既報の通り、セブン・ペイは9月30日をもってコード決済サービス「7pay(セブンペイ)」の提供を終了する。
同社の親会社であるセブン&アイ・ホールディングス(以下「7&i」)によると、サービス終了の直接的な原因となった「不正チャージ」「不正利用」(以下まとめて「不正利用」)の対象人数は808人、被害総額は3861万5473円となり、7月中旬以降は新たな被害は確認できていないという。
8月1日に記者説明会を開催した7&iは、今回の不正利用の原因は「リスト型アカウントハッキング」(リスト型攻撃)である可能性が高いと説明している。そうなると、7payも利用している7&iグループ共通のユーザー基盤「7iD(セブンアイディー)」のセキュリティも気になる。
7&iはどのように説明したのだろうか。
7&iは7月5日、外部の情報セキュリティ企業(社名非公表)と連携した「情報セキュリティ対策プロジェクト」を立ち上げ、7payの不正利用に関する調査を開始。その結果、先述の通りリスト型攻撃による被害である可能性が高いとの結論に至ったという。
リスト型攻撃は、その名の通りIDやパスワードの「リスト」の一覧を“総当たり”で入れていくハッキング(攻撃)だ。要するに、悪意のある第三者がリストに基づく7iDのログイン試行を行った結果、不正利用につながったということになる。
7&iグループのデジタル戦略を担うセブン&アイ・ネットメディアの田口広人社長によると、リリース翌日(7月2日)の早朝から数千万回のアタック(試行)があったという。不正利用が確認されている808人についてはログインの試行とエラーの回数の調査も済んでいる一方、その他の「入られてしまった(ログインが成功してしまった)」事例については、セキュリティ企業とともに精査を進めている最中だという。
先述の通り、7iDは7&iグループ共通のユーザー基盤である。7iDの前身は同社のWeb通販サイト「omni7(オムニセブン)」用会員IDで、これを「セブン−イレブン」アプリを始めとする7&iグループの各種アプリでも利用できるようにして現在に至っている。
一方、omni7や各種アプリでは他社の「外部ID」によるログインもできる。ここを突いて、外部IDでセブン-イレブンアプリにログインし、そのアカウントで使っていた7payの残高を使うことも理論上は可能だった。
そのため、7&iは7月11日の夕方、7iD対応サービスにおける外部IDログインを停止した。
さらに「リスクを極小化する」観点から、7月30日付で7iD自体のパスワードもリセットした。
7&iの清水健執行役員(デジタル戦略部シニアオフィサー兼セキュリティ対策プロジェクトリーダー)によると、今回の問題を受けて、7iDのセキュリティレベルを改めて検証したという。その結果、7pay以外のサービスの利用では十分なレベルであることが確認できたという。
ただ、今回の説明には疑問も残る。1つは、「リスト型攻撃」では説明しづらい不正利用報告がある点だ。
7payでは、7iDのIDとパスワードとは別にチャージ用の「認証パスワード」の設定が必要だ。7&iの説明によると、今回不正利用に遭遇し個別相談をしてきたユーザーのほとんどは、認証パスワードとログインパスワードを同一にしていたという。この場合、リスト攻撃でログインパスワードが判明してしまえば不正利用まである意味“一直線”だ。
しかし、SNSではログインパスワードと認証パスワードを全く別個かつ容易に想像できないものに設定したにも関わらず不正利用されてしまったケースが見受けられる。この場合、リスト型攻撃は事実上困難で、総当たり攻撃をするにしても相当な試行回数が必要となる。そうなると、別のセキュリティ問題があったのではないかという疑いも出てくる。
このことについて、筆者を含め複数の報道関係者が幾度となく質問したが、7&iは社内外のセキュリティ調査の結果として、現時点ではリスト型攻撃の可能性が高いという旨の回答に終始した。調査に携わる「社外」の情報セキュリティ企業についても守秘義務があるため答えられないとした。
もう1つの疑問点が、7pay“以外”のサービスのセキュリティについての説明が不十分なことだ。
先述の通り、7iDのセキュリティは7pay以外のサービスの利用では十分なレベルであることが確認できたという。ただし「何のサービスをやるかによって、要求される(セキュリティ)レベルは変わる」(清水執行役員)こともあり、今回の発表内容からは7iDそのものがどこまでセキュアな状態なのか客観的な判断をしづらい。もっといえばomni7を始めとする7iDを使うその他のサービスがどこまでのセキュリティ体制を構築しているのかも分からない状態でもある。
肝心な部分での説明が不透明であるがゆえに、7iD、ひいてはそれを使う7&iグループのサービスが安心なのかが判然としない――客観的に評価できるよう、7&iは可能な限り多くの情報を公開してほしいと思う。
Copyright © ITmedia, Inc. All Rights Reserved.