전자화폐 nanaco(나나코)를 거의 10년 써오고 있습니다. 매달 5,000엔정도는 충전(charge, チャージ)를 합니다.
100엔의 이용에 1포인트가 쌓이고, 각종 할인도 많고, 세븐일레븐(7-Eleven, セブン-イレブン)의 세븐카페(セブンカフェ) 커피를 좋아해서 애용하고 있습니다. 카드가 많이 낡았네요.
이렇게 잘 써오고 있었는데 세븐일레븐(7-Eleven, セブン-イレブン)에서 갑자기 7pay(세븐페이) 서비스개시를 발표합니다. 세븐일레븐(7-Eleven, セブン-イレブン)의 앱 내에서 바코드로 결제할 수 있는 전자화폐입니다.
기존의 nanaco(나나코)가 있는데 왜 새로 만드는지 이해가 되지 않았습니다만 7pay(세븐페이)를 안쓰면 되니 별로 관심을 두지 않았었는데 nanaco(나나코)의 포인트 환원률의 변동 발표를 합니다.
기존)
100엔 이용 -> 1포인트
변경)
200엔 이용 -> 1포인트
단순히 1%에서 0.5%도 줄어든 것이 아닙니다.
기존에 300엔 이용의 경우 3포인트이던 것이 1포인트로 1/3이 되는 경우도 생깁니다.
이때 부터 nanaco(나나코)이용에 대한 회의가 생겼었습니다.
'가지고 있는 라쿠텐(Rakuten, 楽天)의 Edy(에디)나 미쯔이스미토모은행(SMBC,三井住友銀行)의 iD(아이디)를 쓸까' 생각만 하고 실행은 하지 못하고 있었는데 보안문제를 해결하지 못하고 7pay(세븐페이)를 서비스개시 1개월만에 종료하는 세븐일레븐(7-Eleven, セブン-イレブン)의 관리체계를 보고 nanaco(나나코)이용 중지를 결심했습니다. 당장 충전(charge, チャージ)을 위해 등록해둔 신용카드정보를 삭제했습니다.
7pay(세븐페이)의 공식사이트에 서비스 종료와 그간의 상황, 앞으로의 대응에 대한 설명이 올라왔습니다.
7pay - セブン‐イレブンで使えるかんたんスマホ決済
0120-204-0140120-204-014 (24時間・年中無休)
www.7pay.co.jp
「7pay(セブンペイ)」 サービス廃止のお知らせと これまでの経緯、今後の対応に関する説明について
세븐페이 서비스 종료의 안내와 그간의 경위, 앞으로의 대응에 대한 설명
7 月 1 日(月) サービス開始(セブン‐イレブンアプリ上に搭載)
서비스 개시(세븐일레븐 앱에 기능추가)
7 月 2 日(火) お客様より「身に覚えのない取引があった」旨のお問合せをいただく
기억에 없는 거래가 있다는 문의 접수
7 月 3 日(水) 各社ホームページへ「重要なお知らせ」を掲載 海外 IP からのアクセスを遮断 クレジット/デビットカードからのチャージ利用を停止
홈페이지에 [중요알림]을 개제, 해외IP로부터의 접근 차단, 신용카드,직불카드에 의한 충전기능을 중지
7 月 4 日(木) 店舗レジ/セブン銀行 ATM からの現金チャージ利用を停止 新規会員登録を停止
점포 카운터 / 세븐은행ATM에서의 현금충전기능을 중지, 신규회원등록을 중지
7 月 5 日(金) 「セキュリティ対策プロジェクト」の設置
[보안대책프로젝트]를 설치
7 月 6 日(土) モニタリング体制の強化
모니터링체제의 강화
7 月 11 日(木) 外部 ID によるログイン停止
외부 ID에 의한 로그인기능중지
7 月 30 日(火) 7iD のパスワードリセットの実施
7iD의 패스워드 리셋 실시
8 月 1日(木) サービス廃止を決定
서비스 종료를 결정
9 月 30 日(月) サービス廃止(予定)
서비스 종료(예정)
경위를 보니 서비스 개시 하루만에 뚫렸네요. 실질적인 서비스는 이틀정도 였구요.
被害状況
808 人 / 38,615,473 円(7 月 31 日 17:00 現在)
※なお、7 月中旬以降、新たな被害は確認されておりません。
피해상황
808명 / 38,615,473엔 ( 4억원 정도)
7월중순이후 새로운 피해는 확인되지 않았습니다.
초기에 바로 문의를 한 고객의 도움으로 큰 피해없이 초기 대응은 한것 같습니다.
本事案については、捜査当局による捜査が引続き行われておりますが、外部情報セキュリティ 会社と連携した「セキュリティ対策プロジェクト」の調査では、今回の原因について、「攻撃者が どこかで不正に入手した ID・パスワードのリストを用い、7pay の利用者になりすましつつ、 不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」との 結論に至りました。
.....공격자가 어딘가에서 부정하게 입수한 ID,패스워드 리스트를 사용해 , 7pay의 이용자로 가장한 리스트형 해킹의 가능성이 높다고 결론을 내렸습니다.
一方で、同じく「セキュリティ対策プロジェクト」では、「現時点で、外部 ID 連携・パス ワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接 の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を 行ったが、明確な流出の痕跡は確認できない」との結果を取り纏めております。
...현시점에서 외부ID연계, 패스워드 찾기, 상담원에 의한 패스워드리셋등이 직접적인 원인은 발견하지 못했고, 내부 유출에 대해서도 조사를 했으나 유출의 흔적은 확인할 수 없었다....
ID,패스워드가 유출된 것이 원인인데 어디서 어떻게 유출된것인지 확인을 할 수 없으니 서비스 종료로 결론을 내린듯 합니다. 근본적인 원인으로 아래의 세가지를 이야기하고 있는데 뻔한 변명입니다.
1. 7pay에 관한 시스템상의 인증레벨
복수의 단말기로부터의 로그인을 어떻게 할지, 이중인증등의 추가 인증을 도입할지 검토는 했었으나 결국 도입하지 않은것이 문제가 되었다.
2. 7pay의 개발체제
그룹의 각회사가 참가했는데, 시스템전체적으로 최적화가 충분히 검증되지 않았다.
3. 7pay의 시스템리스트관리체제
기존의 검증시스템이 충분히 잘 작동하고 있었으나 추가적인 조치가 필요해 검증팀을 설치 추가적인 조치를 도모하려한다.
급하게 스케줄에 맞추려다보니 충분한 테스트, 검증없이 출시를 한 것 이겠지요.
정보 유출의 흔적을 확인 하지 못할 정도로 허술하게 개발된 것으로 생각됩니다.
다행이 아직 nanaco(나나코)가 뚫렸다는 뉴스는 없습니다.
예전에 알툴즈의 알패스가 뚫려서 모든 패스워드를 다 바꾸고, 엑셀로 관리하게된 이래, 보안문제로 가장 근접하게 다가온 사건입니다. 일본이 많이 허술해 졌습니다.
