2019年7月、突如として幕を閉じた「セブンペイ」。サービス開始からわずか1か月後、800人超・約4,000万円が第三者に奪われ、その後9月に公式廃止という異常なスピード感で歴史の闇へと消えて行きました。

「誰も覚えていない」「古い話」「今更触れる必要あるの？」—— そんな声すら聞こえてきそうです。しかし、それこそがこの事件を今再び掘り起こす最大の理由。環境が変わり、技術が進む中、もはや「やってはいけないこと」が“当たり前”になりつつある今だからこそ、過去の痛烈な失敗にこそ耳を傾けるべきなんです。

“瞬間蒸発”の全貌 – セブンペイ事件を振り返る

サービス開始から崩壊までの、たった“30日間”

まさに“光速”とも言える一連の展開。キャッシュレス隆盛期、その波に乗るはずが――結果的には「失敗の見本市」のようなありさまでした。

なぜこんなことが起きたのか？システム設計とガバナンスの崩壊

パスワード＆認証設計の見るも無残な甘さ

• ID乗っ取りが“公式に”可能だった
  　7iDでIDや生年月日のみでパスワード変更可能。しかも初期値として省略可で“0000”など定番値を使えば誰でも乗っ取れた。
• 二段階認証も多要素認証も未実装
  　「利便性優先」の名の下で、セキュリティの最低限すら手薄に。記者会見でも社長が「二段階認証？何それ？」と返す始末。
• ソーシャルログオンのミス実装
  　FacebookやGoogle連携の裏で、認証トークンを正しくチェックせず“なりすましの温床”に。

ガバナンスと危機管理の根本的欠落

• 経営陣のIT＆セキュリティ無知
  　記者会見での醜態から、「技術に疎いなら裏に技術担当を出せ」という声すら。
• 外注と開発工程が常に逼迫状態
  　開発会社やシステム変更が頻発し、セキュリティ検査が“やっただけ”になっていた。
• 表層対応で事態ごまかし
  　「セキュリティ診断はしており、脆弱性はなかった」と断言しながら、その根拠は曖昧。

怖の“リスト型攻撃”：パスワード使い回しが全てを壊す

• リスト型攻撃とは
  　他社から流出したID/PWリストを使って、別サービスへの不正ログインを試みる攻撃。使い回しユーザーがカモになる。
• ブーストフォン、パスワードスプレーも蔓延
  　強固とは言い難いパスワードを狙う攻撃手法。セブンペイの無策体質を一気に露呈 。
• OTPがあれば全防御？
  　Googleなどでも、多要素認証はリスト攻撃への最終防壁。7payも導入願望はあったが、遅すぎた

”安全性確保された”と言っていたのに、まさかこんな簡単に

記者会見で社長含む経営陣は、「事前にセキュリティ診断を繰り返し行った。問題はなかった」と述べながら、その診断範囲や手法は不明瞭 。

まるで「飲酒運転しながら、飲酒検知済なので安全だった」と言い訳するような矛盾ぶり。そこには、ITもセキュリティも“理解できない人間”がシステムを動かす恐ろしさが如実に示されていました。

今、再び語るべき理由とは？現代セキュリティへの示唆

① 多要素認証（MFA）は“もはや義務”に

当時は「任意」で済まされたが、今は「義務」と言っても過言ではありません。「何かあってから導入」では手遅れです。

② ガバナンス抜きのIT開発はただの“幻想”

経営陣の無理解や外注主導の無秩序では、セキュリティ設計は意味をなさない。CISO設置やレビュープロセスの強化は常識です。

③ クラウド／API誤設定は今も蔓延中

7payと同様、構成ミスや認証チェックの不備は決済に限らず広範囲で蔓延。現代のクラウド前提アーキテクチャでも、穴だらけです。

“今だからこそ心に突き刺さる”7payの教訓

• サービスインの優先が、何より危うい
• ユーザー教育ではなく、設計主義
• 社長が知らないセキュリティは、無責任と言われても仕方ない
• “診断した”だけではなく“どう診断した？”が問われる

これらの反省点は、2025年現在、AI連携・IoT決済・マルチクラウド利用といった進化の中でも色褪せない痛みを伴った警鐘です。

恐ろしく、しかし目を逸らしてはいけない現実

セブンペイの失敗は、キャッシュレス社会における“利便性依存”の危うさを赤裸々に示しました。
目を引くのは被害額や騒動の派手さではなく、その裏にあった「誰も責任を持たなかった設計」「知識がないまま始めたデジタル化」という、現実の脆さです。

それは単なる過去の出来事ではなく、今この瞬間にも私たちが直面する可能性のある「教訓の塊」です。
恐ろしい話ですが、だからこそ目を背けてはいけない。
そして、同じ轍を踏まぬように、今この瞬間から行動することが、我々の責任です。