「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問
不正利用問題の解決に時間がかかるとして、7payのサービス廃止を決定したセブン&アイ・ホールディングス。ある意味で不正の「舞台」となった「7iD」は、同社グループの戦略的基盤……なのだが、安心して使い続けられるのだろうか。
既報の通り、セブン・ペイは9月30日をもってコード決済サービス「7pay(セブンペイ)」の提供を終了する。
同社の親会社であるセブン&アイ・ホールディングス(以下「7&i」)によると、サービス終了の直接的な原因となった「不正チャージ」「不正利用」(以下まとめて「不正利用」)の対象人数は808人、被害総額は3861万5473円となり、7月中旬以降は新たな被害は確認できていないという。
- →7&iのニュースリリース(リダイレクト先はPDFファイル)
8月1日に記者説明会を開催した7&iは、今回の不正利用の原因は「リスト型アカウントハッキング」(リスト型攻撃)である可能性が高いと説明している。そうなると、7payも利用している7&iグループ共通のユーザー基盤「7iD(セブンアイディー)」のセキュリティも気になる。
7&iはどのように説明したのだろうか。
8月1日の記者会見に登壇した関係者。左からセブン&アイ・ネットメディアの田口広人社長、セブン&アイ・ホールディングスの後藤克弘副社長(セキュリティ対策プロジェクトの総責任者)、同社の清水健執行役員(セキュリティ対策プロジェクトのリーダー)、セブン・ペイの奥田裕康取締役(営業部長)
不正ログインの試行回数は「数千万回」
7&iは7月5日、外部の情報セキュリティ企業(社名非公表)と連携した「情報セキュリティ対策プロジェクト」を立ち上げ、7payの不正利用に関する調査を開始。その結果、先述の通りリスト型攻撃による被害である可能性が高いとの結論に至ったという。
リスト型攻撃は、その名の通りIDやパスワードの「リスト」の一覧を“総当たり”で入れていくハッキング(攻撃)だ。要するに、悪意のある第三者がリストに基づく7iDのログイン試行を行った結果、不正利用につながったということになる。
7&iグループのデジタル戦略を担うセブン&アイ・ネットメディアの田口広人社長によると、リリース翌日(7月2日)の早朝から数千万回のアタック(試行)があったという。不正利用が確認されている808人についてはログインの試行とエラーの回数の調査も済んでいる一方、その他の「入られてしまった(ログインが成功してしまった)」事例については、セキュリティ企業とともに精査を進めている最中だという。
オープンIDログイン停止とパスワードリセットで「リスクは極小」に
先述の通り、7iDは7&iグループ共通のユーザー基盤である。7iDの前身は同社のWeb通販サイト「omni7(オムニセブン)」用会員IDで、これを「セブン−イレブン」アプリを始めとする7&iグループの各種アプリでも利用できるようにして現在に至っている。
一方、omni7や各種アプリでは他社の「外部ID」によるログインもできる。ここを突いて、外部IDでセブン-イレブンアプリにログインし、そのアカウントで使っていた7payの残高を使うことも理論上は可能だった。
そのため、7&iは7月11日の夕方、7iD対応サービスにおける外部IDログインを停止した。
さらに「リスクを極小化する」観点から、7月30日付で7iD自体のパスワードもリセットした。
7&iの清水健執行役員(デジタル戦略部シニアオフィサー兼セキュリティ対策プロジェクトリーダー)によると、今回の問題を受けて、7iDのセキュリティレベルを改めて検証したという。その結果、7pay以外のサービスの利用では十分なレベルであることが確認できたという。
本当に「リスト型攻撃」だけなのか?
ただ、今回の説明には疑問も残る。1つは、「リスト型攻撃」では説明しづらい不正利用報告がある点だ。
7payでは、7iDのIDとパスワードとは別にチャージ用の「認証パスワード」の設定が必要だ。7&iの説明によると、今回不正利用に遭遇し個別相談をしてきたユーザーのほとんどは、認証パスワードとログインパスワードを同一にしていたという。この場合、リスト攻撃でログインパスワードが判明してしまえば不正利用まである意味“一直線”だ。
しかし、SNSではログインパスワードと認証パスワードを全く別個かつ容易に想像できないものに設定したにも関わらず不正利用されてしまったケースが見受けられる。この場合、リスト型攻撃は事実上困難で、総当たり攻撃をするにしても相当な試行回数が必要となる。そうなると、別のセキュリティ問題があったのではないかという疑いも出てくる。
このことについて、筆者を含め複数の報道関係者が幾度となく質問したが、7&iは社内外のセキュリティ調査の結果として、現時点ではリスト型攻撃の可能性が高いという旨の回答に終始した。調査に携わる「社外」の情報セキュリティ企業についても守秘義務があるため答えられないとした。
もう1つの疑問点が、7pay“以外”のサービスのセキュリティについての説明が不十分なことだ。
先述の通り、7iDのセキュリティは7pay以外のサービスの利用では十分なレベルであることが確認できたという。ただし「何のサービスをやるかによって、要求される(セキュリティ)レベルは変わる」(清水執行役員)こともあり、今回の発表内容からは7iDそのものがどこまでセキュアな状態なのか客観的な判断をしづらい。もっといえばomni7を始めとする7iDを使うその他のサービスがどこまでのセキュリティ体制を構築しているのかも分からない状態でもある。
肝心な部分での説明が不透明であるがゆえに、7iD、ひいてはそれを使う7&iグループのサービスが安心なのかが判然としない――客観的に評価できるよう、7&iは可能な限り多くの情報を公開してほしいと思う。
関連記事
- 「7pay」がサービス終了 9月末で
セブン・ペイが提供するコード決済サービス「7pay」が開始から2カ月でサービス終了を決定。現在、この件に関する記者説明会を東京都内で開催中だ。 - 7pay不正アクセスの原因は「リスト型攻撃の可能性が高い」 7iDパスワードを一斉リセット
セブン&アイ・ホールディングスは、7月30日に7iDのパスワードを一斉にリセットした。不正アクセスを受けた「7pay」のセキュリティ対策のため。同社によると、不正アクセスの原因は、リストが攻撃の可能性が高いという。 - 7pay騒動から見えた、モバイル決済の懸念 生き残るために必要なものとは?
不正利用が発覚した「7pay」の問題が収束する気配が見えない。セブン社内でも混乱が続いているようで、セキュリティ対策と顧客サポートの両面で手が回っていない印象を受ける。この7payを含む「コンビニPay」と、銀行が提供する「銀行Pay」を含めた、モバイル決済全体の課題を整理する。 - 「7pay」不正利用は全額補償へ 全チャージ&新規登録停止も、サービス自体は継続
セブンペイが、不正利用が発覚した「7pay」の被害状況や、今後の対応について説明した。7月4日6時時点で、不正アクセスが疑われる人数は約900人、不正に決済された金額は約5500万円。全てのチャージと新規登録受付を停止する。 - 7pay、2段階認証導入やチャージ上限額見直しへ
セブン&アイ・ホールディングスは、「7pay」の不正利用を受け、今後導入予定の対策を案内した。2段階認証の導入、チャージ1回あたりの上限額見直しなどを予定している。包括的なセキュリティ対策を行う組織「セキュリティ対策プロジェクト」も立ち上げた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.