セブンペイ｢不正アクセス｣が与えた深刻影響 期待のサービスが暗転､拡大目標に黄信号

問題とされているのがパスワード再設定の仕組みだ。パスワードを再設定するためのURLを登録済みのメールアドレス以外でも受け取れる状態になっており、IDや生年月日、電話番号がわかれば、第三者がパスワードを再設定することができた。

さらに、SMSなど追加認証によるセキュリティ対策も行われていなかった。金融分野のデータ分析などを手がける「ジャパンデジタルデザイン」の楠正憲CTOは「2014年ごろからID・パスワードだけの認証では不十分だとして、GoogleやFacebookなどでセキュリティが強化されてきた。IDとパスワードだけでなく、ワンタイムパスワードや生体認証など別の要素を入れるのが現在のセキュリティのスタンダードだ」と指摘する。

脆弱性試験をきちんと行っていなかった？

セブンペイは、元々あったセブンのクーポンを配信するアプリやIDに機能を追加して作られている。楠氏は「クーポン配信用のアプリに決済機能を加えると、攻撃者にとって期待収益が高まるため、狙われるリスクが高まる。リスクの洗い出しから行い、機能を見直さなければならない」と話す。

会社側はセブンペイ開始前に行った試験の際には脆弱性は指摘されなかったという。ただ、エンジニア業界内では「通常ならすぐにセキュリティに穴があるとわかる状態だ。7月にリリースするという納期が優先された結果、脆弱性試験をきちんと行っていなかったのでは」という声が出ている。

セブンペイは5日現在でチャージと新規登録のみを停止。支払いは可能な状態になっている（撮影：尾形文繁）

セブン＆アイ・ホールディングスには1500万人のID会員がおり、うちセブンペイ登録者が150万人。今回不正被害に遭ったのはそのうちの900人だ。セブンペイは5日現在、チャージと新規登録のみを停止しているが、セブンペイでの支払いは可能になっている。登録者が多く、顧客の利便性を考慮したこと、不正アクセスによる被害はセブンが補償すること、さらに、チャージを停止すると不正が減ると確認されたことがこうした対応をとった理由だ。

同グループではセブンやイトーヨーカドー、そごう西武などグループ内企業でIDを共通化することで、消費者の動向をつかむ戦略をとっている。セブンアプリと同じIDを使用するグループ通販サイト・オムニ7のサイトを見ると、未登録のメールアドレスにパスワード再設定メールを送る問題の欄は一見見当たらない。4日の記者会見で会社側は対策をとったと説明しているが、4日21時時点ではメールアドレスの入力フォームを非表示にしているだけだった。会見後もしばらくの間は、第三者がパスワードを変えられる状態のままだった（現在はメール送信フォームを削除済み）。