セブンペイの不正アクセスはなぜ起きたのか

「設計、現状認識、後日対応」すべてが甘かった

セブンペイの不正アクセスは何が問題だったのか(撮影:尾形文繁)

セブン-イレブンが7月1日に開始したQRコード決済システム「7pay(セブンペイ)」で不正アクセス被害が発覚した。相次ぐ不正利用の報告に暫時、入金手続きを停止する措置がとられていたが、4日、運営会社のセブン・ペイが一連の不正利用に関して記者会見を開いた。

しかし、セブン・ペイの小林強社長の言葉から感じられたのは、顧客から預かっている個人情報の重要性に対する無自覚だけではなく、現時点で起きていることや問題解決が長引いていることに対する認識が甘く、自社が提供しているサービスへの理解も低いと言わざるをえないものだった。

小林社長は記者会見で、7payのシステムに「脆弱性は見つからなかった」と応えたが、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていない。

背景には、大手流通が扱う決済システムとしては呆れるほど脆弱なシステムがあるが、さらに決済システムを提供するセブン・ペイの危機管理の甘さも追い打ちをかけている。

絶望的なほどの現状認識の甘さ

問題は大きく3つに分けられる。

1つはIDを乗っ取る簡易的手段を、セブン・ペイのシステム自身が“提供”していること。正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができる。

2つ目は重要情報の扱いの軽さ。クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証に対応していない。さらにパスワード変更時に生年月日を必要としているにもかかわらず、生年月日を省略して登録可能としている。そのうえ、省略時の規定値(変更しなかったときに使われる値)まで公開している。

最後に自身のシステムに対する過信だ。

発表によると7月2日にはユーザーから「身に覚えのない取引があったようだ」と報告があったうえ、翌日朝になると不正利用報告が相次いでいるにもかかわらず、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するだけにとどめた。

次ページ翌日、全入金手続きを停止させたが…
ライフの人気記事
トピックボードAD
関連記事
  • Amazon週間ビジネス・経済書ランキング
  • 本当は怖い住宅購入
  • 高城幸司の会社の歩き方
  • 日本人が知らない古典の読み方
トレンドライブラリーAD
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
おうちで稼ぐ、投資する!<br>在宅仕事図鑑

コロナ禍の下、世代を問わず広がったのが「在宅で稼ぐ」ニーズ。ちまたにはどんな在宅仕事があり、どれくらい稼げるのか。パソコンを使った「デジタル小商い」と「投資」に分け、誰にでもできるノウハウに落とし込んで紹介します。

東洋経済education×ICT