2019/07/05 7payの不正アクセスと日本の安全ボケ - 菜花亭日乗
FC2ブログ

菜花亭日乗

菜花亭笑山の暇つぶし的日常のつれづれ。 散歩する道筋は、日本酒、俳句、本、音楽、沖縄、泡盛、カメラに...etc

Top Page › (16)時事・世相 › 2019/07/05 7payの不正アクセスと日本の安全ボケ
2019-07-05 (Fri)  20:33

2019/07/05 7payの不正アクセスと日本の安全ボケ


日本は安全な国だと言われる。

確かに泥棒や強盗が街をウロウロしては居ないし、女性が夜独り歩きができることから、そう言われる。

しかし、日本でもかっぱらいやオレオレ詐欺や深夜の強盗などはあり、絶対に安全な国とは言えない、相対的に安全なだけだ。

しかし、ITの世界は国境はない。
日本の国が安全と言う考えは、通用しない。

7pay
の事故の報道を見ると、「日本は安全」という漠然とした思い込みをしてしまった結果だと思う。

詳しくはわからないが、IDやパスワードを本人確認が不十分でも出来てしまったシステム設計だったようだ。
 外国からの不正アクセスで、善良な日本のユーザーのID、パスワードが簡単に盗み取られたようだ。

事故後は外国からのアクセスをシステムから遮断したそうだが、そもそも外国からのアクセスを許可する必要性は在ったのだろうか。
 まずは国内だけの運営にし、問題点を洗い出し、解決したあと、外国からのアクセスを許可するべきだったのではないだろうか。

今回の7payの不正アクセスは、システム設計の安全ボケとしか言えない。


今回の被害は、お金だけで済むから良い。
しかし、国の安全と言う話になると、事は重大だ。
ビザなし交流や安易な外国人労働者の増加は、国の安全に関わることで、安全ボケは許されない。

日本は大丈夫だろうか、ボケていないのだろうかと、
7pay
の事件は想わせた。



『「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” (1/2)
2019
0704 1749分 公開

[
村上万純,ITmedia]

 モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは74日、緊急会見を開いた。被害額は全額補償するという。運営元のセブン・ペイ小林強社長は「詳細については調査中。いろいろな角度から精査しないといけない」と語ったが、全体を通してセブン&アイ側の認識の甘さが垣間見えた会見だった。


clip_image001
セブン・ペイの緊急会見。中央が小林強社長
残高チャージ、新規登録を停止 決済機能はそのまま
 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。

clip_image002
7pay」公式サイトより

 同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だった。

 小林社長は、不正アクセスの発覚から現在までの経緯を説明。2日に「身に覚えのない取引があったようだ」という利用者からの問い合わせがあり、社内で調査した結果、3日に不正利用の事実を確認。カスタマーサポートの緊急ダイヤルを設置し、公式サイトでIDとパスワード管理について注意喚起した。

 同日にクレジットカードとデビットカードによるチャージを停止し、4日にセブン-イレブン店頭レジやnanacoポイントなど全てのチャージ機能を停止した。7payの新規登録受け付けも「近々で停止する」という。決済機能は引き続き提供する。

 同社の調査では、不正アクセス元のほとんどが海外IPのため、海外からの通信を遮断したとしている。小林社長は「対応が遅くなったという認識はない」と語った。


「脆弱性は見つからなかった」

clip_image003
セブン・ペイの小林強社長

 不正アクセスの原因について、記者から「パスワードリスト攻撃ではないか」と指摘されると、小林社長は「その可能性も含めて調査中である」と答えた。

 今回の事件で特に問題視されているのが、「パスワードリセットの仕様」だ。7payは「セブン-イレブン」アプリに実装された決済機能。「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。

 ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。

 7payは複数のパートナー企業と共同開発したという。セキュリティ審査の詳細は不明だが、そもそも「明らかに問題がありそうな仕様・設計」について、現場担当者レベルで誰も気付かなかったのかという疑問は残る。

 そもそも、なぜ「登録時と別のアドレスでパスワードリセットできる仕様」にしたのか。清水執行役員は、PCから(パスワードリセット)操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った、と説明した。

 「パスワードリセットの問題については対応中。ユーザーの利便性を考えながら、改善した方がいい部分については改善していく」(清水執行役員)

被害者は「警察に被害届を出して」
 被害状況の詳細についても、調査を進めていく。不正利用の中には、1度の買い物で10万円分のたばこを購入したケースもあったという。

 小林社長は「単価が高く換金性が高いたばこが購入されるケースが多い」と強調していたが、実際にはAmazonギフト券などPOSAPoint Of Sales Activation)カードを狙うケースが多いのではないだろうか。実際に会見の中でも、Amazonギフト券などが購入できることを認めていた。

 被害額は全額補償としているが、被害者は具体的にどのような手続きをとればいいのか。小林社長は「警察に被害届を出してもらうのが基本的なプロセス。違うやり方がないか検討しないといけないと思っている」と説明した。今後はカスタマーサポートの人員を増加させるなどして、利用者のアフターサポートを充実させる。

 しかし、今回の大規模な不正アクセス被害で多くの利用者の信頼を失ったのも事実だろう。「スマートフォン決済全体の信頼を損なう出来事ではないか」と指摘されると、小林社長は「(今回の件は)残念な事象。スマートフォン決済は安心、安全、便利と思ってもらえるよう、早急に立て直したい」と答えた。

 これだけの被害が出たものの、「ユーザーの利便性のために」サービスの全面停止には踏み切らなかったセブン&アイ。会見の中では「利便性」という言葉が何度も出てきたが、まずは安全に使えるアプリを提供することを優先するべきではないだろうか。
』(ITmediaNEWS




関連記事

最終更新日 : 2019-07-05

Comment







管理者にだけ表示を許可