7payの不正利用に思うこと

佐藤です。

先日、セブンイレブンの新しいスマホ決済7payにて不正アクセスによるチャージにより、5,500万円を超える被害が発生しているという事件がありました。

事件後のセブンイレブンの記者会見で、社長が「二段階認証を知らない」であるだとか、「パスワードの変更時に契約の登録に使用したメールアドレス以外で実行できる仕組みが問題」だとか色々と問題提起されています。

こうした報道を見ていると単に技術的な脆弱性のみを見逃したように受け止められますが、情報セキュリティに対するマネジメントがなっていないように考えられます。

今回問題とされている、登録時と違うメールアドレスでパスワードが変更できる仕組みについてですが、既に使用していないメールアドレス（例えば以前契約していて解約してしまった携帯通信会社メールアドレス）で会員登録をしていた場合は、パスワードを送る先がありません。

この場合は、新しいメールアドレスに引き継ぐなどの対応が必要になります。このような処理を行う場合には、生年月日やパスワード解除用のフレーズなど本人が特定できる情報を利用者に確認する措置が取られるのが一般的ですが、問題となった仕組みにはそういった仕組みがなかったそうです。

セブンイレブンは「利用者の利便性を優先した」という主旨の発言をしていましたが、セキュリティを低下させてまで優遇させることではありません。

これまでに今回の問題の原因と言われていることを簡単に書いて見たのですが。本題はこれからです。

パスワード管理の仕組みというのは構築するのに非常に手間がかかるものです。顧客の情報を第三者に不正に利用されないようにするために、あらゆる攻撃を想定して開発を行なっているはずですし、システムレビューも行われているはずです。

7payを構築した会社もこうした手順を当然行なっているはずですが、結果的には簡単に突破される仕組みをそのままリリースしてしまっています。

想像ですが、スマホ決済の導入を急ぐあまり、システムレビューや動作検証をおざなりにしてしまったのではないかと思います。

あと気になったのは、社長の「二段階認証」発言。社長自ら回答することではなかったと思います。そんな実装レベルの話を社長が理解しているはずはありません。具体的にわかる担当者が変わって発言すべきでした。

全体通じて思うのは、やっぱり情報セキュリティに関してマネジメントができていないなということです。

たらればを言ったらキリがありませんが、マネジメントできていればひょっとしたら不正が未然に回避できたかもしれないし、信用もそれほど落ちなかったと思います。