ここから本文です

「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”

7/4(木) 17:56配信

ITmedia NEWS

 モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月4日、緊急会見を開いた。被害額は全額補償するという。運営元のセブン・ペイ小林強社長は「詳細については調査中。いろいろな角度から精査しないといけない」と語ったが、全体を通してセブン&アイ側の“認識の甘さ”が垣間見えた会見だった。

不正被害が相次いだ「7pay」

残高チャージ、新規登録を停止 決済機能はそのまま

 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。

 同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だった。

 小林社長は、不正アクセスの発覚から現在までの経緯を説明。2日に「身に覚えのない取引があったようだ」という利用者からの問い合わせがあり、社内で調査した結果、3日に不正利用の事実を確認。カスタマーサポートの緊急ダイヤルを設置し、公式サイトでIDとパスワード管理について注意喚起した。

 同日にクレジットカードとデビットカードによるチャージを停止し、4日にセブン-イレブン店頭レジやnanacoポイントなど全てのチャージ機能を停止した。7payの新規登録受け付けも「近々で停止する」という。決済機能は引き続き提供する。

 同社の調査では、不正アクセス元のほとんどが海外IPのため、海外からの通信を遮断したとしている。小林社長は「対応が遅くなったという認識はない」と語った。

「脆弱性は見つからなかった」

 不正アクセスの原因について、記者から「パスワードリスト攻撃ではないか」と指摘されると、小林社長は「その可能性も含めて調査中である」と答えた。

 今回の事件で特に問題視されているのが、「パスワードリセットの仕様」だ。7payは「セブン-イレブン」アプリに実装された決済機能。「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。

 ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。

 7payは複数のパートナー企業と共同開発したという。セキュリティ審査の詳細は不明だが、そもそも「明らかに問題がありそうな仕様・設計」について、現場担当者レベルで誰も気付かなかったのかという疑問は残る。

 そもそも、なぜ「登録時と別のアドレスでパスワードリセットできる仕様」にしたのか。清水執行役員は、PCから(パスワードリセット)操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った、と説明した。

 「パスワードリセットの問題については対応中。ユーザーの利便性を考えながら、改善した方がいい部分については改善していく」(清水執行役員)

1/2ページ

最終更新:7/4(木) 21:05
ITmedia NEWS

こんな記事も読まれています

あなたにおすすめの記事