深夜のレジ — 七月の支払いアプリ（長編フィクション）

— 2019年「7pay アカウント乗っ取り：サービス開始直後にパスワードリセット設計の脆弱さ＋二要素認証不備等が突かれ、数日で数百口座・約5,500万円の不正利用→緊急停止→サービス終了発表」という事実関係を骨格にした物語

00｜月曜 0:32　「出していないのに、出ている」

白百合（しらゆり）コンビニ本部・決済監視室。夏芽は、新設のコード決済の取引ログの上に小さな棘が生えているのに気づいた。1分おき、同額に近い決済が異なる店舗から点線で続く。深夜帯の客数にしては多すぎる。カード会社からのチャージ失敗も、同じ端末指紋で数十回。アラートは黄色で、**規約上“許容範囲”**と書いてある。だが、夏芽の皮膚は冷えた。

ID一覧を開くと、“今日作られたばかり”のアカウントが列を成していた。誕生日は**「0101」や「0401」が不自然に多い。ログイン先のIPは一部同じASN**でまとまっている。

01｜0:56　“止める／伝える／回す”

静岡・山崎行政書士事務所。白板の前に**律斗（りつと）**が太いペンで三行を書く。

止める／伝える／回す

• 止める：当該決済APIを電源を落とさずに**“縮退モード”へ（チャージ／決済の上限を最小・端末指紋の一致で即時ブロック）。パスワードリセット動線とメール変更動線は緊急停止**、強制ログアウトを全域に。証跡（API／WAFログ／メールゲートウェイ／アプリ解析）を一方向に吸い上げる。

• 伝える：三文を経営／広報／カード会社に同報。“事実”（深夜帯の多発／新規作成直後の連続決済）と**“可能性（仮説）”（アカウント乗っ取りの連鎖→設計上の脆弱さ（リセット／メール変更）悪用）を段落分離**。正午／17時に時刻で更新、「支払い先変更メールは無効」を先頭に。

• 回す：アプリ決済は上限極小で動かしつつ、店舗には二重確認（身分証＋決済名義）を通知。遅いけど確実に回す。

りなが頷く。「“72時間”の所管報告はない分野でも、自発的報告を時刻で回します。“声は鍵”（折り返し＋二名承認）を全窓口に。」

奏汰（そうた）が構成図に赤を走らせる。「パスワードリセットのKPI優先が裏目に出てる。“登録メールの確認を待たずに、新しいメールへリセットリンクを送る”線。誕生日と電話番号が推測で埋まる。」

悠真（ゆうま）が短く言う。「二要素はない。“正しいものの顔をした別人”が財布に手を入れられる。」

ふみかが一次報の三文を置いた。

受付の**白い猫（やまにゃん）**が、しっぽ（Type‑C）を小さく光らせる。札には太い字。

02｜1:40　レジの前の人影

現場は動いていた。深夜の店舗で、紙タバコのカートンを両手で抱える若い男。バーコードのピッが一定で、レジの画面は緑のまま。アプリは**“所有者の顔”をしている。アルバイトは疑うための情報**を持たない。

夏芽は電話で言った。「レジの“二重確認”、今夜だけでも“厳しめ”に。“名義の読み合わせ”を声で入れて。」

03｜2:25　四つの数字（第一次）

蓮斗（れんと）が白板に数字を書く。

• MTTD（検知）：18分（深夜の同額連続＋新規列）

• 一次封じ込め：52分（縮退／動線停止／強制ログアウト）

• 被害推計（初期）：数百口座／数千万円

• 方法：パスワードリセットの設計脆弱性＋本人確認の薄さ

律斗は短く言う。「勝ってはいない。でも、“間に合っている”。」

04｜朝 8:10　「主語」を入れる

記者会見の台本が、早朝に回ってきた。りなは主語を太くした。

• 当社は、どの設計が弱く、いつ止め、どう直すか。

• 当社は、誰に、いつ、いくらを返すか。

• 当社は、二要素と本人確認をどこに入れ、いつ始めるか。

“なぜ二要素を入れていなかったのか”という問いに、言い訳を許さない文にする。

05｜正午　一次報（所外）

怒号はある。けれど、時刻が不安の終わりを作る。

06｜午後　「設計」の反省

奏汰は設計図に赤を入れる。

• リセット：“登録済みメール”にのみ送る。新規メール登録は確認完了まで反映しない。

• メール変更：旧メール通知＋新メール確認＋本人操作の二段階。

• 支払い：端末紐づけと二要素（SMSか認証アプリ）、新端末は冷却期間。

• KPI：**“登録の速さ”より“戻れる速さ”**を採用指標に。

悠真は**“声の鍵”を店舗の台本に戻す。名義の読み合わせ、二名承認、不審時の番号控え。紙は遅い**。でも、戻れる速さはそこから生まれる。

やまにゃんの札が光る。

07｜二日目　逮捕のテロップ

ニュースが昼に走った。都内の店舗で**“アプリで大量購入”を試みた男二人が現行犯逮捕**。端末は同じ指紋が複数の不正で観測されていた。夏芽は息を整える。だが、連鎖は終わっていない。設計が残す穴は**“別の人”の手でも突かれる**。

08｜三日目 17:00　“緊急停止”と“終了の判断”

経営会議。りなは短く言う。

一次停止が完全停止に変わる。終了の日付が決まり、補償の窓が開く。夏芽は深く息を吐き、紙の台本を閉じた。

09｜その後　数字が出る

発表は段階だった。被害口座は約900、被害総額は約5,500万円。逮捕はさらに数件。設計は失敗で終わったが、補償は時刻で終わらせる。広報は**“二要素”と“本人確認”を最初の行に据え、再発防止は別の箱で歌い直す**と明言する。

蓮斗の数字が更新される。

• 被害口座：約900

• 被害総額：約5,500万円

• 設計是正：二要素／メール確認／端末紐づけ／冷却期間

• 方針：終了と全額補償

10｜講堂　“三つの時計”と三行

1. 現場の時間（レジ・サポート・補償）

2. 規制の時間（金融・個人情報保護の届出／説明責任）

3. 経営の時間（信頼・終了・再起）

りなは三行で締める。

奏汰は図を黒で縁取る。

• “見る鍵／運ぶ鍵／署名する鍵”を分け、常時特権ゼロ／JIT特権。

• 本人確認の三段（端末紐づけ＋二要素＋名義読み合わせ）。

• リセットは旧メール経由、新メールは確認完了まで反映しない。

• KPIを**“登録の速さ”から“戻れる速さ”**へ。

やまにゃんが静かに札を揺らす。

11｜エピローグ　深夜のレジにて

深夜のレジは、元の速さに戻った。夏芽は監視盤の端に紙を差し込み、時刻を押す。“便利の近道”は、ときに刃になる。でも、戻れる速さは“二重の鍵”と“人の10分”の中にある。次に歌い直す箱は、短くて太い鍵で閉めよう。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要報道・技術整理）

※上記はフィクションですが、骨格（2019年7月の 7pay アカウント乗っ取り／開始直後の不正利用多発／パスワードリセット動線の設計脆弱性・二要素欠如／約900口座・約5,500万円／緊急停止→終了発表／逮捕事案）は以下に基づいています。

https://www.sej.co.jp/company/2020/20190704.htmlhttps://www.sej.co.jp/company/2020/20190801.htmlhttps://www.nikkei.com/article/DGXMZO47049500R00C19A7EA2000/https://www3.nhk.or.jp/news/html/20190704/k10011983841000.htmlhttps://www.the-japan-news.com/news/article/0005868311https://www.reuters.com/article/us-7pay-cyberattack-idUSKCN1TZ0QKhttps://piyolog.hatenadiary.jp/entry/20190704/1562241292https://www.itmedia.co.jp/news/articles/1907/04/news097.htmlhttps://www.asahi.com/articles/ASM7476RLM74ULFA017.htmlhttps://www.japantimes.co.jp/news/2019/08/01/business/corporate-business/seven-ends-7pay/