セブンペイの不正アクセスはなぜ起きたのか

「設計、現状認識、後日対応」すべてが甘かった

セブンペイの不正アクセスは何が問題だったのか(撮影:尾形文繁)

セブン-イレブンが7月1日に開始したQRコード決済システム「7pay(セブンペイ)」で不正アクセス被害が発覚した。相次ぐ不正利用の報告に暫時、入金手続きを停止する措置がとられていたが、4日、運営会社のセブン・ペイが一連の不正利用に関して記者会見を開いた。

しかし、セブン・ペイの小林強社長の言葉から感じられたのは、顧客から預かっている個人情報の重要性に対する無自覚だけではなく、現時点で起きていることや問題解決が長引いていることに対する認識が甘く、自社が提供しているサービスへの理解も低いと言わざるをえないものだった。

小林社長は記者会見で、7payのシステムに「脆弱性は見つからなかった」と応えたが、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていない。

背景には、大手流通が扱う決済システムとしては呆れるほど脆弱なシステムがあるが、さらに決済システムを提供するセブン・ペイの危機管理の甘さも追い打ちをかけている。

絶望的なほどの現状認識の甘さ

問題は大きく3つに分けられる。

1つはIDを乗っ取る簡易的手段を、セブン・ペイのシステム自身が“提供”していること。正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができる。

2つ目は重要情報の扱いの軽さ。クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証に対応していない。さらにパスワード変更時に生年月日を必要としているにもかかわらず、生年月日を省略して登録可能としている。そのうえ、省略時の規定値(変更しなかったときに使われる値)まで公開している。

最後に自身のシステムに対する過信だ。

発表によると7月2日にはユーザーから「身に覚えのない取引があったようだ」と報告があったうえ、翌日朝になると不正利用報告が相次いでいるにもかかわらず、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するだけにとどめた。

次ページ翌日、全入金手続きを停止させたが…
ライフの人気記事
トピックボードAD
関連記事
  • ブックス・レビュー
  • 就職四季報プラスワン
  • 映画界のキーパーソンに直撃
  • 競馬好きエコノミストの市場深読み劇場
トレンドライブラリーAD
  • コメント
  • facebook
-

コメント投稿に関する規則(ガイドライン)を遵守し、内容に責任をもってご投稿ください。

ログインしてコメントを書く(400文字以内)
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
スクープ! 積水ハウス地面師事件<br>「封印された報告書」の全貌

「なぜ積水はだまされたのか」。2年前の地面師グループによる大型詐欺事件。謎を解く同社の内部資料を本誌が独自に入手した。だまされた積水が調査報告書の公開を拒む理由は。取引を承認した役員が現在も要職にある“闇”をいま明かす。