セブンペイ不正アクセスに関する記者会見で頭を下げる運営会社の小林強社長(中央)ら 時事通信
7pay(セブン‐イレブンで使えるかんたんスマホ決済)が炎上している。900人の不正利用被害、5500万円の被害額。それらは少なく見積もってということらしい。記者会見の動画も見た。そして、ネットで炎上していた発言も確認した。7payに二段階認証を導入しなかったのはなぜかと問われて、セブン・ペイの小林強社長が「二段階認証……?」と、キツネにつままれたような顔をした(参照:
「テレ東ニュース」動画内31分)。
電子決済の会社の社長が、一般人でも知っているIT知識を持ち合わせていないのだと露呈した。最低限のITリテラシーがないのならば、何が問題視されているのかも理解できていない可能性がある。
それ以外にもまずい発言が多々あった。
脆弱性の検査はした。問題はなかった。脆弱性があるかどうかは調査しなければ分からない。
記者が、かなり具体的にセキュリティ的な穴を指摘しているのに、そうした解答しかなかった。
事実説明をする予定の会見で、何も分かっていない社長が出てきて説明している。はたから見れば、そうとしか見えない状況だ。
私が最近目にした言葉に「謝罪ソムリエ」というものがある。様々な不祥事の謝罪に対して、ネットの住民が専門家のように批評するというものだ。
セブン・ペイの今回の会見は、そうした謝罪ソムリエの視点から、及第点に達しているとは到底言えないものだった。炎上するわけだと感じた。
7payが炎上している理由は、謝罪会見だけではない。アカウントを乗っ取れる特大級の仕様上の穴が存在していた。その穴は、「パスワードリセット」(パスワードを忘れた際に、メールアドレスにパスワードリセットのURLを送る)のページに存在していた。
7payのパスワードリセットのページでは、生年月日と電話番号とメールアドレスを入力する。しかし、そのあとになぜか「別のメールアドレス」を入力する項目がある(参照:
三上洋 – 個人 – Yahoo!ニュース)。
会見でも記者が突っ込んでいたが、なぜそうした仕様になっているのか? セブン・ペイの社長は「利便性のため」と説明していた。スマホで登録した人がパソコンでパスワードリセットをできるようにしたという。
それができるということは、生年月日と電話番号とメールアドレスを知っていれば、本人がいない海外からでもパスワードリセットができる。実際にセブン・ペイの社長は、海外から、それも中国からのアクセスが多かったと語っていた。
生年月日と電話番号とメールアドレスぐらいならば、正しいパスワードを知らなくても、個人情報のデータを買えば簡単に突破できる。
たとえば、こういうシナリオが考えられる。
名簿を買って、海外経由で大量にアクセスして、乗っ取れるアカウントのリストを作る。そしてオレオレ詐欺の出し子に相当する人に、換金性の高いものを購入する方法を説明して、アカウントを売る。匿名のまま、お金を手に入れることができるだろう。
そもそも、この3つの情報なら、友人が知っているレベルのものだ。友人が「7payを使ってみた」と言ったら、簡単にパスワードリセットをして、自分がログインできる。7payでは、こうしてログインすると、チャージも支払いも思いのままにできたようだ。
さらにiPhoneでは、登録に生年月日の入力は必須ではなかった。入力しなかった場合、生年月日は内部的に2019/01/01と設定される。そうなると、メールアドレスと電話番号が分かれば、お金が盗み放題になる(
Togetter)。
アカウントを乗っ取った人は、たばこのように換金性の高い商品を購入したと会見では話していた。900人で5500万円ということは、分かっている限りで、1人の被害額は6万円強。ネットでは30万円の被害を受けたと話している人もいた。
こうした状況に対して7payでは、チャージと新規登録を止めることはしたが、利便性のために支払いは止めなかったそうだ。
会見では社長が何度も「利便性」という言葉を使った。それは誰にとっての利便性なのだろうかと感じた。
ネットセキュリティに詳しい作家の一田和樹氏もこう語っている。
「一般的に利便性と安全性は相反します。利便性を高めることは安全性を低めることにつながることになりかねません。必ずしもそうではありませんが、何も考えずにやればそうなることが多いのです」
また、冒頭で述べたように「二段階認証」を認識すらしていないことも問題だという。
「多要素認証は登録の際にスマホにSMSを送るなど複数の手段で確認する方法で、現在多くのサービスで使われています。金融機関ではワンタイムパスワードの利用も進んでいます。多要素認証が実装されていれば今回のような問題は起きなかったでしょう」