セブンペイ「不正アクセス」が与えた深刻影響

期待のサービスが暗転、拡大目標に黄信号

問題とされているのがパスワード再設定の仕組みだ。パスワードを再設定するためのURLを登録済みのメールアドレス以外でも受け取れる状態になっており、IDや生年月日、電話番号がわかれば、第三者がパスワードを再設定することができた。

さらに、SMSなど追加認証によるセキュリティ対策も行われていなかった。金融分野のデータ分析などを手がける「ジャパンデジタルデザイン」の楠正憲CTOは「2014年ごろからID・パスワードだけの認証では不十分だとして、GoogleやFacebookなどでセキュリティが強化されてきた。IDとパスワードだけでなく、ワンタイムパスワードや生体認証など別の要素を入れるのが現在のセキュリティのスタンダードだ」と指摘する。

脆弱性試験をきちんと行っていなかった?

セブンペイは、元々あったセブンのクーポンを配信するアプリやIDに機能を追加して作られている。楠氏は「クーポン配信用のアプリに決済機能を加えると、攻撃者にとって期待収益が高まるため、狙われるリスクが高まる。リスクの洗い出しから行い、機能を見直さなければならない」と話す。

会社側はセブンペイ開始前に行った試験の際には脆弱性は指摘されなかったという。ただ、エンジニア業界内では「通常ならすぐにセキュリティに穴があるとわかる状態だ。7月にリリースするという納期が優先された結果、脆弱性試験をきちんと行っていなかったのでは」という声が出ている。

セブンペイは5日現在でチャージと新規登録のみを停止。支払いは可能な状態になっている(撮影:尾形文繁)

セブン&アイ・ホールディングスには1500万人のID会員がおり、うちセブンペイ登録者が150万人。今回不正被害に遭ったのはそのうちの900人だ。セブンペイは5日現在、チャージと新規登録のみを停止しているが、セブンペイでの支払いは可能になっている。登録者が多く、顧客の利便性を考慮したこと、不正アクセスによる被害はセブンが補償すること、さらに、チャージを停止すると不正が減ると確認されたことがこうした対応をとった理由だ。

同グループではセブンやイトーヨーカドー、そごう西武などグループ内企業でIDを共通化することで、消費者の動向をつかむ戦略をとっている。セブンアプリと同じIDを使用するグループ通販サイト・オムニ7のサイトを見ると、未登録のメールアドレスにパスワード再設定メールを送る問題の欄は一見見当たらない。4日の記者会見で会社側は対策をとったと説明しているが、4日21時時点ではメールアドレスの入力フォームを非表示にしているだけだった。会見後もしばらくの間は、第三者がパスワードを変えられる状態のままだった(現在はメール送信フォームを削除済み)。

次ページ流通業界でいち早くスマホ決済に進出したが
関連記事
トピックボードAD
ビジネスの人気記事
  • 賃金・生涯給料ランキング
  • 最新の週刊東洋経済
  • 赤木智弘のゲーム一刀両断
  • 競馬好きエコノミストの市場深読み劇場
トレンドライブラリーAD
  • コメント
  • facebook
-

コメント投稿に関する規則(ガイドライン)を遵守し、内容に責任をもってご投稿ください。

ログインしてコメントを書く(400文字以内)
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
いま知っておきたい<br>天皇と日本史

「後醍醐天皇は超独裁者にして一流文化人」「光格天皇が朝廷の権威を高めたから維新が起きた」「昭和天皇は戦争指導に熱心だった」。有力学者による歴代天皇の研究で歴史を振り返りつつ、現代の天皇・皇室像を考える。