今回の事態について、後藤副社長は「7payのシステム開発やセブン&アイグループ全体のリスク管理などに問題があった」と不備を認めた。「複数端末からのログイン対策や二要素認証などの検討が十分ではなく、結果としてリスト型攻撃に対する防衛力を弱めた」という。
セブン&アイHDでデジタル戦略推進の指揮をとる清水健執行役員(デジタル戦略推進本部 デジタル戦略部 シニアオフィサー)も、「(7payの)システムの開発チームを横断して束ねられていなかった」と、マネジメントに課題があったことを認めた。
清水氏によると、7payのシステムは各機能を複数のプロジェクトチームが開発していた。それぞれのシステムを俯瞰し、全体像を検証する作業がおろそかになっていたという。
同社のセキュリティ面の不備はこれにとどまらない。7月24日付のWebメディア「BUSINESS INSIDER JAPAN」は「7payとログインの仕組みが一部似ている、セブン&アイHDのECサイト『オムニ7』アプリのソースコードが『GitHub』に掲載されており、誰でもダウンロードできる状態だった」と報道。7月10日頃まで公開が続いていた可能性を示した。
同グループのデジタル戦略支援を手掛けるセブン&アイ・ネットメディアの田口広人社長は、この報道内容を認めた上で「(GitHub上のソースコードについて)管理不行き届きだった」と謝罪した。
田口社長によると、問題のソースコードは2015年秋に開発環境向けとして作られたもので、当時は現在のサービス展開を想定していなかったという。ソースコードに書かれたインタフェースやログイン関連の仕様は、「現在は使われていない」としている。
セブン&アイHDの調査によると、不正ログインの実行犯が7payで決済したセブン-イレブン店舗に地域性はなく、犯行は全国的なものだったという。一方、一部地域に不正利用が集中した店舗があることも突き止めており、同社は再発防止に向けて防犯体制を強化中だとしている。
また同社は現在、クレジットカード会社と連携し、不正に使われた額が利用者の口座から引き落とされないよう対応中という。今後はクレカの他、デビットカードやnanacoポイントも含め、被害者に遭ったユーザーに全額を補償する方針だ。
体制の不備が続々と明るみに出ているセブン&アイHDだが、当初はキャッシュレス決済サービスをデジタル戦略の大きな柱として位置付けていた。7payは失敗に終わったが、今後もこの方向性に変わりはなく、体制を整えてもう一度チャレンジする可能性があるという。
後藤副社長は「時期や内容は白紙」としながらも、「キャッシュレス化の社会的ニーズは高く、今後もその需要は高まっていく。当社は引き続きキャッシュレスサービスの可能性を探るとともに、快適に買い物ができる環境を整えていく」との意向を語った。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR