7pay、不正利用の背景か。IT業界が抱える「多重下請け」問題
7月1日から始まったセブン&アイ・ホールディングス独自のスマホバーコード決済「7pay(セブンペイ)」。業界最大手のコンビニチェーンが鳴り物入りでスタートさせたキャッシュレス決済だったが、スタート直後から第三者による不正アクセスが相次ぎ、わずか4日で新規登録が停止されるという事態に至った。
これまでに、およそ900人の利用者が不正アクセスの被害に遭い、その被害総額は5500万円に上るという。そもそもなぜ、このような不正利用の被害が相次いで起きてしまったのか。IT系のシステム開発に詳しい株式会社アクシアの代表取締役を務める米村歩氏に聞いた。
「乗っ取ってください」というレベル
「今回発生した7payのインシデントですが、元エンジニアの私に言わせれば、起きるべくして起きた事件です」
開口一番、そう言い切った米村氏は、7payの問題点について、次のような分析をする。
「専門家やITのプロの目から見れば、セキュリティが万全だったとは言いがたく、むしろ、『乗っ取ってください』と言っているようなレベルの低い仕様でした。
まず指摘すべき箇所として、パスワード関連の不備が挙げられます。パスワードを変更する際に必要なメールアドレス・電話番号・生年月日という3つの個人情報のうち、7payは生年月日の入力が必須項目に入っていませんでした。
つまり、不正利用を企てる連中が、メアドと電話番号をもとに片っ端から“総当たり”すれば、ログイン、リセットできるザルのようなセキュリティ環境だったのです」
「2段階認証」が未導入だった
続いて、すでに各方面に指摘されているが「2段階認証」の未導入にも苦言を呈する。
「セキュリティ担保のために必要な機能として、2段階認証というものがあります。これは、IDやパスワードの確認に追加して、さらにセキュリティコードによる確認を行うことで、より安全にログインするための仕組みです。
現在では、多くのシステムやWebサイトに導入されている2段階認証ですから、常識的に考えれば、お金を扱う7payのようなサービスにも実装されていなければならない。ところが、これが提供されていませんでした」