「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”（2/2 ページ）

モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが緊急会見を開いた。

[村上万純，ITmedia]

「脆弱性は見つからなかった」

セブン・ペイの小林強社長

　不正アクセスの原因について、記者から「パスワードリスト攻撃ではないか」と指摘されると、小林社長は「その可能性も含めて調査中である」と答えた。

　今回の事件で特に問題視されているのが、「パスワードリセットの仕様」だ。7payは「セブン-イレブン」アプリに実装された決済機能。「生年月日」「電話番号」「会員ID（メールアドレス）」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。

　ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン＆アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性（ぜいじゃくせい）はなかった」と繰り返し強調した。

　7payは複数のパートナー企業と共同開発したという。セキュリティ審査の詳細は不明だが、そもそも「明らかに問題がありそうな仕様・設計」について、現場担当者レベルで誰も気付かなかったのかという疑問は残る。

　そもそも、なぜ「登録時と別のアドレスでパスワードリセットできる仕様」にしたのか。清水執行役員は、PCから（パスワードリセット）操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った、と説明した。

　「パスワードリセットの問題については対応中。ユーザーの利便性を考えながら、改善した方がいい部分については改善していく」（清水執行役員）

被害者は「警察に被害届を出して」

　被害状況の詳細についても、調査を進めていく。不正利用の中には、1度の買い物で10万円分のたばこを購入したケースもあったという。

　小林社長は「単価が高く換金性が高いたばこが購入されるケースが多い」と強調していたが、実際にはAmazonギフト券などPOSA（Point Of Sales Activation）カードを狙うケースが多いのではないだろうか。実際に会見の中でも、Amazonギフト券などが購入できることを認めていた。

　被害額は全額補償としているが、被害者は具体的にどのような手続きをとればいいのか。小林社長は「警察に被害届を出してもらうのが基本的なプロセス。違うやり方がないか検討しないといけないと思っている」と説明した。今後はカスタマーサポートの人員を増加させるなどして、利用者のアフターサポートを充実させる。

　しかし、今回の大規模な不正アクセス被害で多くの利用者の信頼を失ったのも事実だろう。「スマートフォン決済全体の信頼を損なう出来事ではないか」と指摘されると、小林社長は「（今回の件は）残念な事象。スマートフォン決済は安心、安全、便利と思ってもらえるよう、早急に立て直したい」と答えた。

　これだけの被害が出たものの、「ユーザーの利便性のために」サービスの全面停止には踏み切らなかったセブン＆アイ。会見の中では「利便性」という言葉が何度も出てきたが、まずは安全に使えるアプリを提供することを優先するべきではないだろうか。