疑問の残る7pay廃止会見、エンジニアはどう見る?

Published
2019/08/05 19:02 (JST)

サービス開始から実質4日の稼働で、あっけなく終了が発表されたセブン-イレブンのモバイル決済サービス「7pay」。8月2日に開催された記者会見では、不正使用の原因は「リスト型アカウントハッキング」の可能性が高いと発表されました。

ただ、会見では、不正利用が起きた原因などについて、いくつかの疑問が残りました。セキュリティ問題に詳しいシステムエンジニアらに意見を聞いてみました。

ポピュラーなリスト型攻撃

7payにひもづき、セブン&アイグループのネット通販サイトなどで使える「7iD」は、セキュリティ強化を理由に、7月30日に一斉にパスワードリセットが行われたばかり。その2日後に突如7pay廃止が発表されるという、加盟店や利用者を振り回す結果となりました。

神奈川県内で店舗を運営する男性は「このまま7payをぐだぐだと続けても、イメージが悪いだけなので廃止して正解と思う。ただ一連の対応は遅かった。お客さんからのクレームはあるし、コールセンターの電話はつながらないし、これ以上現場の負担を増やさないでほしい」と話します。

記者会見で回答する後藤副社長

会見では不正使用の原因について、セブン&アイホールディングスの後藤克弘副社長が「攻撃者がどこかで不正に入手したID・パスワードのリストを使い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆるリスト型アカウントハッキングである可能性が高い」と説明しました。

このリスト型アカウントハッキングは、リスト型攻撃とも呼ばれ、別のウェブサイトなどから流出したID・パスワードを総当たりで試すことで、サイトへのログインを試みるものです。今年5月には、ファーストリテイリングが展開する「ユニクロ」「GU」のオンラインストアなどで大規模な被害が出ています。

かなりポピュラーな攻撃方法で、2013年には総務省が対策を公表しています。6年前にまとめられたこの対策集でも、予防方法として、「ID・パスワードの使い回しに関する注意喚起の実施」「パスワードの定期的な変更」などとともに、「2要素認証」(2段階認証)が挙げられていました

2段階認証は開発途中まで検討

会見では、2段階認証を導入しなかった理由も明らかにされました。セブンペイの奥田裕康・営業部長は「サービス開始後の利用をモニタリングすれば大丈夫と判断したことが、導入を見送った一番の背景」と説明しました。

開発当初、7payは単独のアプリとしてリリースを予定しており、この段階では2段階認証は検討されていたといいます。ところが、セブン-イレブンアプリに組み込まれるなど他のサービスとの連動が決まる中で、利用者の操作感などを優先し、導入を見送ったとのことです。

これに対し、セキュリティ問題に詳しいシステムエンジニアは首をかしげます。「変なログインがあれば遮断すれば十分だろうと思っていたのだろうが、モニタリングは被害を防ぐための対策。そもそも異常を検知して運用者に通知するなど、システム上の機能を作っていたのか疑問だ」と話します。

「もちろん2要素認証だけがハッキングを防ぐ唯一の答えではないが、リスト型攻撃が増える中、近年は2要素認証が一番効果的という風潮がある。被害の前例はいくらでもあり、認識が甘かったと言わざるを得ない」(前出のエンジニア)

問題発覚時は「事前の脆弱性は認められなかった」としていた同社も、この日の会見では「複数端末からのログインに対する対策」「2要素認証などの追加認証の検討」が十分でなかったと認めました。

また、2019年4月に発表されたキャッシュレス推進協議会のガイドラインに反する部分が見つかったものの、すでに開発が大詰めでテスト段階だったため、「われわれ独自のチャージ用パスワードなどで対応しようというのが当時の判断だった」と、放置したことも明らかになりました。

本当にリスト型攻撃だけ?

今回、同社が認定した被害範囲は808人・約3,860万円。不正利用の原因をリスト型としたことに、前出のエンジニアは「チャージ用の認証パスワードを設定してもセキュリティが破られたと訴える人もおり、単純なリスト型攻撃だけが原因というのは納得できない。他にシステム的な欠陥があったという疑問が残る」と話します。

記者会見でも同様の質問が相次ぎました。しかし、同社は外部のセキュリティ会社とともにログなどを調査した結果であると強調し、詳細を公表する予定はないとしました。

この対応に、別のエンジニアは「問題を早期に終結させるために、リスト型と公表したのではないか。少し詳しい人から見るとおかしな点があり、それが不信感につながっている」と憤ります。

さらに、「仮想通貨の問題が起きた時と同じで、今後は参入障壁が高くなり、当局の目が厳しくなる可能性もある。利用者からも厳しい目で見られるのは間違いない。少なくとも新規参入企業は及び腰になるのでは」と、モバイル決済サービス全体への影響を懸念します。

一方で、「逆の見方をすると、2段階認証の必要性を知らしめた。反面教師として、今後は利用者にとって多少手続きが煩雑でも、2要素認証を必ず導入するという動きが加速するのではないか」(前出のエンジニア)という意見もありました。

今回の7pay問題は、お金に関わるサービスゆえに、利便性と安全性のバランスの難しさを浮き彫りにしました。安全に決済サービスを使うためには、私たちユーザーがITリテラシーを上げていく必要もありそうです。

© 株式会社マネーフォワード

MONEY PLUS

MONEY PLUS(マネープラス)は、お金の話が苦手な人に向けて、金融・経済情報をわかりやすく伝える経済メディアです。