セブンペイ不正、「たばこ爆買い」が指す中国組織の影

スマートフォン決済サービス「セブンペイ」の不正利用事件は、電子決済のセキュリティーの甘さをつき、匿名性の高いインターネットツールを悪用した国際サイバー犯罪だ。900人分のIDが乗っ取られ、5千万円を超える被害を許した。大半が加熱式たばこの購入に使われたことから、中国の組織の関与が強く疑われている。

西武新宿駅（東京都新宿区）近くのセブンイレブン。3日午前10時20分ごろ、若い男がカウンターの店員に片言の英語で話しかけた。加熱式たばこ「アイコス」のカートリッジを表示したスマホ画面を見せ、銘柄ごとの個数を指定。セブンペイで計146カートン（73万円相当）を決済した。

この日、セブンペイで大量のたばこがまとめ買いされる異様な事態が各地のセブンイレブンで起きていた。犯行グループの指示役が伝えたIDとパスワードを使い、購入役がクレジットカードからの多額のチャージ（入金）と決済を繰り返したが、被害に気づかない利用者も多かった。

外国人犯罪に詳しい捜査員は「中国の犯罪組織が背後にいる」とみる。中国人のグループが電子マネーなどを使い、たばこをだまし取る事件が近年目立つという。

たばこの専売制をとる中国では加熱式たばこなどは公には売られていない。若い世代を中心に高い需要があり、別の事件では、詐取したたばこを国際スピード郵便（EMS）で中国に送り、日本の定価の6割で販売していた組織もあった。

捜査員は「電化製品は値動きが大きい。今はたばこの方が確実な転売益を狙える」と明かす。

「午前8時1分、3万円」「午前8時38分、3万円」。静岡県の男性（58）は3日、セブンペイの利用履歴を見て言葉を失った。40分足らずの間に計19万円が勝手にチャージされていた。自分がチャージした5千円を含む19万5千円全額が同9時6分までに自宅から約130キロ離れた東京都の2店舗で使われた。

「2段階認証」を採用せず、ID乗っ取りへの防御力が弱かったセブンペイ。犯行グループはまず海外から不正なログインやチャージを試し、対策が講じられる前に一斉にまとめ買いに走ったとみられる。

「身に覚えのない取引がある」。運営会社に初めて問い合わせがあったのは2日夕。調査すると、中国を中心に海外からアクセスが集中していた。犯行グループがIDやパスワードの入力を繰り返し、乗っ取りを試した形跡とみられている。

他人のIDに勝手にログインするのは不正アクセス禁止法に違反する。だが、海外では捜査機関の身元照会に応じないサーバー業者が多い。発信元が匿名化されれば、追跡はさらに難しくなる。

不正ログインの成功を確認し、次の段階はセブンペイを国内でどう使うか。今回、購入役らを集めるために使われたのが中国の対話アプリ「微信（ウィーチャット）」だった。医薬品の横流しなど、中国人が絡む犯罪で使われることもある。

日中間には刑事共助条約があり、アプリ利用者の身元照会はできる。しかし、やりとりには時間がかかり、その間に記録がサーバーから消えてしまう。警視庁が逮捕した購入役ら2人の中国人は「指示役と面識はない」と供述した。セキュリティー関係者は「中枢に捜査が及ばない方法を選んでいる」と指摘する。

中国人グループが無断で他人のIDなどを使う事件は電子決済サービス「アップルペイ」や、ポイントカード大手「Tカード」でも発生し、そのたびに異なる手法が明らかになった。国際大学GLOCOM客員研究員の楠正憲氏は「不正利用を抑止するためにも、セブンペイが乗っ取られた原因を徹底的に検証すべきだ」と指摘している。

（岩沢明信）