セブンペイの不正アクセスはなぜ起きたのか

「設計、現状認識、後日対応」すべてが甘かった

セブンペイの不正アクセスは何が問題だったのか(撮影:尾形文繁)

セブン-イレブンが7月1日に開始したQRコード決済システム「7pay(セブンペイ)」で不正アクセス被害が発覚した。相次ぐ不正利用の報告に暫時、入金手続きを停止する措置がとられていたが、4日、運営会社のセブン・ペイが一連の不正利用に関して記者会見を開いた。

しかし、セブン・ペイの小林強社長の言葉から感じられたのは、顧客から預かっている個人情報の重要性に対する無自覚だけではなく、現時点で起きていることや問題解決が長引いていることに対する認識が甘く、自社が提供しているサービスへの理解も低いと言わざるをえないものだった。

小林社長は記者会見で、7payのシステムに「脆弱性は見つからなかった」と応えたが、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていない。

背景には、大手流通が扱う決済システムとしては呆れるほど脆弱なシステムがあるが、さらに決済システムを提供するセブン・ペイの危機管理の甘さも追い打ちをかけている。

絶望的なほどの現状認識の甘さ

問題は大きく3つに分けられる。

1つはIDを乗っ取る簡易的手段を、セブン・ペイのシステム自身が“提供”していること。正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができる。

2つ目は重要情報の扱いの軽さ。クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証に対応していない。さらにパスワード変更時に生年月日を必要としているにもかかわらず、生年月日を省略して登録可能としている。そのうえ、省略時の規定値(変更しなかったときに使われる値)まで公開している。

最後に自身のシステムに対する過信だ。

発表によると7月2日にはユーザーから「身に覚えのない取引があったようだ」と報告があったうえ、翌日朝になると不正利用報告が相次いでいるにもかかわらず、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するだけにとどめた。

次ページ翌日、全入金手続きを停止させたが…
ライフの人気記事
トピックボードAD
関連記事
  • 新競馬好きエコノミストの市場深読み劇場
  • 就職四季報プラスワン
  • コロナショック、企業の針路
  • ほしいのは「つかれない家族」
トレンドライブラリーAD
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
なぜ取締役会に出席しない?<br>会社側の苦しい「言い訳」

役員会に出席せず改善の兆しがない取締役は、機関投資家や議決権行使助言会社から厳しい目を向けられています。株主総会招集通知から、取締役・社外監査役の取締役会出席率を独自集計し、欠席の多い人のランキングを作成しました。安易な選任の実態は?