オルタナティブ・ブログ > 秋山大志のそれとりあえず作ってみようか。 >

あれこれ考えるよりも作ってしまった方が早いんじゃね?と思う、ギークなサラリーマンのアジャイルな日々。

セブンイレブンの7pay(セブンペイ/Seven pay)不正利用から考えるアプリ運用

»
※検索からお越しになった方へ。本記事では不正アクセスの原因や、技術的なセキュリティ考察はしてません。個人的な考えをツラツラ書いている糞記事です。今回悪用されたと思われるセブンIDやアプリの脆弱性やセキュリティホールに関しては以下の記事が本丸なんじゃないかなーと思いますので、各自参照いただき対応(退会?)されることをオススメします。

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況
https://www.kaesakura.com/2019/07/omni7-7id-password/



日々、顧客争奪戦を繰り広げるペイペイ(paypay)、メルペイ、LINE Pay、楽天ペイ、Origami Pay、ファミペイなどのスマホオンライン決済サービスに続けと、日本の流通小売りの雄、セブン&アイグループが令和元年の今年7月1日から鳴り物入りで始めたスマホバーコード決済サービス「7pay(セブンペイ/Seven pay)」が大きく話題となっています。

良い意味で話題になっていれば良いのですが、まずこういうサービスでありがちな開始当初のアクセス集中による障害に加えて、7payのアカウントを乗っ取られて高額のチャージをされた上に、それをすべて使われてしまうという不正利用の被害が発生し、大きな話題になっています。

被害を訴えるTwitterユーザー

手口としては、単純に7pay会員登録とクレジットカード(デビッドカード)でのチャージ登録設定をした7iDアカウントを攻撃者が不正に入手し、それを使って別の端末でログインし犯行に及んだのではないかと一部では言われていますが、なぜ、こんなにも多くの被害が発生してしまったのでしょうか。

私は、セブンイレブンのこれまでのアプリ運用の姿勢も今回の被害が広がった一因ではないかと考えています。

そもそも、今回の7payの不正利用で使われたアプリは、セブン-イレブンの公式アプリ「セブン-イレブンアプリ」ですが、こちらのアプリは今回のセブンペイ専用のアプリではありません。

こちらのセブン-イレブン公式アプリは2015年10月にセブンイレブンの店舗で使える無料Wi-Fiに接続するためのアプリとして初めてリリースされました。その後、2018年6月に商品カテゴリ毎に購入数に応じたバッジを用意するなどのロイヤリティプログラムを軸としたリニューアルを行い、今回、そのアプリに2019年7月1日に7payを追加した形になります。App StoreやGoogle Playを見ていただければわかると思いますが、それぞれダウンロード数や評価数、レビュー数はとても多いですが、評価はApp Storeが2.5、Google Playが3.5でお世辞にも良いとはいえません。最近のレビューを見ても評価★1を付けて辛辣なコメントを長文で入力しているような超辛口なレビューも目立ちます。

「セブン‐イレブンアプリ」をApp Storeで - Apple

https://apps.apple.com/jp/app/%E3%82%BB%E3%83%96%E3%83%B3-%E3%82%A4%E3%83%AC%E3%83%96%E3%83%B3%E3%82%A2%E3%83%97%E3%83%AA/id1039171609

セブン-イレブンアプリ - Google Play のアプリ

https://play.google.com/store/apps/details?id=jp.co.sej.app&hl=ja

そもそも、私が解せないのはセブンイレブンはなぜこんな低評価な4年も前にリリースをしたアプリに無理くりリニューアルしたり、機能を追加してきたのでしょうか。正直、7payが導入されるまでセブンイレブンの店頭でスマホでこのアプリをレジで提示しているお客さんを私は見たことがありません。セブンアイHDのお膝元である麹町のセブンイレブンで10分くらいレジを見ていたこともありますが、本当に皆無でした。

セブンアイグループはイオンと並んで日本の小売流通業界の雄ですが、売上額ではイオンの方が高く、WAONのような電子マネーの決済額でもセブンアイHDのnanacoは後塵を拝していました。ただ、nanacoは決済数はイオンのWAONを超えて日本トップの数で、セブンアイグループの各店頭での利用率も非常に高いと聞いたことがあります。ただ、おさいふケータイ、つまりAndroidスマホへの対応は早かったものの、日本ではほぼ過半数の人が使っているiPhoneへの対応はまだしておらず、アプリのレビューで低評価をつけているユーザーの中には、セブンアイグループの電子マネーであるnanaco(ななこ/ナナコ)がiPhoneで使えたら便利なのに全然搭載をする気配がないと言うことでアプリに低評価をつけているユーザーも多くいました。そんな電子マネーで日本有数の実績を持つセブンアイグループがnanacoのiPhone対応をスルーして始めたスマホQRコード決済サービス7payですが、出足で大きく躓きました。

アプリの運用の問題に話を戻すと、セブン-イレブンのアプリ担当者がなぜこの低評価の糞アプリを更新し続けるかといえば、

「累計ダウンロード797万件達成!」

とか

「累計ダウンロード1000万件突破!」

って、言いたいだけなんですねー。。

そのために、お茶のペットボトルを1本プレゼントとか、おにぎり1個プレゼントとかのインセンティブをつけて、それを人気のタレント使って大々的にTVCMとかキャンペーン打ってダウンロードさせてほぼインセンティブ目当ての初回起動だけなんですねー。。

私もそのキャンペーンを見てダウンロードしたクチですが、App Storeの最初に表示されていたレビュー(つまり最も参考になったレビュー)が★1でタイトルが「詐欺アプリかと思いました」というレビューだったのを見て、プロモーション担当者は莫大な広告宣伝費を使ってネガキャンをやっているのではないかと思ったくらいでした。

そんなこんなで、nanacoに比べたアプリの店頭提示率は本当に低空飛行だったようです。
(コメントでnanacoと紐づけてそのnanacoで決済すればレジでのアプリ提示&バーコードスキャンは不要との情報をいただきましたが、それにしても低いと思います。。)

おそらく、アプリの担当者も累計ダウンロード数だけでなく、MAUやDAUも見ているとは思いますがそもそも1か月に一回、バグフィックスのような更新しかしていないようなアプリでは全然PDCA回りませんよね。。

さて、今回の7payの不正利用ですが、そんな糞アプリの糞リニューアルを繰り返し、機能を建て増ししてきたツケではないかと考えています。

そもそも、そんな糞アプリだけを使うのにセキュリティに気を使ったIDやパスワードは登録しないでしょうし、そもそも今回の糞アプリへの7payの機能実装が糞だった可能性が高いです。※まだ詳しくは見れていませんし、セキュリティに気を使っていた人が被害にあったという情報もありますが。。それこそ致命的なセキュリティホールがあったのかは現時点では不明です。

では、理想のアプリ運用とは何か。

結局は、ダウンロード数だけを追っていくのではなく、しっかりDAU/MAUを追ってリテンションレート(RR)をあげていく。チャーンレートが高いセグメントの定量、定性調査やユーザーレビューの確認はもちろんのこと、アンケート、ユーザーインタビューなどの定量/定性調査を行って、UI/UXの改善PDCAを高速にやっていくしかないんですよね。店頭だったら窓にハエの死骸がついている!っていうクレームのお手紙がお客様の声コーナーに貼られていたら、すぐにでもお掃除しますよね?でも、アプリの場合は何故かハエの死骸をつけたまま1か月、2か月放置してしまうんです。その理由は予算が取れていないからとか開発会社との契約ができていないからなんていう理由。

セブン-イレブンの社是の最初の1行は、

「私たちは、お客様に信頼される誠実な企業でありたい。」

です。

アプリだから仕方がない、予算がないから仕方がない、目標がダウンロード数なんだ、
とかではなく、アプリをダウンロードしてくれたお客様の信頼を損なわないようにしっかりとアプリ改善と運用をしてもらいたいと思います。

ちなみに、Amazonの動画視聴サービス「Amazon プライム・ビデオ」ですが、昨年App Storeに同名のアプリが二つあることが話題になりました(今は旧アプリは消えたようですが)。新旧二つのアプリがストアに掲載され、旧アプリの紹介文には「ダウンロードしないでください」と書いてあり新しいアプリのダウンロードを促していました。何が絶対に正しいとは言えませんが、アプリをアップデートする、新しく作る、分ける、統合するなんていうこともゼロからお客様の利便性を考えて検討すべきかなと思います。

さらに余談ですが、、

昨日、セブン-イレブンのイートインコーナーで無料WiFiのセブンスポットを使おうと思い、Facebookアカウントでの認証をしたのですが、『このURLはブロックされています。「https://register.7spot.jp/sns_auth/facebook」はFacebookでブロックされています。』というエラーが出てFacebookアプリ認証が出来ませんでした。

sevenspot_fb_error2.jpg

おそらく、Facebook認証のリダイレクト元のURLをホワイトリストに加えていないだけかと思いますが、アクセス解析とかログをまーったく見ていないんだなあ、と

セブンアイの偉い人?がオムニチャネルだ、デジタルマーケティングだ、データドリブンマーケティングだ、デジタルトランスフォーメーションだとかアド●ックとか展示会・セミナーで(金持っている広告主枠で)登壇されて話されているのを見て、ああ、ビジョンとか高尚なことも大事だけどもやはり半歩を現場現実に置いて地に足のついた改善をしていくことも大事だなあと思った次第です。

あ、いろいろ申し上げましたがセブン-イレブン好きですよ。
好きだからこそ、もっと頑張ってほしいなーってそんな感じです。

ではではー。

Comment(7)

コメント

chintani

アプリの店頭提示率が低いのは、提示する必要がないからですね。
7idとnanacoは紐付けられるため、nanacoで支払えばアプリでバーコードを表示しレジスターで読み込ませるという手順をとらなくても7idが伝達されるからです。秋山さんがそれを知らないはずないのに、店頭提示率が低いを連呼するのは何の印象操作ですか?表示率が低いのは、嘘ではないですけれども。

匿名

nanacoがおサイフケータイ対応していないって、何処の国の話しでしょうか。

TETSU

内部を全く知らない自分が勝手に想像するとww これは日本の大企業でよくある話かと
多分アプリの開発も運用も外部の企業がやってるかと
子会社のシステム会社(あるか知らないけど)にやらそうとしたが、知識のある人がいないので、さらに外部の、そこも下請けに出してたりww
だから動きがめちゃ遅い、仕様決める人が技術に詳しくないと
それだけでなく、時間が経つと中間に入ってた人も移動したりして、誰もわからない責任とらない最悪の環境が
そこにカリスマ社長から勅令がww
と書くとキリがないのでやめるけど、技術者を育てる文化がない大企業の多いこと
アメリカの大手小売が自社で開発者雇って世界最大のDB運用してるって記事読んだの20年以上前のことだつたなぁ、創業者は技術わからんとか言いながら大金つぎ込んで自社システム作りあげたんだよね

名無し

必ず、こういう事件が起きると思っていた。インターネットやスマホを使ったお金の使用は危険と知っていたから。買い物は通販か、店に行ってしましょう。面倒でもそれが確実。すでにネットハッカー時代に入っている。無知ほど恐ろしいものはない。ニュージーランドや周辺に地震が起きたら、100%、確実に日本のどこかで地震が起きます。詳細なデータ収集による地震予知です。地球儀を手に持った地震調査をすれば、専門家でなくとも、ニュージーランドで起きた地震の位置で、日本のどこに起きるか、その詳細な位置も判明するでしょう。

匿名

最後の認証の件は、"facebook側が"ブロックしてるんでしょう。問題アプリとして。
ブロック解除してもらえるだけのセキュリティを7側が実装出来るまではそのままかと

コメントを投稿する