【2019. 7. 05 】

日本7-11的資安風暴：超商電子支付「7pay」盜用風波

日本超商電子支付剛上路，立刻就被大量盜用？日本超商龍頭7-11今年7月正式推出「7pay」電子支付，上線後已有超過150萬用戶；就在這個日本超商新時代序幕的隔天，7pay陸續傳出帳戶遭盜用的災情。4日官方證實，安全系統被外部入侵，受害者約有900人、盜用金額超過5,500萬日圓（約新台幣1,600萬）。7pay官方隨即停用儲值功能以避免災情擴大，警方在4日晚間宣布，已循線逮捕2名涉案的中國籍嫌犯，但背後是否有組織指示？涉案與被害人數多少？目前仍在調查中。這起盜用風暴，卻已讓剛開打的日本超商電子支付戰，蒙上一層安全隱憂。

▌延伸閱讀：〈人力太少浪費太多：日本超商的「經營轉型」大作戰〉

「7pay」（セブンペイ）是由 7&I 控股（Seven & I Holding）在今年7月1日正式推出的超商電子支付服務，可於旗下超過2萬間的日本7-11超商使用。用戶透過7-11的App進行會員註冊後即可使用，並能夠綁定信用卡、消費金融卡或是實體店面現金等方式儲值。目前7pay共有約150萬名會員。

日本7-11終於推出電子支付服務，加上同時間競爭對手 FamilyMart 也推行「FamiPay」，被認為是日本超商邁向消費新時代的序幕。但沒想到7pay在1日上線後，就陸續傳出用戶帳號遭盜用消費的災情，更逼得7pay社長在4日下午出面召開記者會謝罪道歉。

「我的7pay突然自己儲值，然後被全部花光...」根據《NHK》報導，2日開始就有用戶出現「不明原因」的操作紀錄，綁定信用卡的7pay 帳戶被登入後儲值金額，並立即將金額消費完畢，金額從數萬日圓到數十萬都有。

截至4日上午，7pay官方統計至少有900人受害，盜用金額約5,500萬日圓（約新台幣1,600萬）。

7pay官方表示，最大一波受害災情在3日的晚間出現，為了避免盜用情形繼續擴大，已立即停止7pay的信用卡儲值功能，同時暫停新會員用戶註冊。4日下午，7pay社長小林強召開緊急記者會，針對使用安全問題向社會大眾「謝罪道歉」。

雖然小林強在記者會上承諾，公司將會對系統安全漏洞負起責任，並針對受害用戶全額賠償；然而小林強會中對於記者的資安細節提問，卻呈現「狀況外」的反應，讓輿論感到十分詫異。

由於在這次盜用事件中，標榜「簡單操作、輕鬆登入」的7pay系統，在用戶密碼查詢時缺乏雙重步驟的驗證機制（例如需要註冊的手機電話驗證），只需要填入用戶email和生日即可，其中幾乎毫無防範機制的部分是：7pay用戶註冊時，生日會被系統預設為2019年1月1日且可以不必更改，而查詢密碼還可以填入另一個email信箱來收取密碼，密碼輸入錯誤時也不會封鎖登入，讓嫌犯有機可乘。

當記者向小林強提問，為何7pay系統不採取「二階段認證」（雙重驗證步驟）、「SMS（簡訊）認證」時，小林強卻一臉疑惑回應：「......什麼是二階段認證？」

記者會上小林強表達對社會大眾和受害者的誠摯歉意，但從2日案發到3日的擴大，也有民眾認為7pay的反應似乎不夠機敏，沒在第一時間採取緊急安全措施。雖然官方承諾賠償，但後續資安問題如何修補、本次案件為何發生，小林強表示仍在調查研討當中。

7pay官方指出，盜用事件是遭受到海外IP的不法入侵，全案已交由警方調查偵辦。在4日晚間，警視廳發布新聞表示，已循線在新宿的歌舞伎町逮捕了2名涉案的中國籍人士，分別是22歲的張升、與25歲的王雲飛（音譯），兩人在3日遭警方逮捕，現已坦誠犯下7pay的非法盜用。

根據《共同社》報導，3日晚間張王二人前往歌舞伎的一間7-11消費，並以7pay購買了146箱的電子菸菸彈（cartridge），總計73萬日圓（約新台幣21萬），並向店員表示「因購買數量太多，稍晚再回來店面取貨」；但與此同時，遭盜用消費的其中一名7pay用戶收到不明消費紀錄後察覺有異，找到這間7-11後向店員通報，兩名嫌犯才在返回取貨時遭警察逮個正著。

被捕的張升向警方表示，自己是受他人指使犯案，指使者透過微博傳送多個7pay帳戶ID和密碼，來進行盜用消費。警方也在王雲飛的車中發現另外19箱的菸彈，研判可能還從其他7-11店鋪購貨，其目的是透過7pay購買高價品後轉手販賣，而電子菸補充用的菸彈就是目標之一；張升也表示，購買一盒菸彈的報酬是300日圓（約新台幣90元）。但背後還有多少人涉案？是否為組織犯罪？成員都是中國人？目前警方仍在調查當中。

事件風波至5日仍在輿論延燒，有民眾憂心這不只是7pay的問題，其他各家電子支付系統可能也存在安全漏洞。也有留日生活的中國人表示，擔心這起事件會讓在日中國人的形象觀感惡化，又貼上犯罪者的標籤。

然而對於甫上路的日本超商電子支付來說，7pay 事件確實造成不小的打擊。近年來日本超商因為嚴重的人力不足問題，如何經營轉型成為各家龍頭的苦思的難題。

之中除了取消24小時營業外，開始導入電子支付系統，也被認為是轉型的重要戰略，以期望降低人力負擔。過去日本的電子支付，消費習慣並不像中國那樣普及，在 7-11 以及Family 龍頭企業的領軍下，原本預設2019開始將會掀起新時代序幕、進入超商電子化的新戰國時代，7pay 也預計今年10月推出獨立的App、並投入近500億日圓的促銷廣告預算；如今發生資安風暴，也讓消費者和企業同樣面臨信心考驗。