セブンペイ不正アクセスに関する記者会見で頭を下げる運営会社の小林強社長(中央)ら 時事通信

写真拡大

7pay不正利用。炎上を招いた社長による記者会見

 7pay(セブン‐イレブンで使えるかんたんスマホ決済)が炎上している。900人の不正利用被害、5500万円の被害額。それらは少なく見積もってということらしい。記者会見の動画も見た。そして、ネットで炎上していた発言も確認した。7payに二段階認証を導入しなかったのはなぜかと問われて、セブン・ペイの小林強社長が「二段階認証……?」と、キツネにつままれたような顔をした(参照:「テレ東ニュース」動画内31分)。

 電子決済の会社の社長が、一般人でも知っているIT知識を持ち合わせていないのだと露呈した。最低限のITリテラシーがないのならば、何が問題視されているのかも理解できていない可能性がある。

 それ以外にもまずい発言が多々あった。

 脆弱性の検査はした。問題はなかった。脆弱性があるかどうかは調査しなければ分からない。

 記者が、かなり具体的にセキュリティ的な穴を指摘しているのに、そうした解答しかなかった。

 事実説明をする予定の会見で、何も分かっていない社長が出てきて説明している。はたから見れば、そうとしか見えない状況だ。

 私が最近目にした言葉に「謝罪ソムリエ」というものがある。様々な不祥事の謝罪に対して、ネットの住民が専門家のように批評するというものだ。

 セブン・ペイの今回の会見は、そうした謝罪ソムリエの視点から、及第点に達しているとは到底言えないものだった。炎上するわけだと感じた。

◆簡単にアカウントを乗っ取れた7pay

 7payが炎上している理由は、謝罪会見だけではない。アカウントを乗っ取れる特大級の仕様上の穴が存在していた。その穴は、「パスワードリセット」(パスワードを忘れた際に、メールアドレスにパスワードリセットのURLを送る)のページに存在していた。

 7payのパスワードリセットのページでは、生年月日と電話番号とメールアドレスを入力する。しかし、そのあとになぜか「別のメールアドレス」を入力する項目がある(参照:三上洋 - 個人 - Yahoo!ニュース)。

 会見でも記者が突っ込んでいたが、なぜそうした仕様になっているのか? セブン・ペイの社長は「利便性のため」と説明していた。スマホで登録した人がパソコンでパスワードリセットをできるようにしたという。

 それができるということは、生年月日と電話番号とメールアドレスを知っていれば、本人がいない海外からでもパスワードリセットができる。実際にセブン・ペイの社長は、海外から、それも中国からのアクセスが多かったと語っていた。

 生年月日と電話番号とメールアドレスぐらいならば、正しいパスワードを知らなくても、個人情報のデータを買えば簡単に突破できる。

 たとえば、こういうシナリオが考えられる。

 名簿を買って、海外経由で大量にアクセスして、乗っ取れるアカウントのリストを作る。そしてオレオレ詐欺の出し子に相当する人に、換金性の高いものを購入する方法を説明して、アカウントを売る。匿名のまま、お金を手に入れることができるだろう。

 そもそも、この3つの情報なら、友人が知っているレベルのものだ。友人が「7payを使ってみた」と言ったら、簡単にパスワードリセットをして、自分がログインできる。7payでは、こうしてログインすると、チャージも支払いも思いのままにできたようだ。

 さらにiPhoneでは、登録に生年月日の入力は必須ではなかった。入力しなかった場合、生年月日は内部的に2019/01/01と設定される。そうなると、メールアドレスと電話番号が分かれば、お金が盗み放題になる(Togetter)。 アカウントを乗っ取った人は、たばこのように換金性の高い商品を購入したと会見では話していた。900人で5500万円ということは、分かっている限りで、1人の被害額は6万円強。ネットでは30万円の被害を受けたと話している人もいた。