セブンペイの不正アクセスはなぜ起きたのか

「設計、現状認識、後日対応」すべてが甘かった

筆者も初日から同サービスをテストしてみたが、レジで現金を入力する方法が周知されておらず、従業員に大きな負荷がかかっていた。とりわけ従来ある非接触IC型のキャッシュレス決済システムnanacoとの併存は、ポイントの共通化などとともに混乱する要因だった。また、実際に利用する際には入金用バーコードと決済用バーコードが異なることがわからず、利用する際に逡巡するありさまだった。

こうした事態を招いた背景には、彼らなりの事情もあったのだろう。

今回の問題は、7iDのユーザー情報を変更する手続きに問題があったからだが、7iDは7payが開始されるまで、単なるクーポン発行のアプリで利用されるのみだった。この時点ではユーザーのクレジットカード情報を扱うことはなく、セキュリティ設計の詰めが甘かったとしても誰も指摘しなかったのだろう。

実際、セブン-イレブンアプリのIDを乗っ取ったところで、たいした利益はない。しかし、セブン-イレブンアプリを拡張する形で7payが実装されたことで事情は変化した。

「企業としての信頼回復」を

ここからは単なる推測にすぎないが、もともと7iDのセキュリティに関しては、侵入可能との認識が(クラッカー側には)あったのだろう。しかし乗っ取ったところでクーポン配布などでしか使われていない7iDに利用価値はない。ところがなんのセキュリティ対策も施されないまま7payが開始された。展開の速さや経緯を考えるならば、このように既知の問題を通じてあっという間に被害が広がったと考えるのが合理的だ。

金融情報を扱っていないシステムを流用し、クレジットカードからの高額入金を許容するシステムへと衣替えする時点で、セキュリティ設計を見直すべきだったが、見逃されたままサービスを開始。最初の謝罪会見をしてなお、現状認識の甘さを指摘された。

セブン&アイ・ホールディングスは、「自分たちは被害者である」ことを訴求する以前に、自らの非を認めるべきだ。設計段階でのミスは明らかだ。7payの問題だけであれば、被害者への返金など補償を徹底すればすむだろうが、今回の事例における最大の問題点はセキュリティに対する認識の甘さ、幹部のセキュリティ問題に対する意識の低さだろう。

こうした根本とも言えるテーマに疑問を持たれた企業が信頼回復を得ることは難しい。

しかし経験を生かす道はあるはずだ。セブン&アイ・ホールディングスとしての責任があるとするなら、それはより信頼できる仕組みを構築し、消費者に報いる仕組みを作ることにほかならない。

ライフの人気記事
トピックボードAD
関連記事
  • 新型コロナ、長期戦の混沌
  • 自衛隊員も学ぶ!メンタルチューニング
  • ポストコロナのメガ地経学ーパワー・バランス/世界秩序/文明
  • 森口将之の自動車デザイン考
トレンドライブラリーAD
人気の動画
東芝、会社「3分割」に残る懸念
東芝、会社「3分割」に残る懸念
ANAとJAL、国内線で競り合う復活レースの熾烈
ANAとJAL、国内線で競り合う復活レースの熾烈
富裕層、世代でまったく異なる「お金の使い方」
富裕層、世代でまったく異なる「お金の使い方」
サイゼリヤが「深夜営業廃止」を決断した裏側
サイゼリヤが「深夜営業廃止」を決断した裏側
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
メタバース革命が始まる<br>全解明 暗号資産&NFT

不正流出事件から4年。復活不可能に見えたビットコイン相場は米国主導で活況を取り戻しました。暗号資産を使ったNFTの購入、そしてNFT取引が広がるメタバースにもビジネスの機会が広がっています。日本は暗号資産とどう向き合うのでしょうか。

東洋経済education×ICT