セブンペイ「不正アクセス」が与えた深刻影響

期待のサービスが暗転、拡大目標に黄信号

問題とされているのがパスワード再設定の仕組みだ。パスワードを再設定するためのURLを登録済みのメールアドレス以外でも受け取れる状態になっており、IDや生年月日、電話番号がわかれば、第三者がパスワードを再設定することができた。

さらに、SMSなど追加認証によるセキュリティ対策も行われていなかった。金融分野のデータ分析などを手がける「ジャパンデジタルデザイン」の楠正憲CTOは「2014年ごろからID・パスワードだけの認証では不十分だとして、GoogleやFacebookなどでセキュリティが強化されてきた。IDとパスワードだけでなく、ワンタイムパスワードや生体認証など別の要素を入れるのが現在のセキュリティのスタンダードだ」と指摘する。

脆弱性試験をきちんと行っていなかった?

セブンペイは、元々あったセブンのクーポンを配信するアプリやIDに機能を追加して作られている。楠氏は「クーポン配信用のアプリに決済機能を加えると、攻撃者にとって期待収益が高まるため、狙われるリスクが高まる。リスクの洗い出しから行い、機能を見直さなければならない」と話す。

会社側はセブンペイ開始前に行った試験の際には脆弱性は指摘されなかったという。ただ、エンジニア業界内では「通常ならすぐにセキュリティに穴があるとわかる状態だ。7月にリリースするという納期が優先された結果、脆弱性試験をきちんと行っていなかったのでは」という声が出ている。

セブンペイは5日現在でチャージと新規登録のみを停止。支払いは可能な状態になっている(撮影:尾形文繁)

セブン&アイ・ホールディングスには1500万人のID会員がおり、うちセブンペイ登録者が150万人。今回不正被害に遭ったのはそのうちの900人だ。セブンペイは5日現在、チャージと新規登録のみを停止しているが、セブンペイでの支払いは可能になっている。登録者が多く、顧客の利便性を考慮したこと、不正アクセスによる被害はセブンが補償すること、さらに、チャージを停止すると不正が減ると確認されたことがこうした対応をとった理由だ。

同グループではセブンやイトーヨーカドー、そごう西武などグループ内企業でIDを共通化することで、消費者の動向をつかむ戦略をとっている。セブンアプリと同じIDを使用するグループ通販サイト・オムニ7のサイトを見ると、未登録のメールアドレスにパスワード再設定メールを送る問題の欄は一見見当たらない。4日の記者会見で会社側は対策をとったと説明しているが、4日21時時点ではメールアドレスの入力フォームを非表示にしているだけだった。会見後もしばらくの間は、第三者がパスワードを変えられる状態のままだった(現在はメール送信フォームを削除済み)。

次ページ流通業界でいち早くスマホ決済に進出したが
ビジネスの人気記事
トピックボードAD
関連記事
  • 新型コロナ、長期戦の混沌
  • ボクらは「貧困強制社会」を生きている
  • 若者のための経済学
  • 本当に強い大学
トレンドライブラリーAD
人気の動画
パチンコホール「ガイア」店舗撤退で大激変する勢力図
パチンコホール「ガイア」店舗撤退で大激変する勢力図
ネットで生卵がメチャメチャ売れる驚きの理由
ネットで生卵がメチャメチャ売れる驚きの理由
やる気を削がれる人と奮起する人の決定的な差
やる気を削がれる人と奮起する人の決定的な差
「名岐アパレル」で連鎖倒産、産地の厳しい現実
「名岐アパレル」で連鎖倒産、産地の厳しい現実
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
サプライズと配当成長株で勝つ<br>株の道場 成長先取り編

菅首相の退陣決定を受け、東証株価指数が31年ぶりの高値へ急騰。日経平均株価も3万円を超えました。本特集では9月17日発売の『会社四季報』秋号を先取りし、上方修正期待の大きいサプライズ銘柄を抽出。株価上昇を享受する方法を会得しましょう。

東洋経済education×ICT