セブンペイの不正アクセスはなぜ起きたのか ｢設計､現状認識､後日対応｣すべてが甘かった

筆者も初日から同サービスをテストしてみたが、レジで現金を入力する方法が周知されておらず、従業員に大きな負荷がかかっていた。とりわけ従来ある非接触IC型のキャッシュレス決済システムnanacoとの併存は、ポイントの共通化などとともに混乱する要因だった。また、実際に利用する際には入金用バーコードと決済用バーコードが異なることがわからず、利用する際に逡巡するありさまだった。

こうした事態を招いた背景には、彼らなりの事情もあったのだろう。

今回の問題は、7iDのユーザー情報を変更する手続きに問題があったからだが、7iDは7payが開始されるまで、単なるクーポン発行のアプリで利用されるのみだった。この時点ではユーザーのクレジットカード情報を扱うことはなく、セキュリティ設計の詰めが甘かったとしても誰も指摘しなかったのだろう。

実際、セブン-イレブンアプリのIDを乗っ取ったところで、たいした利益はない。しかし、セブン-イレブンアプリを拡張する形で7payが実装されたことで事情は変化した。

「企業としての信頼回復」を

ここからは単なる推測にすぎないが、もともと7iDのセキュリティに関しては、侵入可能との認識が（クラッカー側には）あったのだろう。しかし乗っ取ったところでクーポン配布などでしか使われていない7iDに利用価値はない。ところがなんのセキュリティ対策も施されないまま7payが開始された。展開の速さや経緯を考えるならば、このように既知の問題を通じてあっという間に被害が広がったと考えるのが合理的だ。

金融情報を扱っていないシステムを流用し、クレジットカードからの高額入金を許容するシステムへと衣替えする時点で、セキュリティ設計を見直すべきだったが、見逃されたままサービスを開始。最初の謝罪会見をしてなお、現状認識の甘さを指摘された。

セブン&アイ・ホールディングスは、「自分たちは被害者である」ことを訴求する以前に、自らの非を認めるべきだ。設計段階でのミスは明らかだ。7payの問題だけであれば、被害者への返金など補償を徹底すればすむだろうが、今回の事例における最大の問題点はセキュリティに対する認識の甘さ、幹部のセキュリティ問題に対する意識の低さだろう。

こうした根本とも言えるテーマに疑問を持たれた企業が信頼回復を得ることは難しい。

しかし経験を生かす道はあるはずだ。セブン&アイ・ホールディングスとしての責任があるとするなら、それはより信頼できる仕組みを構築し、消費者に報いる仕組みを作ることにほかならない。