今月１日に始まったセブン－イレブンのスマートフォン決済サービス「７ｐａｙ（セブンペイ）」の不正使用事件で、不正決済が疑われる被害が東京都内の複数店舗で確認され、いずれも電子たばこカートリッジのみが購入されていたことが１１日、捜査関係者への取材で分かった。詐欺未遂容疑で中国人の男２人が逮捕されてから１週間。警視庁は大量購入者や犯行グループの転売ルートについて重点捜査を進めている。

　捜査関係者によると、セブン側からの情報提供を基に都内の複数の店舗の販売データを確認したところ、大量の電子たばこカートリッジの購入が相次いでいたことが判明。他の商品の不正決済は確認されておらず、防犯カメラ画像から購入者の特定を急いでいる。

　新宿区歌舞伎町の店舗でたばこを購入しようとして４日に詐欺未遂容疑で逮捕された中国籍の張升（ジャンション）容疑者（２２）も指示役からたばこの購入を依頼されており、サービス開始に合わせ同時多発的に大量購入の指示が出ていたとみられる。

　ワン・ユンフェイ容疑者（２５）は張容疑者を車に乗せて運ぶよう指示を受けたと供述。警視庁は１１日、八王子市内のワン容疑者の自宅マンションを家宅捜索。２人は中国の無料通信アプリ「微信（ウィーチャット）」で指示役と中国語で連絡を取り合っており、警視庁は詳細な指示内容の解明に向け、やりとりの翻訳作業を進めている。

■転売ルート

　警視庁は、犯行グループがコンビニエンスストアで大量購入しても怪しまれず、持ち運びが容易なカートリッジを対象にしたとの見方を強めている。

　コンビニの高額商品にはインターネット通販サイトのギフトカードがあり、数万円分の購入が可能だが、特殊詐欺犯が被害者に大量購入させるケースが相次いでいる。このため犯行グループは、店側に疑われて詐取が露見するリスクが高まると考え、１箱５００円程度のカートリッジを選んだ可能性があるという。

　埼玉県内のコンビニでも１、２月、電子たばこカートリッジの詐取事件が頻発。県警はＮＴＴドコモのスマートフォン決済サービス「ｄ払い」の不正決済によるカートリッジ詐欺容疑で中国人の男女３人を逮捕したが、県内では３００カートン以上の被害が確認された。警視庁は中国人による転売ルートが確立しているとみて捜査している。

■使い回しＩＤから入手か

　今回の事件では、ハッカーによる情報入手のほか、指示、購入、運搬など役割を分担した中国のサイバー犯罪組織の関与が疑われている。

　情報セキュリティー会社ラックの仲上竜太サイバー・グリッド研究所長は、不正使用されたＩＤやパスワードが、通常検索ではたどり着けない匿名性の高いネット空間「ダークウェブ」で入手された可能性を指摘する。

　仲上所長は「ダークウェブには企業から漏洩（ろうえい）した個人情報リストが公開されており、そこから入手するのが早道だ。ＩＤとパスワードを入手後、セブン側にネット上で『リスト型攻撃』を加え、セブンペイで実際に使えるかどうか確認作業を進めたのだろう」と分析する。

　リスト型攻撃は専用ツールを使い、乗っ取りを狙うサービスに繰り返し入力することで、入手したリストから不正ログインが可能なＩＤやパスワードを探し当てる手法だ。

　「高度なハッキングスキルは不要で、サイバー犯罪でよく使われる」（仲上所長）といい、複数のサービスでＩＤとパスワードを使い回している場合には、犯行グループが利用者になりすまして悪用することが可能になる。

　ネット上での電子決済では、ログイン時に携帯番号にショートメッセージを届け、メッセージに記載した数字を入力させる「２段階認証」がなりすまし対策とされる。しかし、セブンペイの利用登録は２段階認証を採用していなかった。

　同業他社からは「他人のスマホから登録や変更ができてしまう」と対策の甘さを指摘する声が上がり、セブン側は事件後、２段階認証の導入方針を発表した。

　また、セブンペイは「セブン－イレブンアプリ」に追加された一機能だが、セブンペイの運営はアプリとは別会社が担当。会社間で権限が分散した組織構造に死角があったとみられている。（産経新聞）