セブンペイ不正利用の原因

セブンペイ不正利用の原因

セブンペイのサービス開始以降、連日報じられている不正利用問題だが、2019年7月10日の日経新聞に、「セブンペイ不正、900人分ID乗っ取り」という記事が、続く12日には「セブンアプリに脆弱性、外部IDで情報漏洩の恐れ」といった記事が報じられた。

原因はまだ特定されておらず、当面、セブンペイのニュースは続くと思われるが、これまでに報じられた内容をまとめ、問題点の解説と、ユーザーの予防策を提示していく。

記事が長くなるので今回のテーマは2回に分けることにした。犯行手口と予防策を知りたい方は次回の記事を。

セブンペイ・サービス開始からの経緯

まずは、セブンペイのサービス開始からの経緯を見ていこう。4日の記者会見はツッコミどころ満載なのだが、その点も順に説明していく。

【7月1日】
セブンイレブン・ジャパンは、かねてより告知していた独自のスマートフォン決済サービス「セブンペイ」のサービスを開始した。開始まもなく、アクセスが集中して登録が滞るなどのトラブルが発生した。

【7月2日】
セブンペイ利用者から、身に覚えのない取引履歴があるとの問い合わせを受け、セブンイレブンは調査を始めた。

【7月3日】
前日に続き、この日も朝から「知らないうちにチャージされて、買い物につかわれた」といった問い合わせがあり、セブンイレブンはクレジットカードとデビットカードからのチャージを停止。また、利用者へID・パスワードの管理を呼びかけた。

同日の午前、新宿区のセブンイレブンで、中国籍の男2名が、他人のIDを不正に使用し、電子タバコ(約20万円分)をセブンペイで購入しようとし、詐欺未遂容疑で逮捕された。

【7月4日】
セブンイレブンは記者会見を開き、セブンペイの履歴データから、被害者は約900人、被害総額は5,500万円になると発表し、小林社長ら4人が会見で謝罪した。なお、利用者の被害については補償するのが基本原則と言及した。

また、「セブンペイで2段階認証を取り入れなかった理由を教えてください」という記者の質問に対し、小林社長は首を傾げ、「2段階うんぬんは認識しておりません」と答えている。

【7月5日】
セキュリティ対策強化のための組織を発足させ、2段階認証の導入や、チャージ額の上限を見直すと表明した。

2段階認証とは

ITニュース解説のページなので、2段階認証について簡単に解説しておこう。興味のない方は、読み飛ばして、次に進んでもらって差し支えない。「ちょっと面倒になるが、セキュリティ対策のために、2段階でユーザーを確認する仕組み」といった認識で十分だ。

【ITニュース解説のツボ】

2段階認証とは「IDやパスワードと、それ以外のプラスαの二段階で、ユーザーを特定する仕組み」だ。

例えば、IDとパスワードを書いた付箋をディスプレイの端に貼っておいた場合、誰かが見るかもしれない。その誰かはIDとパスワードを入力するだけで簡単にウェブサイトやアプリへログインすることが可能だ。

また、ショッピングサイトであれば、クレジットカード情報が登録してあることが多く、配達先を指定し直すだけで、不正に買い物をされてしまうリスクがある。今回のようにスマホ決済であれば、スマホを紛失したら、買い物され放題ということになりかねないのだ。

このようなことを防ぐため、IDやパスワードとは別に送金やクレジットカード決済には、追加の認証を取り入れている。指紋認証や虹彩認証の生体認証のこともあるし、USB型の認証端末もある。ワンタイムパスワードという仕組みを使うケースもあるが、ここで、ワンタイムパスワードの説明もしてしまうと話しが長くなり過ぎるので日を改めることにする。

つまり、プラスαは、ユーザー本人が紛失や流出してしまう可能性のあるID+パスワードとは別のものを認証に利用する。ミッションインポッシブルのようなことをしなければ、指紋や虹彩は他人がなりすますことはできないため、紛失や流出があっても金融資産を守ることができるのだ。

セブンイレブンの3つ過ち

さて、2段階認証を理解したところで、セブンイレブンの記者会見で何が問題だったのかを説明していこう。きっと、認識の甘さに閉口するだろう。

まず、「セブンペイで2段階認証を取り入れなかった理由を教えてください」という記者の質問に対し、小林社長は首を傾げ、「2段階認証って何だろう?」という仕草を見せ、さらに、「2段階うんぬんは認識しておりません」と答えている。

セブンペイを提供する株式会社セブンペイの社長が、2段階認証を聞いたこともないという顔をしたことに対して、その場にいた多くの記者は唖然としたことだろう。小林社長を擁護するつもりはないが、社長というのは通常、経営の責任者だ。エンジニアでなない。技術的なことは、技術部門の責任者へ任せて、自身は会社の方向性を考えたり、トップセールスに出向いたりすることが仕事だ。

しかし、決済サービスを主軸とする会社の社長が認証の質問を受けて、「2段階認証って何だろう?」という顔を見せてはいけないのだ。しかも、「2段階うんぬん~」とチンプンカンプンな回答までしてしまっている。

あの会見を見た人は、セブンペイを信用できなくなってしまうだろう。あの場面では、技術部門の責任者を指して、「そのことでしたら、彼から詳しくご説明いたします。」と毅然とした態度で答えるべきだった。

セブンイレブンの技術者はリスクの説明を怠っていた

それができなかったのは、技術部門の責任者が社長へ認証の説明を怠ったからに他ならない。さらに言えば、技術部門の責任者は、あらかじめ現状のリスクを説明し、2段階認証の採用を提案すべきだったのだ。

もし、提案したのに却下されたのであれば、会社の仕組み自体がすでに機能していないと言っていい。経営陣が認証を甘く見ていたのか、技術者がちゃんとした説明を怠ったのかのどちらかが招いた不祥事なのだ。決済サービスを主軸とする会社の最大の落度である。

セブンペイが抱えていた根本的な欠陥

また、不正利用の発覚後に次々とセキュリティの穴が見つかっている。記者会見で小林社長が「セブンイレブンアプリと連動させ~」と発言していたが、セブンペイは、セブンイレブンの公式アプリ7iDに内包される形で提供されている。

公式アプリに組み込むことで、販促に活用したかった気持ちは分かるが、そのためにはセブンペイの設計に制約がかかるということだ。技術者(プログラマー)は色々な制約の中で、理想とは程遠いものを作ってしまうこともある。

今回、初めから2段階認証が採用されなかった原因にもなっている。公式アプリとの連動を重視し、セキュリティをないがしろにした結果、セブンペイは誕生する前から根本的な欠陥を抱えていたのだ。

無条件で被害を補償するとは言っていない

そして、セブンペイの利用者にとって最も関心のある補償についてだが、セブンイレブン側は、「利用者の被害については補償するのが基本原則」と言っただけで、あくまで「基本原則」の域に留まる答え方にしかなっていない。

つまり、基本原則を外れた“例外もあり得る”と含みを持たせている回答なのだ。逃げ道を用意した上で、都合の悪い展開になったら、「無条件で補償するとは言っていません。あくまで基本の原則の考え方をお話したまでです」と言うこともできる。

現時点では、被害額は5,500万円と試算されており、セブンイレブンほどの規模を誇る企業であれば払えない数字ではない。おそらく、被害にあった利用者へは全額が補償されると思われる。ただし、誠意のある対応を考えていれば、「基本原則」などという言葉を選ぶか?甚だ疑問を感じてしまう。

続きは、次回の「セブンペイは初めから狙われていた」を見て欲しい。