に遭った利用者に対しては「全ての被害に対して補償をする」とした。　電話での相談を受け付けているほか、被害を受けた利用者が特定されれば、セブン側からも連絡する。 (土居新平、神沢和敬)

2 段階認証・パスワード再設定 … 指摘される問題点

静岡県の男性 (58) は、2 日にセブンペイに登録した直後の 3 日朝、クレジットカードから知らぬ間に計 19 万円がチャージされていることに気づいた。　自分でチャージした 5 千円を含む計 19 万 5 千円全額が、都内のセブン-イレブンで不正に使われていた。　3 日時点はセブン側は自分でチャージした分の補償には難色を示したという。　男性は「あせってセブンペイを始めて、システムに抜けや漏れがあったのではないか。」　「最大手の看板に飛びついた自分も悪かった」と話した。

セブン側は原因を説明しておらず、不正アクセスの詳細はわからない。　ただ今回の不正アクセスは、セブンペイが他の事業者と本人認証の方法が違うことが背景にあるとの指摘がある。　バーコードや QR コードをレジで読み取るスマホ決済では、一般的に会員登録の際、スマホの電話番号にショートメッセージ (SMS) で事業者が送った数字を利用者に入力してもらい、なりすましを防ぐ仕組みがある。　「2 段階（2 要素）認証」と呼ばれる方法で、セブンペイと同じ 1 日に始めたファミリーマートの「ファミペイ」もこの方法だ。

セブンペイはこの認証方法を導入していない。　セブン・ペイの小林社長はその理由について、他社のような専用アプリではなく、既存のセブン-イレブンアプリに決済機能を追加する形でセブンペイを導入したためと説明した。　「2 段階うんぬんと同じ土俵で比べられるのか、認識していない」と述べ、2 段階認証が不正の理由かどうかには言及しなかった。　専門家からは、パスワードの再設定でも問題が指摘されている。　パスワードを忘れるなどして再設定する際、一般的には登録したメールアドレスに再設定メールが送られるが、セブンでは送付先のアドレスを別に設定することもできた。　第三者が自分のメールに再設定メールを送り、パスワードを変更できてしまう。

セブン側は「あらゆるサービスについて最終的な安全性を確認したうえで始めた（セブン & アイ HD の清水氏）」とし、セキュリティー上の問題は認めなかった。　ただ IT 大手 DeNA のセキュリティー部に所属する松本隆氏は「今回のことで、セブン ID の仕様の問題点が広く知られてしまった。　パスワードの再設定が原因でなかったとしても、今回と違った悪用で被害が拡大する可能性がある。　早急にセキュリティーを強化するべきでは。」と指摘する。

早々につまずいた「安心感が強み」

セブンペイが始まった 1 日、セブン-イレブン・ジャパンの永松文彦社長は「流通系のスマホ決済では初めての参入で、お客様から見ての安心感が我々の強みだ」と語っていた。　しかし開始早々に大きくつまずいた。　スマホ決済は、ソフトバンク・ヤフー系の「PayPay （ペイペイ）」や「LINE Pay （ペイ）」が多額を投じた還元キャンペーンで利用が急増。　NTT ドコモなど携帯電話会社も参入し、7 月からはセブンとファミマも加わり、さらに普及するとみられていた。

セブンは、セブンペイと同時に他社のスマホ決済もコンビニで利用できるようにした。　ペイペイ、LINE ペイ、メルペイの 3 社が合同キャンペーンでもり立てる最中の不正アクセス問題は、スマホ決済全体への信用を揺るがしかねない。　ある決済事業の関係者は「これから使い始めようとしていた人に影響が出る」とため息をつく。　スマホ決済での不正をめぐっては、ペイペイで昨年 12 月、クレジットカードの不正利用が多発した。　安全強化策として、今年 2 月までに 3 回にわたり利用限度額を引き下げた。　「一発で高額を稼げる抜け穴が狙われる。　利用限度額を下げるのが最も効果的（同社）」という。

LINE ペイは、専用のパスワード設定やカード情報の暗号化などでセキュリティーを強化。　利用者には、本人認証がより厳密な銀行口座接続や、身分証を提示してネット上で完結する本人確認 (eKYC) を強く促している。 (村井七緒子、長橋亮文、asahi = 7-4-19)

7pay、新規登録を停止　不正相次ぐ、全被害補償へ

セブン & アイ・ホールディングス (HD) は、コンビニ最大手のセブン-イレブンで 1 日から始めた独自のスマートフォン決済「7pay （セブンペイ）」について、利用者の一部が不正アクセスの被害に遭ったことを受け、セブンペイの新規登録を停止すると発表した。　クレジットカードやデビットカード、店頭や ATM でのチャージ（入金）も停止する。　すでにチャージ済みの金額は利用できる。

不正の被害は 4 日午前 6 時時点の試算で、計約 900 人、約 5,500 万円。　不正の被害については「全ての被害に対して補償を行う」としている。　問い合わせは、お客様サポートセンター緊急ダイヤル（0120・192・044、24 時間受け付け）へ。　4 日午後に記者会見したサービス運営会社セブン・ペイの小林強社長は「被害に遭ったお客様に深くおわび申し上げます。　セブンペイを利用してくださっているお客様、関係者に多大なるご迷惑ご心配をおかけしたことをおわび申し上げます」と謝罪した。

セブンペイでは、利用者が見知らぬ第三者の不正利用の被害に遭う事例が相次いでいる。　セブン・ペイは 3 日に不正被害の発生を公表したが、その後もネット上では被害を訴える声が相次いだ。　朝日新聞の取材に応じた静岡県の宿泊業の男性 (58) は、19 万 5 千円を勝手に使われる被害に遭ったという。　男性は今月 2 日にセブンペイをスマートフォンで利用登録し、自分のクレジットカード情報を入力。　まず自分で 5 千円分をスマホアプリにチャージ（入金）した。

ところが翌 3 日朝、知らない間に 6 回にわたって、計 19 万円分がチャージされ、都内の店で 2 回、計 19 万 5 千円分が全額使われたことに気づいた。　男性はこの間ずっと静岡県内におり、第三者が不正に都内で使ったとみられる。　男性はクレジットカードなどでは不正に備え、複数の ID とパスワードを組み合わせて使い分けてきた。　被害に関し、セブン・ペイの窓口に問い合わせたところ、不正にチャージされた 19 万円分については「対応を検討している」とされたが、自分でチャージした 5 千円分については「補償は難しい」と言われたという。　同時にアプリの利用は停止した。

別の千葉県内の男性 (53) は、クレジットカードから 7 万 5 千円分を不正にチャージされた。　チャージされた分はまだ使われてはいないが、意に反したチャージなので取り消すように求めているという。　男性はセブン・ペイの窓口に問い合わせたところ、「返金には警察署に行って被害届を出した上で、その受理番号が必要」の一点張りだったという。　男性は「すぐに返金手続きをとらないのは疑問だ。　甘いシステムを、このタイミングで提供するのはあまりにおかしい。」と話す。

セブン & アイ HD 広報によると、一連の不正被害は 3 日朝、顧客からの問い合わせで発覚。　本人がチャージしていないのに、「チャージした」との通知やメールが届いたというケースが相次いだ。　他人が顧客のアカウントを使って不正にチャージし、そのまま買い物に使った可能性がある。　警視庁によると、セブン・ペイ側から 4 日に被害相談があった。　各警察署にも、不正利用の被害にあったという人々からの相談が数件寄せられているという。　今後、被害に至った経緯など詳しく事情を聴く方針だ。 (長橋亮文、神沢和敬、大和田武士、稲垣千駿、asahi = 7-4-19)

7pay クレジットカード不正利用 : 第三者乗っ取りがあり得る致命的な 2 つの弱点

セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。　まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。　メールアドレス・生年月日・電話番号がわかれば、第三者が　7pay　のセブンイレブンアプリのパスワードを変更できることが判明したのです。　さらに SMS 認証など 2 つ目の認証がないため、第三者が乗っ取ることも可能になります。

7 月 3 日早朝から、セブンイレブンの 7pay でクレジットカード不正利用の被害が出ています。　Twitter で複数の人が報告しているもので、3 日午前中にはセブンイレブンも注意喚起を出しました。　クレジットカードからのチャージは止めていますが、決済機能自体は生きています。　現時点では原因は発表されていません。　パスワードリスト攻撃（流出しているパスワードのリストで攻撃するもの）とも思われましたが、Twitter での被害報告では「パスワードは使い回さず独自のものにしていた」という人もいるため、別の原因も考えられそうです。

ここで 1 つの穴が発見されました。　それは 7pay のアプリ（セブンイレブンアプリ）は「メールアドレス・生年月日・電話番号」がわかると、パスワードリセットができ、かつ別の端末から第三者が乗っ取ることができるという穴です。　これは Twitter の shao (Sho SAWADA) 氏が指摘しているもので、パスワードリセットを別のメールアドレスからできてしまうという穴です。　ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。

7pay の一件は「既に利用しているユーザが他人に不正にチャージされて買い物された」という事象なのに、運営はチャージだけ止めて買い物は引き続き可能にしてる。　買い物できるということはセッションを奪われたという話なので、買い物含めて全部止めないと被害が拡大するのです。 (三上洋、Yahoo! = 7-4-19)

1 - 2