7pay の不正使用問題について要点をまとめてみました。
- スマホ決済サービス 7pay が不正使用問題で批判を浴びている。
- 2 段階認証の欠如が主な問題で、業界ガイドラインにも反していた。
- 不正使用の危険性が指摘され、経産省は業界に対し対策の徹底を求めた。
- 他の決済サービスのガイドラインでは 2 段階認証が推奨されている。
- セブン & アイは今回の問題の原因を明確にせず、調査中であるとしている。
- 一部の機能を停止したが、サービスは継続されている。
- ネット上では、問題解決までサービス停止すべきとの意見もあるが、利便性を考慮して継続されている。
個人的に、ざっくりと問題点を分けると、下記の 2 つになると思います。
- 2 段階認証の仕組みが設けられていない
- 別のメールアドレスにパスワードをリセットするためのメールを送ることができる仕様
1 点目は、ここ数年の認証が必要となる新しいシステムでは当たり前に実装されており、それをセブンイレブンのような大企業が行うサービスに実装されていないことに驚きです。2 点目は既にこのような脆弱な仕組みが仕様(仕様ということは 7pay を作った人たちはこれを正式な挙動として認識しているのだ・・・)としてリリースされている点に驚きます。仕様であるがために前段に例えば WAF のようなセキュリティ対策が実装されていても防ぎようのないものですね。つくづくシステムのセキュリティはひとつひとつの考慮の積み重ね大事だなと思います。
原文の J-CAST ニュースの記事は以下の通りです。
7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン&アイは…
スマホ決済「7pay(セブンペイ)」の不正使用問題で、携帯電話を使った2段階認証を行っていなかったことなどに対し、ネット上で疑問や批判が噴出している。
これは、業界団体のガイドラインにも反しており、経産省は、その遵守を業界に求める異例の要請を行った。
2段階認証なしでは、アカウント乗っ取りの危険性 「2段階認証?」。2019年7月4日に行われた緊急会見で、7pay運営会社セブン・ペイの小林強社長は、記者からの質問にこんな戸惑いを見せた。
この認証は、パスワードでの認証に加えて、携帯電話番号によるSMS(ショートメッセージサービス)を利用して本人確認をするものだ。
7payでは、2段階認証を行っていなかったが、会見では、その理由が明確ではなかった。セブン-イレブンのアプリの一機能として7payがあり、この認証と同じ土俵で比べられるか分からないとだけ答えていたからだ。
ところが、ネット上では、2段階認証を使わない決済への異論がIT関係者らから相次いでいる。
使わないと、パスワードが漏洩した場合に、別のスマホを使ってアカウントを乗っ取られ、不正使用されてしまう恐れがあるからだ。
また、セブンのアプリでは、メールアドレスと生年月日、電話番号が分かれば、パスワードを勝手に変えられてしまう恐れも指摘されている。別のアドレスにパスワードのリセットをするためのメールを送ることができる仕様になっており、別のスマホでもパスワードを変えられるわけだ。
このことについて、会見では、携帯メールが使えないパソコンでの利便性を考えたと説明していた。
今回の不正使用について、経産省は7月5日、事態を重く見て、対策の徹底を求める要請を業界に対して行った。
2段階認証ないことが原因かは…「何とも言えません」 セブン-イレブンやセブン・ペイも加入している業界団体のキャッシュレス推進協議会では、別のスマホ決済「PayPay」の不正使用などもあって、バーコード決済サービスの各種ガイドラインを3~4月に定めた。
そこでは、サービスに当たって、利用者のスマホと決済用のアプリを紐づけて管理しなければならないとした。また、アプリを使った決済では、紐づけられた利用者のスマホから行われていることをその都度確認するとしている。
つまり、SMSを使った2段階認証をうたったものだ。
経産省は、協議会にオブザーバー参加しており、このガイドラインが遵守されていなかったとして、協議会のメンバーにその徹底を求めている。
同省のキャッシュレス推進室は7月5日、「今回は、基礎の基礎をやっていなかったということです。2段階認証をしないと、どんなサービスでも危ないことになります」とJ-CASTニュースの取材に答えた。
セブン・ペイが業者登録している金融庁は同日、「会社からは、今回の報告を逐次受けています。被害者への対応や当面の不正利用の防止について万全の措置を取って下さいと指示しました」と取材に話した。
7payの運営に関わるセブン&アイ・ホールディングスは、2段階認証を行っていなかったことなどについて、広報担当者がこう説明した。
「それが今回の原因かどうかは、何とも言えません。一定のセキュリティレベルに対応していましたが、万全だったとは言えないとも考えています。原因については、継続的に調べていますが、調査が終わる時期についてはまだ申し上げられないです」
7payではすでに、チャージや新規登録を停止しているが、チャージ分の決済はできるようになっている。
ネット上では、原因が分かるまでサービスそのものを停止すべきだとの声も多いが、「今後のことは、状況次第ですが、お客さまの利便性を考えてサービスを継続しました」と広報担当者は話している。
J-CAST ニュース