セブンペイ、9 月末でサービス終了へ　不正アクセス受け

セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」の不正アクセス問題で、セブン & アイ・ホールディングス (HD) は 9 月末でセブンペイのサービスを終了する方針を固めた。　1 日午後の記者会見で詳細を説明する。　セブンペイは 7 月 1 日にサービスを開始したが、直後に多くの利用者が不正アクセスを受け、クレジットカードなどから無断でチャージ（入金）され、不正に利用されていたことが発覚。　4 日に入金や新規登録を中止してサービスを事実上、全面停止していた。　セブン HD によると、7 月 29 日時点での被害は 807 人、計約 3,860 万円。　7 月中旬以降は被害が確認されていないとしている。

セブンペイの登録者数は約 150 万人。　連携するクレジットカードなどから入金し、レジでスマホ画面にバーコードを表示し、支払う仕組み。　他の IT 大手などのスマホ決済に対抗するセブン HD の新たなデジタル戦略として注目されたが、トラブルにより短期間で終了する異例の決定となった。 (土居新平、asahi = 8-1-19)

セブン & アイ、7iD のパスワードを一斉リセット

セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」の不正アクセス問題で、セブン & アイ・ホールディングス (HD) は 30 日、セブンペイを含むセブン HD のグループのネット通販などで使われる共通 ID 「7iD」のパスワードを一斉にリセットしたと発表した。　「安全対策の一環」という。　セブンペイの登録者は約 150 万人だが、その 10 倍以上の 7iD の全会員約 1,650 万人が再設定を迫られる。

利用者の手間がかかるパスワードの一斉再設定まで行うことで、新たな不正アクセスを防ぐ狙いがある。　ただ専門家からは、セブンが想定する方法以外で不正アクセスされた可能性も指摘される。　パスワードを一斉リセットした 7iD はセブンペイのほか、セブン HD のネット通販「オムニ 7」、イトーヨーカドーなどグループ各社アプリでも共通で使われている。　リセットを機にパスワードの設定条件の強化も行う。　パスワードの文字数を従来より 1 文字増やして 9 文字以上とし、英字の大文字と小文字と、記号または数字の 3 種類を組み合わせなければならなくする。

セブン HD は、セブンペイへの不正アクセスが「リスト型攻撃」で行われた可能性が高いとみている。　以前に他企業などからネット上に流出していた ID やパスワードを、手当たり次第に機械的に入力する方法だ。　その ID などがセブンペイでも使い回されていれば、不正アクセスの被害に遭う可能性がある。　パスワードを一斉に再設定し、「不正アクセスのリスクを極小化できる」という。

ただセブンペイの不正アクセス被害者には、ID などの使い回しはないと証言する人もいる。　専門家からは 7iD のセキュリティーの欠陥が指摘されているほか、何らかの方法で 7iD の ID やパスワードそのものが流出した可能性も指摘される。　東京電機大学サイバーセキュリティ研究所の松本隆研究員は「リスト型攻撃を許した要因を分析し、それに対応した設定変更なら効果はある。　ただ、それ以外の原因にも対処する必要がある。」と話す。

リスト型以外のアクセスがあったかについて、セブン HD は「確認中」とし、原因についても「調査中」としている。　セブンペイは今月 1 日に利用が始まったが、何者かの不正アクセスを受け、利用者が無断でクレジットカードからチャージ（入金）され、大量の電子たばこを勝手に買われる事例が発覚。　4 日に新規登録やチャージを中止し、事実上サービスは停止している。　セブン HD が 30 日に発表した 29 日時点の不正アクセス被害は 807 人、計約 3,860 万円に上る。 (土居新平、村井七緒子、asahi = 7-30-19)

セブンペイ被害者、1,574 人に拡大　被害額 32,40,688 円

セブン & アイ・ホールディングス傘下のセブン・ペイは 16 日、スマートフォン決済「7pay （セブンペイ）」の不正利用が確認された被害者の数が、11 日午後 5 時の時点で 1,574 人に上ると明らかにした。　途中集計で、被害者数はさらに拡大する可能性がある。　同社は 4 日時点で、利用者の約 900 人で不正利用の被害が発生していた可能性があるとの見通しを示していた。

一方、被害額の総計については、11 日午後 5 時の時点で計 3,240 万 688 円を確認したという。　4 日時点では約 5,500 万円と試算していた。　4 日時点では、カードで 1 万円以上入金（チャージ）し、1 回の決済金額も 1 万円以上だった利用履歴を「被害」と想定していた。　その後、客からの申し出を基に実際の利用状況などを調査した結果、被害にあったと確認できた金額を公表した。 (sab\nkei = 7-16-19)

今度はアプリに欠陥か　セブンペイ問題、対応後手で批判

大規模な不正アクセス問題を起こしたセブン-イレブンのスマートフォン決済「7pay （セブンペイ）」で、新たにシステム上の欠陥が浮上してきた。　親会社セブン & アイ・ホールディングス (HD) 傘下のイトーヨーカドーやアカチャンホンポ、そごう・西武などのネットサービスの利用時に登録された個人情報が漏洩するリスクがあることがわかったのだ。　セブン HD はひとまず漏洩を防ぐ措置を公表したが、専門家からは対応の遅れを批判する声が出ている。

今回明らかになった問題点は、セブンペイの不正アクセスで指摘された「2 段階認証」や「パスワードリセット（再登録）」での不備とは異なるものだ。　いったいどういうものなのか。

セブンペイなどを使うためのスマホアプリ「セブン-イレブンアプリ」にログインするには二つの方法がある。　新たに登録して「7iD」のアカウントをつくる場合と、フェイスブックや LINE など他社のサービスでの外部アカウントと連携する「ID 連携」だ。　ID 連携を使えば、例えばフェイスブックなどのアカウントを使って、セブンアプリにもログインできる。　わざわざ新しい ID やパスワードをつくる必要はなく、便利だ。　複数の IT 専門家らによると、この ID 連携に関し、セブンアプリに欠陥があったという。　利用者が ID 連携でアプリを使っていた場合、不正行為者は欠陥を利用して利用者になりすまし、アプリにログインできた。　7iD に登録された個人情報をのぞき見できる状態だったという。

7iD はセブンペイだけではなく、そごう・西武やイトーヨーカドー、アカチャンホンポなどセブン HD グループのネット通販などで使える。　利用者がグループの様々なサービスを使っていた場合、住所や氏名、子どもの名前・生年月日など、様々な個人情報が登録されている場合がある。　こうした情報が不正行為者の目にさらされる可能性があった。　ID 連携を巡る問題点が、セブンペイでの約 900 人、約 5,500 万円の不正利用被害の直接の原因だったかどうかはわからない。　この問題点とは別の「隙」を狙い、不正アクセスされた可能性もある。

ただ、少なくともセブンアプリの ID 連携には重大な問題があり、不正利用被害とは別に、個人情報が不正行為者にさらされる危険があった。　セブンペイの不正アクセスではこれまで、本人確認システムの甘さなどの問題に焦点が当たってきた。　しかし今回の個人情報漏洩の問題では、セブン HD 傘下の各企業で共通の 7iD との連携にも問題があったことがわかった。　7iD の会員数は 1,500 万人超（5 月時点）とされ、セブンペイの登録者約 150 万人よりはるかに多い。　セブン側は「今のところ情報漏洩の形跡はない（広報」）と説明している。

対応の遅れ深刻

この問題点については、セブンペイでの不正アクセスが表面化した 3 日時点で、IT 専門家らがセブンアプリのシステムを解析し、問題点を指摘していた。　4 日にセブン HD が記者会見でセブンペイの新規登録の中止などを発表した際には、ネット上などでは「7iD も停止すべきだ」との声が多く出ていた。　しかしセブンはそうした対応はせず、会見から 1 週間もたった 11 日、アプリの脆弱性を認めたうえで、ID 連携の中止を公表した。　1 週間の間、個人情報が不正行為者に漏れる危険が続いていたことになる。

国際大学 GLOCOM 客員研究員の楠正憲氏は「ID 連携の停止は本来、４ 日のセブンペイの記者会見前にやるべきものだった」とセブン側の対応の遅れを批判する。 (栗林史子、asahi = 7-13-19)

セブンペイ不正、新たに中国籍の学生逮捕　窃盗の疑い

セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」が不正に買い物に使われ、中国籍の男 2 人が逮捕された事件で、警視庁は 12 日、中国籍の専門学校生の女 (21) = 東京都豊島区巣鴨 5 丁目 = を窃盗の疑いで新たに逮捕し、発表した。

女は兪慧霊容疑者。 組織犯罪対策特別捜査隊によると、4 日午後 10 時 - 5 日午前 0 時 50 分ごろ、アルバイト先の東京都千代田区の店舗で勤務中、都内の 40 代男性らの名義のセブンペイを使い、電子たばこ 50 個や化粧品など計約 3 万 2 千円分を決済し、盗んだ疑いがある。　「中国人の友達から SNS で ID とパスワードを聞いた。　『お金をあげるからたばこを買うのを手伝って』と言われた」と供述しているという。　男 2 人が逮捕された別の店舗の事件でも同じ SNS を通じて ID などが伝えられており、警視庁が解明を進めている。 (asahi = 7-12-19)

セブンペイ、2 段階認証を導入へ　会見一夜明け一転対策

コンビニ最大手・セブン-イレブンのスマートフォン決済「7pay （セブンペイ）」の不正アクセス問題で、セブン & アイ・ホールディングス (HD) は 5 日、他のスマホ決済事業者がすでに採り入れている「2 段階認証」の導入や、チャージ（入金）上限額の見直しなどを今後行うと発表した。　セブンペイの運営会社セブン・ペイの小林強社長は 4 日の会見で、2 段階認証を導入していなかった理由について、他社のような専用アプリではなく、既存のセブン-イレブンアプリに決済機能を追加する形でセブンペイを導入したためと説明。　「2 段階うんぬんと同じ土俵で比べられるのか、認識していない」と述べていた。　一夜明け、一転して対策に乗りだした形だ。

2 段階認証を導入する理由について、セブン HD の広報担当者は「そこが課題であると認識し、セキュリティーを強化することにした」と説明。　一方で不正アクセスを受けた原因については「まだ断定できていない」とした。　セブン HD は原因分析とセキュリティー対策の強化のための新組織も 5 日に立ち上げた。　総責任者にはセブン HD の後藤克弘副社長が、プロジェクトリーダーにはセブン・ペイの小林社長らが就く。　今後安全対策を検討し、不正防止対策を講じるという。

今回の問題で、経済産業省はセブンペイが 2 段階認証を使っていなかったことを問題視していた。　同省は 10 月の消費増税に合わせ、現金を使わないキャッシュレス決済への 5% （大手チェーンは 2%）分のポイント還元策を始める。　参加する決済事業者の登録を始めているが、セブン側が再発防止を徹底できていないと判断した場合、セブンペイのポイント還元への参加を認めない方針だった。

3 月にキャッシュレス決済の業界団体が策定した技術仕様の統一ガイドラインでは、「不正利用を未然に防止するため対策を行うこと」が重要だと定めている。　経産省は、セブンペイが 2 段階認証を採用せずに十分な安全対策を行わず、ガイドラインを逸脱したとみていた。　4 日に会見したばかりのセブンが、5 日夜になって新たな対策の導入方針を示したのは、経産省の厳しい姿勢も受けたものとみられる。　セブン HD 広報は「経産省の声は真摯に受け止めている。　その上で今回の対応は自主的にまとめた。」としている。

不正利用の原因について、セブン側は「調査中」としてまだ明らかにしていない。　4 日の会見で、セブン HD の清水健デジタル戦略部シニアオフィサーは、「サービス開始前にセキュリティー審査をきちんとやっている。　脆弱性は指摘されておらず、確認したうえでスタートした。」と強調していた。 (栗林史子、土居新平、asahi = 7-5-19)

セブンペイ不正、国際犯罪組織が関与か　ID や PW 指示

東京都新宿区のセブン-イレブンで他人名義のスマートフォン決済「7pay （セブンペイ）」を使い、電子たばこを購入しようとしたとして警視庁に逮捕された中国籍の男 (22) が、同店を含む 3 店で計約 2 千個分（約 100 万円相当）を不正に決済していたとみられることが捜査関係者への取材でわかった。　「SNS で知り合った指示役に 1 カートン（10 個）あたり 300 円の報酬を示された」と供述しているという。

セブンペイには中国などから不正アクセスを受けた形跡が確認されており、流出した可能性がある ID やパスワードが指示役から伝えられていたという。　警視庁は国際的な犯罪組織が関与しているとみて調べる。　男は住所、職業不詳のジャン・ション容疑者。　新宿署によると、セブン-イレブン西武新宿店で 3 日、都内の 40 代男性名義のセブンペイを使い、電子たばこ 400 個（20 万円相当）を買おうとした疑いがある。　中国籍で住所不詳の自称学生ワン・ユンフェイ容疑者 (25) とともに詐欺未遂容疑で 4 日に逮捕された。

捜査関係者によると、ジャン容疑者は、3 日午前に近くの別の店舗で 300 - 400 個分をセブンペイで決済した後、「もっと買いたい」と言って西武新宿店を案内してもらった、と説明。　同店で逮捕容疑を含む 1,460 個分（73 万円相当）、さらに別の店舗でも 190 個分（9 万 5 千円相当）の決済が確認されたという。　ワン容疑者は同日午後 2 時ごろ、近くのファストフード店でジャン容疑者と初めて会ったという。　SNS で指示役から「日当 1 万 5 千円」を提示されており、2 人で決済済みの電子たばこを各店に受け取りに行ったが、西武新宿店が通報。　ワン容疑者の車からは領収書とともに 190 個が見つかったという。 (asahi = 7-5-19)

セブンペイ、踏み切らない利用停止　社長「利便性ある」

セブン-イレブンが満を持して 1 日に始めたスマホ決済「セブンペイ」。　多額の不正利用の被害が判明し、開始わずか 4 日目で新規登録の停止に追い込まれた。　なぜ不正アクセスを許したのか。　システムに問題はないのか。　セブン側は原因を「調査中」として明らかにせず、利用者は不安を抱えたままだ。　拡大しつつあったスマホ決済は、コンビニ最大手が起こした不正アクセス問題で冷や水を浴びせられた。

4 日午後、東京都内で記者会見したセブン & アイ・ホールディングス (HD) の清水健デジタル戦略部シニアオフィサーは、「サービス開始前にセキュリティー審査をきちんとやっている。　脆弱性は指摘されておらず、確認したうえでスタートした。」と、何度も強調した。　ではなぜ、不正アクセスの被害が出たのか。　システムの安全対策に不備があったかどうかについて、清水氏は「システムに不備があったのか、違うところなのかも調査している。」　中国など海外からの不正アクセスが当初は目立ったという。　早期のサービス再開を目指すというが、原因については「調査中」と繰り返すばかりだった。

4 日午前 6 時時点で、不正アクセスの被害を受けた利用者は推計で約 900 人、被害額は約 5,500 万円にのぼる。　これはセブンの「試算」だ。　セブンペイの登録者数は約 150 万人で、被害がさらに増える可能性がある。　初めて利用者からセブンに被害の報告があったのは 2 日夕だった。　その後被害が相次ぎ、セブンは 3 日午後に不正被害を公表。　クレジットカードやデビットカードからのチャージ（入金）を停止した。　その後もネットなどで被害を訴える声が高まり、4 日午後に、レジや ATM からも含めて全面的に入金を停止。　新規登録も止めた。

なぜ不正被害の一報から入金や登録の停止まで 2 日間かかったのか。　運営会社セブン・ペイの小林強社長は「海外からのアクセス遮断など順次対応しており、それほど遅くなったとの認識はない」とする。　すでに登録した人が入金済みの額を使うことはできる。　それを使い切れば入金はできなくなり、当面はセブンペイのサービスは事実上停止することになる。

ただ、登録済みの人が入金済みのお金を不正に使われる可能性は残っている。　なぜサービスの全面停止に踏み切らないのか。　小林氏は「多額な不正が相当減っているというのは具体的事実として判明している」と述べ、全面停止をしないことが顧客の利便性にかなうとした。　被害に遭った利用者に対しては「全ての被害に対して補償をする」とした。　電話での相談を受け付けているほか、被害を受けた利用者が特定されれば、セブン側からも連絡する。 (土居新平、神沢和敬)

2 段階認証・パスワード再設定 … 指摘される問題点

静岡県の男性 (58) は、2 日にセブンペイに登録した直後の 3 日朝、クレジットカードから知らぬ間に計 19 万円がチャージされていることに気づいた。　自分でチャージした 5 千円を含む計 19 万 5 千円全額が、都内のセブン-イレブンで不正に使われていた。　3 日時点はセブン側は自分でチャージした分の補償には難色を示したという。　男性は「あせってセブンペイを始めて、システムに抜けや漏れがあったのではないか。」　「最大手の看板に飛びついた自分も悪かった」と話した。

セブン側は原因を説明しておらず、不正アクセスの詳細はわからない。　ただ今回の不正アクセスは、セブンペイが他の事業者と本人認証の方法が違うことが背景にあるとの指摘がある。　バーコードや QR コードをレジで読み取るスマホ決済では、一般的に会員登録の際、スマホの電話番号にショートメッセージ (SMS) で事業者が送った数字を利用者に入力してもらい、なりすましを防ぐ仕組みがある。　「2 段階（2 要素）認証」と呼ばれる方法で、セブンペイと同じ 1 日に始めたファミリーマートの「ファミペイ」もこの方法だ。

セブンペイはこの認証方法を導入していない。　セブン・ペイの小林社長はその理由について、他社のような専用アプリではなく、既存のセブン-イレブンアプリに決済機能を追加する形でセブンペイを導入したためと説明した。　「2 段階うんぬんと同じ土俵で比べられるのか、認識していない」と述べ、2 段階認証が不正の理由かどうかには言及しなかった。　専門家からは、パスワードの再設定でも問題が指摘されている。　パスワードを忘れるなどして再設定する際、一般的には登録したメールアドレスに再設定メールが送られるが、セブンでは送付先のアドレスを別に設定することもできた。　第三者が自分のメールに再設定メールを送り、パスワードを変更できてしまう。

セブン側は「あらゆるサービスについて最終的な安全性を確認したうえで始めた（セブン & アイ HD の清水氏）」とし、セキュリティー上の問題は認めなかった。　ただ IT 大手 DeNA のセキュリティー部に所属する松本隆氏は「今回のことで、セブン ID の仕様の問題点が広く知られてしまった。　パスワードの再設定が原因でなかったとしても、今回と違った悪用で被害が拡大する可能性がある。　早急にセキュリティーを強化するべきでは。」と指摘する。

早々につまずいた「安心感が強み」

セブンペイが始まった 1 日、セブン-イレブン・ジャパンの永松文彦社長は「流通系のスマホ決済では初めての参入で、お客様から見ての安心感が我々の強みだ」と語っていた。　しかし開始早々に大きくつまずいた。　スマホ決済は、ソフトバンク・ヤフー系の「PayPay （ペイペイ）」や「LINE Pay （ペイ）」が多額を投じた還元キャンペーンで利用が急増。　NTT ドコモなど携帯電話会社も参入し、7 月からはセブンとファミマも加わり、さらに普及するとみられていた。

セブンは、セブンペイと同時に他社のスマホ決済もコンビニで利用できるようにした。　ペイペイ、LINE ペイ、メルペイの 3 社が合同キャンペーンでもり立てる最中の不正アクセス問題は、スマホ決済全体への信用を揺るがしかねない。　ある決済事業の関係者は「これから使い始めようとしていた人に影響が出る」とため息をつく。　スマホ決済での不正をめぐっては、ペイペイで昨年 12 月、クレジットカードの不正利用が多発した。　安全強化策として、今年 2 月までに 3 回にわたり利用限度額を引き下げた。　「一発で高額を稼げる抜け穴が狙われる。　利用限度額を下げるのが最も効果的（同社）」という。

LINE ペイは、専用のパスワード設定やカード情報の暗号化などでセキュリティーを強化。　利用者には、本人認証がより厳密な銀行口座接続や、身分証を提示してネット上で完結する本人確認 (eKYC) を強く促している。 (村井七緒子、長橋亮文、asahi = 7-4-19)

7pay、新規登録を停止　不正相次ぐ、全被害補償へ

セブン & アイ・ホールディングス (HD) は、コンビニ最大手のセブン-イレブンで 1 日から始めた独自のスマートフォン決済「7pay （セブンペイ）」について、利用者の一部が不正アクセスの被害に遭ったことを受け、セブンペイの新規登録を停止すると発表した。　クレジットカードやデビットカード、店頭や ATM でのチャージ（入金）も停止する。　すでにチャージ済みの金額は利用できる。

不正の被害は 4 日午前 6 時時点の試算で、計約 900 人、約 5,500 万円。　不正の被害については「全ての被害に対して補償を行う」としている。　問い合わせは、お客様サポートセンター緊急ダイヤル（0120・192・044、24 時間受け付け）へ。　4 日午後に記者会見したサービス運営会社セブン・ペイの小林強社長は「被害に遭ったお客様に深くおわび申し上げます。　セブンペイを利用してくださっているお客様、関係者に多大なるご迷惑ご心配をおかけしたことをおわび申し上げます」と謝罪した。

セブンペイでは、利用者が見知らぬ第三者の不正利用の被害に遭う事例が相次いでいる。　セブン・ペイは 3 日に不正被害の発生を公表したが、その後もネット上では被害を訴える声が相次いだ。　朝日新聞の取材に応じた静岡県の宿泊業の男性 (58) は、19 万 5 千円を勝手に使われる被害に遭ったという。　男性は今月 2 日にセブンペイをスマートフォンで利用登録し、自分のクレジットカード情報を入力。　まず自分で 5 千円分をスマホアプリにチャージ（入金）した。

ところが翌 3 日朝、知らない間に 6 回にわたって、計 19 万円分がチャージされ、都内の店で 2 回、計 19 万 5 千円分が全額使われたことに気づいた。　男性はこの間ずっと静岡県内におり、第三者が不正に都内で使ったとみられる。　男性はクレジットカードなどでは不正に備え、複数の ID とパスワードを組み合わせて使い分けてきた。　被害に関し、セブン・ペイの窓口に問い合わせたところ、不正にチャージされた 19 万円分については「対応を検討している」とされたが、自分でチャージした 5 千円分については「補償は難しい」と言われたという。　同時にアプリの利用は停止した。

別の千葉県内の男性 (53) は、クレジットカードから 7 万 5 千円分を不正にチャージされた。　チャージされた分はまだ使われてはいないが、意に反したチャージなので取り消すように求めているという。　男性はセブン・ペイの窓口に問い合わせたところ、「返金には警察署に行って被害届を出した上で、その受理番号が必要」の一点張りだったという。　男性は「すぐに返金手続きをとらないのは疑問だ。　甘いシステムを、このタイミングで提供するのはあまりにおかしい。」と話す。

セブン & アイ HD 広報によると、一連の不正被害は 3 日朝、顧客からの問い合わせで発覚。　本人がチャージしていないのに、「チャージした」との通知やメールが届いたというケースが相次いだ。　他人が顧客のアカウントを使って不正にチャージし、そのまま買い物に使った可能性がある。　警視庁によると、セブン・ペイ側から 4 日に被害相談があった。　各警察署にも、不正利用の被害にあったという人々からの相談が数件寄せられているという。　今後、被害に至った経緯など詳しく事情を聴く方針だ。 (長橋亮文、神沢和敬、大和田武士、稲垣千駿、asahi = 7-4-19)

7pay クレジットカード不正利用 : 第三者乗っ取りがあり得る致命的な 2 つの弱点

セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。　まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。　メールアドレス・生年月日・電話番号がわかれば、第三者が　7pay　のセブンイレブンアプリのパスワードを変更できることが判明したのです。　さらに SMS 認証など 2 つ目の認証がないため、第三者が乗っ取ることも可能になります。

7 月 3 日早朝から、セブンイレブンの 7pay でクレジットカード不正利用の被害が出ています。　Twitter で複数の人が報告しているもので、3 日午前中にはセブンイレブンも注意喚起を出しました。　クレジットカードからのチャージは止めていますが、決済機能自体は生きています。　現時点では原因は発表されていません。　パスワードリスト攻撃（流出しているパスワードのリストで攻撃するもの）とも思われましたが、Twitter での被害報告では「パスワードは使い回さず独自のものにしていた」という人もいるため、別の原因も考えられそうです。

ここで 1 つの穴が発見されました。　それは 7pay のアプリ（セブンイレブンアプリ）は「メールアドレス・生年月日・電話番号」がわかると、パスワードリセットができ、かつ別の端末から第三者が乗っ取ることができるという穴です。　これは Twitter の shao (Sho SAWADA) 氏が指摘しているもので、パスワードリセットを別のメールアドレスからできてしまうという穴です。　ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。

7pay の一件は「既に利用しているユーザが他人に不正にチャージされて買い物された」という事象なのに、運営はチャージだけ止めて買い物は引き続き可能にしてる。　買い物できるということはセッションを奪われたという話なので、買い物含めて全部止めないと被害が拡大するのです。 (三上洋、Yahoo! = 7-4-19)