7payにあいた大きな穴。かなり大きなセキュリティホール

セブンペイ不正アクセスに関する記者会見

セブンペイ不正アクセスに関する記者会見で頭を下げる運営会社の小林強社長(中央)ら 時事通信

7pay不正利用。炎上を招いた社長による記者会見

 7pay(セブン‐イレブンで使えるかんたんスマホ決済)が炎上している。900人の不正利用被害、5500万円の被害額。それらは少なく見積もってということらしい。記者会見の動画も見た。そして、ネットで炎上していた発言も確認した。7payに二段階認証を導入しなかったのはなぜかと問われて、セブン・ペイの小林強社長が「二段階認証……?」と、キツネにつままれたような顔をした(参照:「テレ東ニュース」動画内31分)。  電子決済の会社の社長が、一般人でも知っているIT知識を持ち合わせていないのだと露呈した。最低限のITリテラシーがないのならば、何が問題視されているのかも理解できていない可能性がある。  それ以外にもまずい発言が多々あった。  脆弱性の検査はした。問題はなかった。脆弱性があるかどうかは調査しなければ分からない。  記者が、かなり具体的にセキュリティ的な穴を指摘しているのに、そうした解答しかなかった。  事実説明をする予定の会見で、何も分かっていない社長が出てきて説明している。はたから見れば、そうとしか見えない状況だ。  私が最近目にした言葉に「謝罪ソムリエ」というものがある。様々な不祥事の謝罪に対して、ネットの住民が専門家のように批評するというものだ。  セブン・ペイの今回の会見は、そうした謝罪ソムリエの視点から、及第点に達しているとは到底言えないものだった。炎上するわけだと感じた。

簡単にアカウントを乗っ取れた7pay

 7payが炎上している理由は、謝罪会見だけではない。アカウントを乗っ取れる特大級の仕様上の穴が存在していた。その穴は、「パスワードリセット」(パスワードを忘れた際に、メールアドレスにパスワードリセットのURLを送る)のページに存在していた。  7payのパスワードリセットのページでは、生年月日と電話番号とメールアドレスを入力する。しかし、そのあとになぜか「別のメールアドレス」を入力する項目がある(参照:三上洋 – 個人 – Yahoo!ニュース)。  会見でも記者が突っ込んでいたが、なぜそうした仕様になっているのか? セブン・ペイの社長は「利便性のため」と説明していた。スマホで登録した人がパソコンでパスワードリセットをできるようにしたという。  それができるということは、生年月日と電話番号とメールアドレスを知っていれば、本人がいない海外からでもパスワードリセットができる。実際にセブン・ペイの社長は、海外から、それも中国からのアクセスが多かったと語っていた。  生年月日と電話番号とメールアドレスぐらいならば、正しいパスワードを知らなくても、個人情報のデータを買えば簡単に突破できる。  たとえば、こういうシナリオが考えられる。  名簿を買って、海外経由で大量にアクセスして、乗っ取れるアカウントのリストを作る。そしてオレオレ詐欺の出し子に相当する人に、換金性の高いものを購入する方法を説明して、アカウントを売る。匿名のまま、お金を手に入れることができるだろう。  そもそも、この3つの情報なら、友人が知っているレベルのものだ。友人が「7payを使ってみた」と言ったら、簡単にパスワードリセットをして、自分がログインできる。7payでは、こうしてログインすると、チャージも支払いも思いのままにできたようだ。  さらにiPhoneでは、登録に生年月日の入力は必須ではなかった。入力しなかった場合、生年月日は内部的に2019/01/01と設定される。そうなると、メールアドレスと電話番号が分かれば、お金が盗み放題になる(Togetter)。  アカウントを乗っ取った人は、たばこのように換金性の高い商品を購入したと会見では話していた。900人で5500万円ということは、分かっている限りで、1人の被害額は6万円強。ネットでは30万円の被害を受けたと話している人もいた。  こうした状況に対して7payでは、チャージと新規登録を止めることはしたが、利便性のために支払いは止めなかったそうだ。  会見では社長が何度も「利便性」という言葉を使った。それは誰にとっての利便性なのだろうかと感じた。  ネットセキュリティに詳しい作家の一田和樹氏もこう語っている。 「一般的に利便性と安全性は相反します。利便性を高めることは安全性を低めることにつながることになりかねません。必ずしもそうではありませんが、何も考えずにやればそうなることが多いのです」  また、冒頭で述べたように「二段階認証」を認識すらしていないことも問題だという。 「多要素認証は登録の際にスマホにSMSを送るなど複数の手段で確認する方法で、現在多くのサービスで使われています。金融機関ではワンタイムパスワードの利用も進んでいます。多要素認証が実装されていれば今回のような問題は起きなかったでしょう」
次のページ
社内の体制に「物言えぬ空気」はなかったのか?
1
2
バナー 日本を壊した安倍政権
新着記事

ハーバービジネスオンライン編集部からのお知らせ

政治・経済

コロナ禍でむしろ沁みる「全員悪人」の祭典。映画『ジェントルメン』の魅力

カルチャー・スポーツ

頻発する「検索汚染」とキーワードによる検索の限界

社会

ロンドン再封鎖16週目。最終回・英国社会は「新たな段階」に。<入江敦彦の『足止め喰らい日記』嫌々乍らReturns>

国際

仮想通貨は“仮想”な存在なのか? 拡大する現実世界への影響

政治・経済

漫画『進撃の巨人』で政治のエッセンスを。 良質なエンターテイメントは「政治離れ」の処方箋

カルチャー・スポーツ

上司の「応援」なんて部下には響かない!? 今すぐ職場に導入するべきモチベーションアップの方法

社会

64bitへのWindowsの流れ。そして、32bit版Windowsの終焉

社会

再び訪れる「就職氷河期」。縁故優遇政権を終わらせるのは今

政治・経済

微表情研究の世界的権威に聞いた、AI表情分析技術の展望

社会

PDFの生みの親、チャールズ・ゲシキ氏死去。その技術と歴史を振り返る

社会

新年度で登場した「どうしてもソリが合わない同僚」と付き合う方法

社会

マンガでわかる「ウイルスの変異」ってなに?

社会

アンソニー・ホプキンスのオスカー受賞は「番狂わせ」なんかじゃない! 映画『ファーザー』のここが凄い

カルチャー・スポーツ

ネットで話題の「陰謀論チャート」を徹底解説&日本語訳してみた

社会

ロンドン再封鎖15週目。肥満やペットに現れ出したニューノーマル社会の歪み<入江敦彦の『足止め喰らい日記』嫌々乍らReturns>

社会

「ケーキの出前」に「高級ブランドのサブスク」も――コロナ禍のなか「進化」する百貨店

政治・経済

「高度外国人材」という言葉に潜む欺瞞と、日本が搾取し依存する圧倒的多数の外国人労働者の実像とは?

社会