セブン&アイ・ホールディングスは8月1日に記者会見を開催し、7月初旬のサービス開始直後に問題を起こして新規登録とチャージ機能を停止していた「7pay」について、9月いっぱいでのサービス終了を発表した。
筆者はあいにく8月1日から2日にかけて、同日スタートしたばかりの「JPQR」取材で和歌山県内を移動中であり、会見自体には参加できなかったが、会見全体の流れや要点は弊誌での長文レポートを参照してほしい。すでに終了が予告されたサービスではあるものの、本稿では「7payが何を目指していたのか」「7pay終了によって何が起きるのか」の2点について簡単にまとめたい。
本丸を守る行動
7pay提供にあたって2018年に「セブン・ペイ」という専門会社が設立されたことからわかるように、セブン&アイグループ全体の中核で「決済」を担う部門としてセブン・ペイは設立され、その代表的サービスとなるべく7payの開発は進められた。
一部で7payにつながる流れができたのは2016年という話があったが、筆者が確認している範囲だと、7pay自体の開発がスタートしたのはセブン・ペイ設立と2016年の間だとみられる。
当初は文字通り「セブン&アイ」の中核に位置して決済を司るサービスを目指しており、オンラインからリアル店舗まで、オムニチャネルを包含して決済を可能にする「アプリ」だったようだ。
だが一方で、多くが知るように実際にリリースされた7payは「アプリ」ではなく、「セブン-イレブンアプリ」にアドオン的に追加された「機能」の形態だった。仕組み的にはセブン-イレブンアプリ上で決済が必要になった場合に呼び出す「Webアプリ」のようなもので、いわゆるモバイルアプリではない。
なぜこのような形態になったのかといえば、一部でも報道があるが「技術的問題」と「スケジュール的問題」に起因する。
当初は単体で決済が可能な「アプリ」として7payをリリースし、そのまま店頭の決済に使ってもいいし、必要に応じて「セブン-イレブンアプリ」のような別のアプリから決済時だけ呼び出してもいい。セブン&アイでは多数のグループ企業を抱えており、それらが個別にモバイルアプリを提供している。それぞれのアプリから決済が必要なときに7payの「アプリ」を呼び出して、適時切り替えていけばいいという発想なのだろう。
これらグループ企業のオンラインサイトは「オムニ7(Omni7)」の名称でセブン&アイHDが運営するサービスで束ねられており、7payとはつまり一連のエコシステムにおける「決済」を司るピースというわけだ。
ただし、このアプリ間を遷移して安全に決済する仕組みの実現が技術的に難易度が高かったこと、そして10月1日のポイント還元施策に間に合わせるための7月1日という絶対的なデッドラインの存在が開発を困難にし、あくまでアドオン形態でのリリースとなった。
とはいえ、セブン・ペイ側でももう少し目標に近い形でのリリースを行いたかったようだ。実際、7月4日にサービスを一部停止しても内部改良を進めており、不正被害に気付けずユーザーの指摘で初めて問題を認識した部分への技術的対処を行ったり、モバイルアプリで問題となっていた外部IDアクセスを遮断して修正に踏み切るなど、少なくとも7月中旬ごろまでは何らかの対策を施してサービス再開に結びつけようと動いていたことは確認できている。
7pay終了をどのタイミングで決断したかは不明だが、比較的直前まで10月に合わせて「アプリ」版リリースの計画が存在していたとみられることからも、同社としては決断のその直前までサービスのセキュリティ対応を進めていたとみて間違いないだろう。
だが最終的に「セブン&アイHD」は7payを切る決断をした。理由はいくつか考えられるが、1つはキャッシュレス政策の推進元であり、ポイント還元施策の仕切り役でもある経済産業省からのプレッシャーがあったこと、そして事件の本丸にあたる「7iD」ならびに「オムニ7」側に追求の手が伸び始めたからだ。
筆者の推測で、おそらく大きな理由は後者にある。7月中旬ごろから7iDにまつわる各種問題がクローズアップされるようになり、7payという決済サービスだけではなく7iDにも疑義の目が向けられるようになった。
記者会見では不正利用の原因が「リスト型攻撃」によるものと断定していたが、以前の記事でも触れたようにリスト型攻撃では攻略しにくい相手であっても被害に遭っており、さらには「チャージパスワード」が解析された理由にいたってはそもそも会見で説明されていない。セキュリティ対応で監査を行った企業名も伏せられており、具体的なレポートも公開されていない現状で、「7payを素早く切ることで7iD、ひいてはオムニ7へのさらなる追求をかわしたい」という感想を抱いてもおかしくない。
実際、すでに存在していた7iDはともかく、サービス開始直後に別システムとして存在する開発したばかりの7payのチャージ機構が悪用されるという事態はそれそのものが大きな問題であり、技術的に考えても納得できるものではない。
未解決の問題
とはいえ、すでに終了宣言の出されたサービスに対し、そのものの話題をこれ以上追求するのは難しい。セブン&アイにも「7payの(現状からの)復活」という思考はすでになく、その後始末を巡る問題が目の前に迫っており、その対処に追われるからだ。
1つは利用者ならびに被害者への補償で、前者については個別の返金対応、後者についてはカード会社との交渉の末での返金対応だ。すでにチャージした金額の個別返金はそこまで難易度が高くないが、カード会社との折衝はまだ続くとみられる。筆者がBusiness Insider誌で各社へのアンケート結果をまとめているが、カード引き落とし期限が迫るなかでカード会社は引き落としのストップを優先したとみられる。
ただ、このアンケート記事でも触れているように、異常を検知して早めに不正利用をストップしたカード会社もあれば、限度額近くまで一気に利用を可能にしてしまったケースもある。おそらく揉めるのは後者のケースで、セブンとカード会社で補償比率が必ずしも10:0にはならないのではないかと予想している(実際、30万円の被害額のケースではセブンとの交渉が進んでいない可能性があるという情報がある)。
今回7payでは登録可能なカードはオンアス(on-us)と呼ばれる形式でカードブランドではなくカード会社を直に指定する方式を選んでいるが、ある情報源によれば、オンアス形式では国際ブランドのルールではなく、カード会社と加盟店(この場合はセブン)での直契約における補償規約に準拠するとのことで、引き落としがストップされても補償額自体は2社の交渉が今後も続く可能性があるという。それに、そもそもセブン・ペイ側から被害者への直接の謝罪と事情説明はまだ行われていない。
次に7pay開発に参加したベンダーとの支払いや補償交渉だ。個別契約であり筆者が関知するものではないが、「7月1日に7payがリリースされるまでの開発費」「問題が発覚して以降の事後対応(主にセキュリティ関連)と将来の開発計画のキャンセル対応」「7payで発生した不正利用被害における補償や賠償」の3点について話し合いが行われると思われる。工期短縮などの無理な対応も、今後のセブン&アイという大口顧客との関係を重視してベンダー側は受け入れてきたと考えられるが、全体の開発案件自体が縮小するとなれば話は別かもしれない。
そして、最も大きいと思われるのが、残された「7iD」と「オムニ7」のリブートだ。強引な全パスワード強制リセットをかけた時点で「7pay」を切ることは決断されていたと思うが、これは同時に「7iD」と「オムニ7」をなんとしてでも立ち直らせて、グループ戦略の中核に据えることを再確認したのだと筆者は認識する。
セブン&アイでは「将来的な決済市場への再参入」もにじませているが、少なくとも現状の不透明感残るセキュリティ体制や問題への認識では市場に受け入れられることはないだろう。また「『7iD』と『オムニ7』は安全である」ということを世間に改めてアピールし、今後も利用を促したいと考えているだろうが、実際にどこまで受け入れられるだろうか。
筆者が最も恐れるシナリオは、現状の認識のまま「7iD」と「オムニ7」の運用を続け、さらに大きな問題を引き起こすことだ。おそらく7payのような事件はもう当面ないと考えるが、この事件では攻撃ルートを含めて解明されていない事情がまだあり、攻撃者は「次の大きなチャンス」を狙って潜伏している可能性が残っているからだ。継ぎ接ぎだらけの対応では、想定しない問題が発生する可能性もある。このあたりを認識しつつ、セブン&アイHDにはシステムの運用を安全に行ってほしい。
【関連記事】