セブンペイの不正アクセスは何が問題だったのか(撮影:尾形文繁)

セブン-イレブンが7月1日に開始したQRコード決済システム「7pay(セブンペイ)」で不正アクセス被害が発覚した。相次ぐ不正利用の報告に暫時、入金手続きを停止する措置がとられていたが、4日、運営会社のセブン・ペイが一連の不正利用に関して記者会見を開いた。

しかし、セブン・ペイの小林強社長の言葉から感じられたのは、顧客から預かっている個人情報の重要性に対する無自覚だけではなく、現時点で起きていることや問題解決が長引いていることに対する認識が甘く、自社が提供しているサービスへの理解も低いと言わざるをえないものだった。

小林社長は記者会見で、7payのシステムに「脆弱性は見つからなかった」と応えたが、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていない。

背景には、大手流通が扱う決済システムとしては呆れるほど脆弱なシステムがあるが、さらに決済システムを提供するセブン・ペイの危機管理の甘さも追い打ちをかけている。

絶望的なほどの現状認識の甘さ

問題は大きく3つに分けられる。

1つはIDを乗っ取る簡易的手段を、セブン・ペイのシステム自身が“提供”していること。正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができる。

2つ目は重要情報の扱いの軽さ。クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証に対応していない。さらにパスワード変更時に生年月日を必要としているにもかかわらず、生年月日を省略して登録可能としている。そのうえ、省略時の規定値(変更しなかったときに使われる値)まで公開している。

最後に自身のシステムに対する過信だ。

発表によると7月2日にはユーザーから「身に覚えのない取引があったようだ」と報告があったうえ、翌日朝になると不正利用報告が相次いでいるにもかかわらず、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するだけにとどめた。

翌日、全入金手続きを停止させたが、対応は遅いと言わざるをえない。しかし、同社は不正アクセス元のほとんどが海外であるため、国外からの通信を遮断したとしている。小林社長は「対応が遅くなったという認識はない」と語った。

さらに困惑するのは、セブン&アイ・ホールディングス執行役員の清水健氏が、繰り返し「脆弱性に問題はなかった」とシステム側の不備を認めない発言を繰り返したことだ。

7月4日の午前6時時点の試算でおよそ900人のIDが乗っ取られ、被害額は約5500万円に上るとされるが、そうした被害規模よりも清水氏の発言のほうが、ずっと大きな問題だと個人的には感じる。

なぜなら、外部の評価機関に依頼するなど、開発時に適切な評価・テストを行っていれば、今回の問題はそもそも起きなかったと考えられるからだ。

では、彼らが「脆弱性ではない」と話し、「ユーザーの利便性を考えて設計」した問題とはなんだったのか?

2重・3重の問題点

今回の問題ではセブン&アイ・ホールディングスとセブン・ペイは被害者という立場で会見が開かれている。

しかし杜撰な甘いセキュリティ管理を知れば、そもそも彼らが「社会通念上、当たり前の」システムを作っていればサービス開始翌日の夜に被害者が出るという事態にはならなかったということがわかる。

セブン・ペイのログインIDとして使われる「7iD」は、生年月日と電話番号、それにメールアドレスがわかればパスワードを変更できる仕組みだ。しかも、パスワード再設定の案内を送るメールアドレスを“自由に指定できる”ため、上記3つの項目さえ把握していればIDを乗っ取ることが可能だ。

しかし、これで話はすまない。

スマートフォンアプリから登録する場合、生年月日は必ずしも入力しなくともよく、省略すると2019年1月1日が設定されるという情報も公開されている。すなわち、電話番号とメールアドレスの組み合わせがあれば、スマートフォンから登録したユーザーのIDは生年月日なしで乗っ取られることになる。


セブンペイの登録を促すキャンペーンのポスター(編集部撮影)

そのうえで、決済システム向けに入金を行うという重要な処理に使うパスワードを「ユーザーの利便性を考えて」簡単に変えられるようにしたのだから呆れる。ユーザーの利便性を上げるために、意図して「パスワード変更を容易にした」と話しているのに、一方では脆弱性ではないと主張する。

本当に現状を正しく認識できているのだろうか。サービスを開始して翌日の夜には被害者の訴えがあったということは、パスワードリスト攻撃などの可能性は排除され、システム設計そのものを疑うべき場面だ。

今回の会見も、まずは自らの足元の危うさについて素直に認めたうえで、有効な対策について話すべきだったはずだが、会見内容は保身としか思えないものだった。

そもそも、7payに関しては初日から混乱を極めており、同社がこのような強弁を行う意図が見えない。多く問題を抱えた中で起きた今回の不正利用に関しては、真摯に“原因と対策”に立ち返った対応が必要だ。

筆者も初日から同サービスをテストしてみたが、レジで現金を入力する方法が周知されておらず、従業員に大きな負荷がかかっていた。とりわけ従来ある非接触IC型のキャッシュレス決済システムnanacoとの併存は、ポイントの共通化などとともに混乱する要因だった。また、実際に利用する際には入金用バーコードと決済用バーコードが異なることがわからず、利用する際に逡巡するありさまだった。

こうした事態を招いた背景には、彼らなりの事情もあったのだろう。

今回の問題は、7iDのユーザー情報を変更する手続きに問題があったからだが、7iDは7payが開始されるまで、単なるクーポン発行のアプリで利用されるのみだった。この時点ではユーザーのクレジットカード情報を扱うことはなく、セキュリティ設計の詰めが甘かったとしても誰も指摘しなかったのだろう。

実際、セブン-イレブンアプリのIDを乗っ取ったところで、たいした利益はない。しかし、セブン-イレブンアプリを拡張する形で7payが実装されたことで事情は変化した。

「企業としての信頼回復」を

ここからは単なる推測にすぎないが、もともと7iDのセキュリティに関しては、侵入可能との認識が(クラッカー側には)あったのだろう。しかし乗っ取ったところでクーポン配布などでしか使われていない7iDに利用価値はない。ところがなんのセキュリティ対策も施されないまま7payが開始された。展開の速さや経緯を考えるならば、このように既知の問題を通じてあっという間に被害が広がったと考えるのが合理的だ。

金融情報を扱っていないシステムを流用し、クレジットカードからの高額入金を許容するシステムへと衣替えする時点で、セキュリティ設計を見直すべきだったが、見逃されたままサービスを開始。最初の謝罪会見をしてなお、現状認識の甘さを指摘された。

セブン&アイ・ホールディングスは、「自分たちは被害者である」ことを訴求する以前に、自らの非を認めるべきだ。設計段階でのミスは明らかだ。7payの問題だけであれば、被害者への返金など補償を徹底すればすむだろうが、今回の事例における最大の問題点はセキュリティに対する認識の甘さ、幹部のセキュリティ問題に対する意識の低さだろう。

こうした根本とも言えるテーマに疑問を持たれた企業が信頼回復を得ることは難しい。

しかし経験を生かす道はあるはずだ。セブン&アイ・ホールディングスとしての責任があるとするなら、それはより信頼できる仕組みを構築し、消費者に報いる仕組みを作ることにほかならない。