「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”(2/2 ページ)
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが緊急会見を開いた。
「脆弱性は見つからなかった」
不正アクセスの原因について、記者から「パスワードリスト攻撃ではないか」と指摘されると、小林社長は「その可能性も含めて調査中である」と答えた。
今回の事件で特に問題視されているのが、「パスワードリセットの仕様」だ。7payは「セブン-イレブン」アプリに実装された決済機能。「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。
ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。
7payは複数のパートナー企業と共同開発したという。セキュリティ審査の詳細は不明だが、そもそも「明らかに問題がありそうな仕様・設計」について、現場担当者レベルで誰も気付かなかったのかという疑問は残る。
そもそも、なぜ「登録時と別のアドレスでパスワードリセットできる仕様」にしたのか。清水執行役員は、PCから(パスワードリセット)操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った、と説明した。
「パスワードリセットの問題については対応中。ユーザーの利便性を考えながら、改善した方がいい部分については改善していく」(清水執行役員)
被害者は「警察に被害届を出して」
被害状況の詳細についても、調査を進めていく。不正利用の中には、1度の買い物で10万円分のたばこを購入したケースもあったという。
小林社長は「単価が高く換金性が高いたばこが購入されるケースが多い」と強調していたが、実際にはAmazonギフト券などPOSA(Point Of Sales Activation)カードを狙うケースが多いのではないだろうか。実際に会見の中でも、Amazonギフト券などが購入できることを認めていた。
被害額は全額補償としているが、被害者は具体的にどのような手続きをとればいいのか。小林社長は「警察に被害届を出してもらうのが基本的なプロセス。違うやり方がないか検討しないといけないと思っている」と説明した。今後はカスタマーサポートの人員を増加させるなどして、利用者のアフターサポートを充実させる。
しかし、今回の大規模な不正アクセス被害で多くの利用者の信頼を失ったのも事実だろう。「スマートフォン決済全体の信頼を損なう出来事ではないか」と指摘されると、小林社長は「(今回の件は)残念な事象。スマートフォン決済は安心、安全、便利と思ってもらえるよう、早急に立て直したい」と答えた。
これだけの被害が出たものの、「ユーザーの利便性のために」サービスの全面停止には踏み切らなかったセブン&アイ。会見の中では「利便性」という言葉が何度も出てきたが、まずは安全に使えるアプリを提供することを優先するべきではないだろうか。
関連記事
- 7pay、チャージと新規登録を停止 不正ログイン被害額は約5500万円、「全て補償する」
「7pay」で不正ログイン被害が相次いだ問題で、運営元が7payへの電子マネーのチャージと、新規のアカウント登録を一時停止。不正アクセスの被害者は約900人、被害額は約5500万円(4日現在)で、全て補償するという。 - 「7pay」で不正アクセス被害 「クレカから勝手にチャージされた」報告相次ぐ 運営元はID・パスワード変更を推奨
7月1日にリリースしたモバイル決済サービス「7pay」の一部アカウントが、 第三者による不正アクセスの被害を受けた。Twitter上にも「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いでいる。運営元のセブン・ペイは、簡単なID・パスワードを設定しているユーザーに対し、変更するよう呼び掛けている。 - 7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も
セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。 - 7pay、クレジット・デビットカードでのチャージ停止 不正利用対策で
「7pay」で不正ログインの被害が相次いでいる。セブン&アイ・ホールディングスは対策として、クレジットカードとデビットカードによるチャージを一時停止した。再開時期は未定。
Copyright © ITmedia, Inc. All Rights Reserved.