「7pay廃止」で幕引きとは言えない

8月1日、セブン＆アイ・ホールディングスは、東京都内で会見を開き、同社系列独自のコード決済サービス「7pay」を、9月30日24時にて「廃止」すると発表した。

7pay、9月30日で廃止。「継続は難しい」と未使用分は返金

この会見には筆者も参加していた。セブン&アイ側は会見内容についてかなり準備をしていたようで、謝罪もあったし、質問にも担当者が逐一回答していた。7月4日に開かれた最初の会見とはかなり違う。

だが、内容として、決して満足できるものではなかった。参加していたIT系の記者で、「自分達が納得できる答えが帰ってきた」と思った人はいなかったのではないか。

あの会見でなにが問題だったのか。それを理解すると、セブン&アイが「7pay廃止で幕引き」としようしている流れが、大きな間違いである可能性が見えてくる。

7pay問題の経緯を公表

7payの問題について、セブン＆アイ側が主張したことは以下の6点に集約できる。

• 7payは7月2日未明から大規模な攻撃を受け、同日午前から被害が出始めた。被害は全国に及び、特定地域への偏りはない。
• 攻撃の種類は「リスト型」。2日未明から数千万件のアタックがあり、アクセスログにも形跡が残っている。他の要素については、外部企業とも連携した監査を行なったが、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、明確な流出の痕跡は確認できない。
• 被害件数は808人/3,861万5,473円。海外からのアクセス遮断やチャージ停止、新規加入の停止などの策により、7月4日までで被害の増加はほぼストップし、7月中旬以降、新たな被害は確認できていない。
• 被害者には8月19日から個別に対応の案内を始め、被害額の全額をセブン&アイが補償する。
• 必要なセキュリティはサービスのレベルによって異なる。監査を行なったが、7iDやオムニ7は「他の同種のサービス」と比較し、遜色ない。不安を感じる方がいると考え7iDのパスワードリセットを行ったが、これで安心してお使いいただけるものと考えている。
• 7payを新たに開発しなおすには時間もかかるため、サービスは廃止。チャージ残高の返金などの手続きについては後日案内

すなわち、攻撃を「リスト型」であった、と判断し、他のセキュリティ上の瑕疵は問題なく、サービスとしての立て直しが難しいと判断した7payを廃止することで、今回の事件の幕引きとしたい……ということだ。

ハッキング被害は「リスト型攻撃」だけだったのか

そもそも、7payのセキュリティ実装について様々な問題があり、そこを突かれて大きな被害が出た、ということは間違いない。その点はセブン&アイ側も否定していない。

だが、セブン&アイ側の技術的な説明には、納得しかねる部分が多い。

特に技術的な面で疑問なのは、「リスト型による被害が中心で、他の手法については大きな問題はなかった」とする見解だ。

実際、流出したIDとパスワードでハッキングされる「リスト型攻撃」では説明のつかない事例が複数存在する。ランダムかつ他では使い回していないパスワードを使っていた人や、ログイン用パスワードとチャージ用パスワードに違うものを設定していた人も被害にあっている。

セブン&アイ側は、そうした「リスト型攻撃」以外の例があったかなかったのかについて、会見の中で、「個別例」とだけ答え、言及を避けていた。あるかないか、その判断を曖昧にさせた上で、「問題はリスト型攻撃であって、これに対処できていれば7iDに問題はない」と言っているようなものだ。

確かに、セブン&アイ側の主張する通り、全体の被害でみれば少ないケースだったのかもしれない。

だが、こうした「ちゃんと個人側でも対策していたケース」の場合、問題が起きたとすれば、やはりなにか相応の原因があるはずだ。すべてが「個人側の勘違いや間違い」だったなら杞憂で済むが、そうでない場合、どこかに侵入の原因がある可能性が残る。

「調査レポート未公開」で7iDを信じることはできるのか

セブン&アイは社内に「セキュリティ対策プロジェクト」を作り、今回の問題の検証にあたった。そこには外部のセキュリティ会社の協力もあったという。

一方で、どのような調査結果が出たのか、どのセキュリティ会社が協力したのかといった情報は「公開しない」という。あくまで社内調査であり、第三者に向けた情報公開は想定していない、というのだ。

筆者はここに問題を感じる。

確かに、ハッキングは攻撃側との戦いなので、情報を出しづらい部分はあるだろう。だが、「ID基盤に対する信頼」を担保する上で、それを外部監査できないのでは、「セブン&アイを信じろ」と言われているに過ぎないではないか。

そもそも、7月4日の会見では、「7payについては、事前の社内・社外でのセキュリティテストでも問題がなかった」とコメントしている。現在は「相互検証、相互牽制の仕組みが十分に機能していなかった」と反省の弁を述べているが、では、「今回はもう大丈夫」と判断する根拠を、どこに持てばいいのだろうか?

外部による監査が可能なレポートが出るなら、「7iDに問題はない」とするセブン&アイ側の主張を検証することもできるだろう。だが、今の状態では難しい。

セブン&アイにとって、7payは立ち上がる前のサービスであり、金額規模も小さい。だが、7iDは、全グループに関わる技術であり、ネット戦略の要だ。だから、問題が7iDに広がり、セブン&アイ・グループ全体のネット戦略見直しにつながることは避けたかっただろうことは想像できる。

筆者が気になったのは、7iDの脆弱性について問われた時、会見の中で何度も「現時点のサービス内容であれば、問題がない」という表現を使っていることだ。

サービスによって求められるセキュリティレベルは変わる。決済はもっとも堅牢なものが求められるものだ。しかし、「個人の認証」だけなら、レベルを下げてもいい、という判断はあるかもしれない。セブン&アイの主張は、「7pay以外での使い方ならば問題はない」という風に聞こえないだろうか。

こうした懸念を払拭するためにも、セキュリティ調査に関するレポートは公開し、「7iDとネットサービスであるオムニ7は大丈夫」という信頼を得ることが重要なのではないか。

今のセブン&アイにはそれができていない。

これこそが、「7pay幕引きで終わらない疑念の根幹」である。

将来、大事にならなければいいが……いう不安を拭いきれない。

大規模攻撃の時代には「備え」が必須

そもそもだ。

7payのような大型サービスの場合、犯罪者は必ず攻撃をしかけてくるものだ。どのウェブサービス企業に聞いても、「リスト型攻撃は日常的に行なわれている」という。

今回も、スタートから半日で大規模な攻撃をしかけ、一両日中に日本中のセブン-イレブンから「出金」し、数千万円を集めるような大規模な犯罪が行なわれている。もはや「そういう攻撃があるもの」として備えるべき時代であり、それができていなかったことは、セブン&アイ側の大きな問題点である。

セブン&アイは今回の会見の中で何度も、「事後のモニタリング強化で(犯罪の)対策ができると考えていた」と話している。一気呵成な攻撃の前に、そんな悠長な対策で間に合うと思ったところがおかしい。

今後も同じような攻撃が、色々な企業に対して行なわれることだろう。犯罪を根元から絶てるよう、警察には最善の努力を期待したい。一方で、企業側も消費者側も、「最低限やるべきこと」はやって、リスクを最小化する必要がある。

少なくとも、リスト攻撃のような単純なものを防ぐ方法はいくらもある。個人が「パスワードを使い回さない」だけでリスクは劇的に軽減されるし、多段階認証、例えばFIDOのような規格に対応することで、より強固になる。

我々の側も、「認証」についてのリテラシーを一段階上げねばならない。世知辛いが、それが求められる時代なのだ。