日本7–11一夜改口，到底7Pay系統出了什麼問題？

章節目錄

4號，日本 7–11 獨自開發的行動支付系統（電子錢包）「7Pay」爆出資安危機，約有 900 多名 7Pay 用戶的帳號遭盜刷，背後疑似有跨國犯罪集團針對 7Pay設計上的缺失組織犯罪。（細節請參考前文《日本7–11行動支付上線不到一週就出包，背後疑似有跨國集團組織犯罪》）

本文將從 7Pay 遭組織盜刷事件，討論 7Pay 的資訊安全到底出了什麼問題。

電子商務分三種

以台灣為例，台灣的電子商務按法規可以分成：「電子票證」、「第三方支付」和「電子支付」等三種。

1. 電子票證

像悠遊卡、一卡通、icash 這種電子錢包，使用前要加值（現在有些銀行或信用卡推出綁定銀行戶頭的自動加值功能，這種屬於後者），不一定要記名。

主管機關是金融監督管理委員會（金管會），適用《電子票證發行管理條例》。

2. 第三方支付（現在有超過5,000家）

台灣的 LINE Pay 屬於這種，是以「使用者、付款方⇔第三方支付公司⇔商家」的 C2B 形式，個人用戶之間不能 B2B 直接進行金錢上的交易。

主管機關是經濟部，沒有法律位階的規範，適用經濟部法規命令〈第三方支付服務定型化契約應記載及不得記載事項〉及〈信用卡收單機構簽訂『提供代收代付服務平台業者』為特約商店自律規範〉。

3. 電子支付（目前只有橘子支付、國際連、歐付寶、智付寶、ezPay台灣支付和街口支付這六家）

如果完成第二階段銀行帳戶加國民身分證的身分驗證完成後，可以進行個人用戶間 B2B 轉帳，如果沒有完成第二階段驗證，功能同「第三方支付」的限制。

另外，要使用 B2B 轉帳功能，該用戶一定要先從銀行帳戶轉帳到電子支付的帳戶當中，不得使用信用卡轉帳、儲值電子支付帳戶內的餘額。

主管機關是金融監督管理委員會（金管會），適用《電子支付機構管理條例》。

7Pay屬於第三方支付

雖然台灣和日本的法規不同，但從 7Pay「使用前需要先加值」、「不是卡片而是行動載具」這兩點，7Pay 屬於「第三方支付」的電子錢包。而且 7Pay 只需要綁定既有的 7–11 帳號「7iD」，並下載最新版的 7–11「セブン-イレブン」APP，就能開通 7Pay 帳戶，完全不需要其他認證，所以 7Pay就是第三方支付而非電子支付。

7–11從一開始就太鬆懈

IT 記者本田雅一指出，這次 7Pay 事件從 7Pay 系統最初的設計、7–11 公司內部在出現異狀的第一時間沒有發現問題，以及對於緊急狀況處理全部都太鬆懈。以這次事件為例，本田雅一指出了三大問題：

7iD 帳號太容易被盜。只要按照正常手續，任何人都可以輕鬆取得、登入他人的 7–11 帳號。
7–11 對於太輕忽重要個資。通常和信用卡資訊有關的金融資料，都會採用兩階段驗證（＊）。
7Pay 不僅沒有兩階段驗證的設計，想要更改 7–11「7iD」帳密，只要有帳號，不需要輸入出生年月日也能更改密碼。更正確地說，在申請 7iD 帳號的時候，出生年月日就不是必填資訊，沒有特別輸入的話就是系統預設日期，這些都可以查得到。
最嚴重的一點就是 7–11 對於自家的系統太有自信。
7Pay 系統上線隔天，就不斷有用戶指出自己的帳號疑似被盜，但 7–11 在第一時間的作法只是暫停該帳號的信用卡、現金卡直接轉帳儲值功能。
而且 7–11 在記者會上不斷強調，自家的 7Pay 系統沒有弱點，這些設計都是為了使用者的方便而設計的。

小補充：兩階段驗證

常見的兩階段驗證包括簡訊驗證，或 e-mail 驗證。系統會寄一封簡訊或 e-mail 到指定的信箱，使用者需要收信確認驗證密碼，再回到會員登入頁面上輸入這組密碼。

兩階段驗證未必是「最安全」的方式，簡訊驗證或 e-mail 驗證也有它的缺點，而且兩階段驗證對於使用者來說「操作上覺得很麻煩」。但像這次 7Pay 的事件來說，假如 7Pay 有加裝兩階段驗證系統，或許就能防止第三者登入 7iD 帳號。

事實上，7–11 集團旗下就有 7–11 銀行，假若 7Pay 在上市前和 7–11 銀行請益過的話，理論上不會發生這種「連兩階段驗證都沒有」的低級錯誤。有內部人士向《產經新聞》透露，7–11 銀行在 7–11 集團裡面是獨立的組織，幾乎不會互相交流，透露了 7–11 集團內部橫向整合也有問題。

被第三人改密碼，當事人可能完全不知情

記者會上，有記者質疑是不是會員帳密清單外流，讓外人有機會取得 7iD 會員帳號密碼，登入帳號。事實上，這次的事件不需要到「帳密清單外流」，7–11 的 7iD 會員系統設計上本身就有漏洞。

通常，只要第三者可以取得會員的出生年月日、電話號碼和 e-mail（7iD 的會員帳號就是 e-mail），就可以更改該名會員的密碼。如果要更改會員密碼，不需要經過兩階段驗證，還可以指定將重設新密碼的e-mail寄到不同於會員帳號的信箱。換言之，如果第三者想要修改某個人的會員密碼，重設新密碼的信可以直接寄到第三者的信箱，過程中當事人可能完全不知情。

對此 7–11 回應道，密碼重設的設計上是從使用者使用上的方面來設計，如果大家覺得有需要改善的話，7–11 會調整這項作法。

但問題不僅如此。7iD 在設計上，如果是從手機 APP 開設新帳戶，出生年月日這一欄是選填，如果沒有特別修改的話，就會顯示 2019年1月1日，而且這還是會員的公開資訊。如果是從 7–11 APP 要登入他人帳號的話，也只要輸入電話號碼和e-mail，不需要輸入會員的出生年月日，就可以成功登入。

系統上線前可能根本就沒有測？

金融分析公司 Japan Digital Design（ジャパンデジタルデザイン）的 CTO 楠正憲指出，2014 年 Google 和 Facebook 就注意到只有帳號和密碼認證不能保障用戶的個資安全，所以現在的個資安全基本上除了帳號密碼之外，還需要加上一次性密碼或生物識別技術驗證。

楠正憲接著提到，像 7–11 這次是從既有的 7–11 會員卡兼折扣券 APP 加裝電子錢包功能，對於駭客來說，多了電子錢包功能就很有吸引力，有攻擊、駭入系統的價值，所以一定要提升 APP 的個資安全和風險管理。

然而，7–11 在記者會上不停強調，沒有人在 7Pay 上線前的系統測試上指出系統上有問題。但在業界裡面，7Pay 明顯是一看就有漏洞的系統，而懷疑 7–11 是不是真的有在系統上線前經過弱點測試（脆弱性試験，vulnerability test）。

經濟產業省也開罵

就連日本經濟產業省的無現金推廣室（キャッシュレス推進室）也批評，7Pay 這次是從基礎的基礎都沒做，「如果沒有兩階段驗證，任何服務都會暴露在風險之中」。經濟產業省也警告 7–11，如果 7–11 沒有盡快找出事發原因並制定防範對策，防止類似的事件再度發生，今年 10 月日本消費稅從 8% 上升到 10% 後，針對電子錢包使用者的點數回饋方案，將不適用於 7Pay 用戶。

對於不少消費者來說，面對日本今年 10 月消費稅即將多 2％，改用電子錢包付款可以獲得點數回饋，比現金支付划算許多，而有不少人開始改用行動支付（電子錢包）付款，也有不少企業嗅到這個商機，而紛紛加入行動支付市場，7–11 就是其中一例。不過，7–11 至今還沒有登錄成為經濟產業省的電子錢包紅利點數回饋業者，所以經濟產業省這一番話對於 7–11 來說只能算是警告。

過了一天終於改口

隨著 7Pay 爭議延燒了一天，7–11 在隔天（5）終於放下身段改口，7Pay 將會比照其他家行動支付，導入兩階段驗證以及加值金額上限。7–11公關表示，這次收到經濟產業省的提點，指出 7Pay 沒有導入兩階段驗證已經違反電子錢包業界的 guideline，而決定要在 7Pay 導入兩階段驗證。

參考資料