鈴木淳也のPay Attention
第5回
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する
2019年7月10日 09:30
「7pay」の問題が拡大している。7月3日に最初の不正利用が報告され、翌4日にはセブン&アイ・ホールディングスのグループ幹部らによる説明会見が実施された。会見では被害者への補償と問題対策後の速やかなサービス再開が発表されるなど矢継ぎ早の対応が行なわれたが、発覚から1週間を経てまだ今後の展開は見えない状況にある。
前回は「コンビニPay」というくくりで、なぜ流通各社が決済サービスに乗り出したのかの背景を紹介したが、今回はこの問題について、セキュリティ的視点から考察してみたい。
「2段階認証」や「パスワードリセット」は問題の本質ではない
4日の会見では、記者からの「なぜ(7payでは)2段階認証の仕組みがないのか」という質問に対し、「7pay」を提供するセブンペイ社長の小林強氏が「2段階認証」の意味がわからないかのように言葉に詰まる場面が話題になった。また7月3日以降に7pay(というよりは「7iD」)におけるパスワードリセットの仕組みに不備があることがたびたび指摘され、この部分が悪意のある第三者による侵入の突破口になったという意見をたびたびネット上で見かける。
本稿では「2段階認証」と「パスワードリセット」の解説は省くが、ここで重要なのは今回の7payのセキュリティ問題は「2段階認証」や「パスワードリセット」ではなく、「そもそもの原因が現時点で不明な点」にある。
Engadget 日本版の記事でも触れているが、筆者の知り合いが7payで30万円の被害に遭っている。当人はモバイル決済の分野では専門家で、「7iD」に登録したIDと16桁のパスワードの組み合わせは他のサイトでは用いていないもので「リスト攻撃」は難しく、さらに7payのチャージ用パスワードはこの7iDとは異なるものを設定している。
これだけ厳重に設定を行ないながら、わずか1日弱でパスワードを突破されてクレジットカードからアカウントに30万円チャージが行なわれ、ごく短時間に一気に店舗決済に利用されてしまった。被害者の話によれば7iD自体は以前から使っていたもので、仮に7payのサービス開始前にすでに7iDが乗っ取られていたとして、チャージ用パスワードが短時間で突破するのは、実質的な総当たり攻撃である「ブルートフォース」を用いたとしても難しいだろう。
他の被害者らの事例も各方面の取材を通して把握しているが、「2段階認証」や「パスワードリセット」の問題ですべてを説明できるわけではなく、現状の7pay問題のステータスを一言で説明すれば「原因は不明」であり、「すべての可能性が存在する」という状況にある。
ゆえにこの2つの問題を小手先の対策で塞いだとして、おそらく根本的な問題は何も解決していないだろう。短時間でクレジットカードのショッピング枠を換金可能な高額商品の買い物に割り当てられる仕組み(7pay)が実装されたことで、それまで潜在していた脆弱性が利用されてしまった可能性が高いのではないかと筆者は推測する。
ゆえに目を向けるべきなのは、7payもさることながら、「7iD」やそれを利用する「オムニ7」のシステムということになる。2015年に既存のショッピングサイトを取り込む形でスタートしたオムニ7は、セブン&アイHD自らが管轄する同グループの戦略サービスであり、ある意味で中核事業だ。
すでに3年以上の稼働実績があり、これが原因とは思っていない、あるいは思いたくないのかもしれない。また「影響が出るサービスが多く止めるわけにはいかない」という理由もあり、どちらかといえば小手先の対応に向かってしまうのではないだろうか。
セブン内部と外部との意識の乖離
7payの緊急会見でもう1点気になったのが、記者らが質問で前述の2段階認証など7pay側のセキュリティ実装に関する脆弱性をたびたび指摘していたにも関わらず、セブン側の回答は「社内ではセキュリティに関して問題ないと考えている」であり、中国を発信地とした不正なアクセスを検知したことを報告するのみだった。
この一連のやり取りから考え得るのは、「セブンは自身のシステムのセキュリティ的問題を認識していない」ということに加え、「今回の問題の原因は外部からの不正アクセスであり、セブンはむしろ被害者」といった意識を持っている可能性だ。そもそもの原因はセキュリティ対策が不十分だったことから外部の不正アクセスを許したことであり、この点の認識がセブンは甘いと感じるには十分な発言だ。たとえ諸悪の根源が不正アクセスを行なった犯人だとしても、セブンの対策が甘いことには変わりない。
もし前段のように既存の「7iD」や「オムニ7」に脆弱性が存在していた場合、仮に2段階認証を搭載したとして、この根本的な問題を抱えた状態のシステムを走らせ続けることを意味する。
考え得る最悪のシナリオは、セブン側が「問題ないことを確認した」と再開したサービスが再び問題を起こすことだ。経済産業省ではセブンに対して「不正利用防止のためのガイドライン」の遵守を求めており、10月1日に消費税増税に合わせる形で実施される「キャッシュレス・消費者還元事業」(ポイント還元事業)の事業者に同社の登録を認めない可能性にも言及している。仮にセブンが問題を再び起こした場合、消費者のQRコード・バーコード決済に対する警戒を招く形で「キャッシュレス決済比率を上げる」という本来の目的を果たせなくなるからだ。
現在の最大の問題は、セキュリティに関して総合的に判断して実装を行なう責任者がセブン内部に不在なことだ。Business Insiderの「【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か」でも触れられているが、7payは度重なるスケジュール変更の後にリリースされており、本来リリース前に実施されるべき十分なテストが行なわれていない。
しかも、同件に詳しいある関係者の話によれば、現状はまだ会見で触れられた不正検知システムの対応に手一杯で、2段階認証実装を含むセキュリティ対策全体の見直しには着手できていないようだ。
加えて、今回のシステムはオムニ7(7iD)のセブン&アイHD、セブンイレブンアプリならびにリアル店舗運営のセブン-イレブン・ジャパン、そして7payのセブンペイと3社にまたがった仕組みであり、責任の所在を巡っていまもなお議論が行なわれていると複数の関係者が証言する。
いずれにせよ、各社が必死になって準備してきたものが、1社のセキュリティ問題1つで水泡に帰す事態だけは避けてほしい。決して急ぐことなく、セキュリティについて今一度見直し、ユーザーに安全で便利なサービスを届けてほしい。