7payの「二段階認証導入」は正解か？ セキュリティ専門家、徳丸氏の視点（2/2 ページ）

[井上輝一，ITmedia]

　「まず、パスワードリセットの仕様に不備があったのは確か。しかし、Twitterで発信している被害者の方の話を信じれば、その不備を突く手法では矛盾も出てくる」（同）として、攻撃方法は特定できていないと話したセブン・ペイ側の説明は、「会見当時としては間違っていないだろう」と説明する。

　そして、セキュリティリテラシーの高いユーザーも今回被害に遭っていた以上、システム側の脆弱性は「明らかにある」のだが、一方で「脆弱性がない」という言葉も部分的には真実だったのかもしれない。

　7payの場合、「7iD」というセブン＆アイグループのサービス全体で使用するアカウントの認証基盤を採用しているため、いざ「7payの脆弱性を診断してくれ」と診断会社が発注を受けたとしても、7iD側の認証基盤までは手が出せない可能性があるという。

　「発注を受けていない範囲に勝手に触れば不正アクセスになってしまう。7payのアプリケーション自体は脆弱性診断をして問題がなかったのかもしれない。しかし、セブン・ペイの親会社であるセブン＆アイの認証基盤までは改めて診断していなかったのではないか」というのが徳丸さんの見解だ。

　セブン＆アイは「あらゆるサービスについてセキュリティ審査をしている」と話していたが、徳丸さんは「あくまで可能性の一つだが」としつつも、「もしかしたら診断後に変更を加えるなどしたため、認証基盤の脆弱性が放置されていたのかもしれない」と分析している。

　「パスワードリセット周りは脆弱性が入りやすいところ。しかし発注書に書いていないことは『こうしたらどうか』と提案はできても強制はできない。診断ベンダーとして悩ましい」（同）

セキュリティの俯瞰が必要　開発会社の責任も

　脆弱性が発生しにくいサービスを作るにはどうしたら良かったのか。徳丸さんは「（認証基盤まで含めた）システム全体像のセキュリティを俯瞰的に見る立場の人が必要だったのではないか」と話す。

　「脆弱性診断はあくまで出来上がったものに対して行うものなので、要件定義などより上流の過程でしっかりやらなければいけなかった」（同）

　徳丸さんは、「7iDの脆弱性については元請け企業にも一定の責任が発生しうる」という見方を示す。

　セキュリティ対策の責任の所在をめぐっては2014年に、発注書にない脆弱性（SQLインジェクション）を突かれた攻撃による損害について、対策をしていなかった受注の開発会社側に責任があるとする判決が出た裁判があった。ECサイトを運営する発注側が、開発委託先の会社を債務不履行で東京地裁に訴え、勝訴した事例だ。

　「原告の発注側はセキュリティ対策について特に委託先に指示していなかったが、被告の会社も専門家（開発会社）としての責務を果たしておらず、裁判所はこの点を重視した」（同）と事例を振り返る。

　このような判例があることから、「要求にないとしても、自衛のために開発会社はセキュリティ対策の提案をした方がいい。発注企業と要件定義などを直接議論できる立場にあるだろうと思われる元請けならなおさらだ」（同）と、開発会社としてあるべき姿勢を語った。