深夜のセブンイレブン店舗(写真:Natsuki Sakai/アフロ)


 セブン&アイHDは、8月1日の記者会見で、7月1日に開始したスマホ決済サービス「7pay( セブンペイ)」を9月末で廃止すると発表した。

 国内はおろか世界でも有数の巨大な流通企業が鳴り物で始めたサービスが、開始から3カ月で撤退を迫られるという異例の事態である。

 他方、同時期にサービスを開始したファミリーマートのスマホ決済サービス「ファミペイ」は順調にサービスを提供している。

 セブンペイの失敗は、政府が推し進めるキャシュレス化に水を差すうえに、コンビニエンスストアなどでのスマホ決済への信頼を損なうものであり、その影響は大きい。

 スマホ決済は既に普及している技術であるのになぜ、セブンペイは失敗したのか。大きな疑問である。

 セブンペイの失敗の事例から、これからスマホ決済事業に参入しようとする企業などにとって、他山の石となる教訓を得るのが本稿の目的である。

 以下、初めに政府が推し進めるキャシュレス化の目的などを述べ、次に「7pay( セブンペイ)」事案の概要を述べ、次に、セブンペイの失敗から学ぶ教訓を述べ、最後に提言を述べる。

[JBpressの今日の記事(トップページ)へ]

1.政府が進めるキャシュレス化の目的

(1)キャッシュレス推進の背景

 経産省が作成・公表した「キャッシュレス・ビジョン」では、大阪・関西万博が開催される2025年までにキャッシュレス決済比率を40%とする目標を設定したうえで、 将来的には世界最高水準の 80%を目指すとした「支払い方改革宣言」が提示されている。

(2)キャッシュレス推進の目的

 今後我が国は、少子高齢化や人口減少に伴う労働者人口減少の時代を迎え、国の生産性向上は喫緊の課題といえる。

 キャッシュレス推進は、実店舗等の無人化省力化、不透明な現金資産の見える化、流動性向上と、不透明な現金流通の抑止による税収向上につながる。

 さらには支払データの利活用による消費の利便性向上や消費の活性化など、国力強化につながる様々なメリットが期待される(出典:「キャッシュレス・ビジョン」)。

(3)各国のキャッシュレス決済比率の状況

「キャッシュレス・ビジョン」によると、韓国89.1%、中国60.0%、英国54.9%、米国45.0%、フランス39.1%、インド38.4%、日本18.4%、ドイツ14.9%である。

 2015年当時のデータであるが、日本のキャッシュレス比率は、韓国を筆頭とする他国に比べて、圧倒的に低い割合であることが分かる。

(4)キャッシュレス決済方法

 店頭での主なキャッシュレス決済方法には、「接触型」「非接触型」「コード型」の3 パターンがある。

 接触型には、クレジットカード・デビットカード・キャッシュカードといった金融系カードの接触型IC カードがある。

 非接触型は、交通系(Suica、PASMOなど)や流通系(楽天Edy、nanaco、WAONなど)の電子マネーに採用されるなど幅広く利用されている。

 コード(QRコード/バーコード)型には、消費者が自身のスマートフォンの画面で提示したコードを店舗が読み取る利用者提示型と、店舗が提示したコードを消費者が読み取る店舗提示型がある。

 コード決済がこれまでのクレジットカードや電子マネーといったキャッシュレスサービスと決定的に異なるのは、スマートフォンに入れたアプリに表示されるコードを使って決済する手軽さである。

 今や、QRコード決済は、キャッシュレス決済の代名詞となっている。

2.「7pay」不正アクセス事案の概要

(1)事案の経緯

7月1日 サービス開始(セブン-イレブンアプリ上に搭載)
7月2日 利用者より「身に覚えのない取引があった」旨の通報

7月3日 関連会社ホームページへ「重要なお知らせ」を掲載:海外IPからのアクセスを遮断:クレジット/デビットカードからのチャージ利用を停止

7月4日 店舗レジ/セブン銀行ATMからの現金チャージ利用を停止:新規会員登録を停止

7月4日 セブンペイの運営会社「セブン・ペイ」小林社長の記者会見

7月5日 経済産業省は、今般のコード決済サービスにおけるアカウントの不正アクセス被害の発生を踏まえ、決済事業者などに対して、改めて不正利用防止のための各種ガイドラインの徹底とセキュリティレベルの向上を求めた。

7月11日 外部IDによるログイン停止
7月30日 利用者に7iDのパスワードリセットの実施を要請

8月1日 サービス廃止を決定
8月1日 セブン&アイ・ホールディングスの記者会見(9月30日サービス廃止を発表)

(2)被害について(出典:セブン&アイHDニュースリリース)

808人/38,615,473円(7月31日17:00現在)
※なお、7月中旬以降、新たな被害は確認されていない。

(3)本事案発生の原因について

ア.「リスト型アカウントハッキング」

 セブン&アイHDは、2019年8月1日発出のニュースリリースの中で本事案発生の主原因は、「リスト型アカウントハッキング」の可能性が高いとしている。

 リスト型アカウントハッキングとは、攻撃対象のサイトとは別のサイトで漏洩したIDとパスワードの一覧(リスト)を使い、攻撃対象のサイトへログインを試みる手法である。

 そしてログインに成功すると、そのアカウントユーザーになりすまして、クレジットカードを不正利用する。

イ.2段階認証の欠如

 今日、アカウント不正利用のリスクを回避する手段として広く利用されているのが2段階認証である。

 2段階認証は、従来のパスワード認証などの単一認証の弱点をカバーし、認証を強化するためのものである。

 その特徴は「認証プロセスが2段階に分けて行われる」ことである。セブンペイには2段階認証が実装されていなかった。

 セブンペイと同じく7月1日にサービスを開始したライバルであるファミリーマートの「ファミペイ」には2段階認証が実装されていた。「ファミペイ」は、登録時に携帯電話番号を使ったSMS(ショートメッセージサービス)認証を採用している。

 仮に悪意のある者が別のスマホから利用しようとしても、ログイン時には電話番号とパスワードのほか、登録時に登録した電話番号に送信されるSMSのワンタイムパスワードを入力する必要があるため、セブンペイのような事態を未然に防げる状態となっていた。

 セブンペイがなぜ2段階認証を実装しなかったかは最大の疑問である。

 セブンペイは独立アプリではなく、既に利用者を獲得していたセブン-イレブンアプリに決済機能として付加されたものであることが関係していることが考えられる。

ウ.セブン-イレブンアプリの会員システム「7iD(セブンアイディ)」の仕様の不備

 セブン-イレブンアプリは、「7iD(セブンアイディ)」に会員登録することにより各種サービスを利用できる。

 セブンペイも、「7iD(セブンアイディ)」に会員登録することによってスマホ決済が利用できるようになっていた。

 そのため、「7iD(セブンアイディ)」のセキュリティの脆弱性がそのままセブンペイのセキュリティの脆弱性となったと考えられる。

 セブン-イレブンアプリで使われていた「7iD(セブンアイディ)」は、メールアドレス・電話番号・生年月日が分かればパスワードのリセットが可能な状態になっていた。

 パスワードの漏洩時でも第三者が悪用できないようにする2段階認証の仕組みが備わっていなかったため第三者が別の端末で乗っ取ることが可能な状態になっていた。

 そのため、正規の利用者がセブンペイでクレジットカードの初期登録を実行した後、悪意のある者が、セブンペイ、つまり「7iD(セブンアイディ)」の脆弱性を突いて、正規利用者のアカントを乗っ取り、その上で登録されたクレジットカードで追加入金して換金可能性の高い商品を購入するという形で今回は被害が発生したのである。

「7iD(セブンアイディ)」は、これまでは乗っ取ったとしても割引クーポン程度しか入手できなかったため、悪意ある者による攻撃の対象となっていなかった。

 しかし、セブンペイが始まり、7iDとのひも付けが始まった瞬間に、悪意ある者の攻撃対象となったのである。

 事実、セブンペイのサービス開始直後に攻撃がなされている。これは、セブンペイのセキュリティの脆弱性が国外も含めよく知られていたことを示している。

 ユーザ(システム開発を依頼する企業)もベンダ(システムの設計・開発会社)も、スマホ決済サービスには他のサービスよりよい高度なセキュリティ強度が求められることを理解していなかったのではないかという疑問が残る。

3.教訓

(1)適材適所(適任者の選定)

 新規プロジェクトの成否は、プロジェクトマネジャー(プロジェクト全体の指揮管理を行う責任者)の手腕にかかっているといわれる。

 筆者は、今回のセブンペイ開発におけるユーザ側の実質的なプロジェクトマネジャーが誰であるか承知していない。

 セブン&アイHDは、8月1日、記者会見を開催した。この場には、セブン&アイHDの後藤副社長(兼 セキュリティ対策プロジェクト総責任者)、セブン&アイHDの清水執行役員(セキュリティ対策プロジェクト リーダー)、セブン&アイ・ネットメディアの田口社長、セブン・ペイの奥田営業部長が参加した。

 また、7月4日のセブン・ペイの記者会見(謝罪会見)には小林社長(セブン・フィナンシャルサービス取締役専務執行役員兼務)が参加した。

 全く部外者である筆者の個人的意見であるが、これでは、いわゆる屋上屋を重ねた組織となっており、誰に責任があるかがあいまいとなり、プロジェクトの進め方が非効率になりかねない恐れがある。

 また、ベンダー側も誰と調整すればよいのか困るであろう。

 いずれにしても、運営会社の社長に、2段階認証を理解していないサイバーセキュリティの素人を配置したことは適材適所には程遠い。

 新規プロジェクトの成功には、プロジェクトマネジャーのみならず要所要所に適任者を配置することである。

(2)新規情報システムにおけるリスクアセスメントの重要性

 リスクアセスメントとは、情報資産について、どのようなリスクが存在するのか、調査して洗い出し、そのインパクトを評価して、対応を決める一連の作業である。

 近年、コード決済サービスに対するサイバー攻撃は頻発しており、コード決済サービスが不正アクセスの攻撃対象になることは自明であった。

 にもかかわらず、セブンペイは、セキュリティに脆弱性がある「7iD(セブンアイディ)」を使用した。

 考えられる理由は、「7iD(セブンアイディ)」が、それまでは攻撃する価値がなく部外からのサイバー攻撃を受けていなかったことから、「7iD(セブンアイディ)」をコード決済に使用しても、それまでと同様に攻撃を受けないであろうと安易に判断したのであろう。

 いかなる状況にあっても新規情報システムのリスクアセスメントは実施されなければならない。

 リスクアセスメントにより、システムの脆弱性とそこを攻撃された場合の潜在的影響を見積もらなければならない。

 それにより、システムの脆弱性を低減するための適切なセキュリティ対策を適用することができるのである。

(3)ベンダーの専門家責任(技術者の職業倫理)

 既述したようにセブンペイに何故2段階認証が実装されなかったが最大の疑問である。

 法的には、ベンダは、プロジェクト・マネジメント義務として、開発作業を適切に進めるとともに、専門的な知識を有しないユーザが適切にプロジェクトに関与するように働きかける義務を負っている。

 他方で、ユーザは協力義務として適時に仕様の決定などを行うとともに、資料などの提供その他の必要な協力を行うべきとされている(プロジェクト・マネジメント義務と協力義務に関する判例:東京地裁平成16年3月10日判決)。

 本事案の場合、ITの専門家であるベンダは、コード決済に対する攻撃手法を知っており、その対策として2段階認証を実装すべきことを当然知っていたと考えられる。

 要件定義書に2段階認証が書かれていない場合には、ユーザに2段階認証を実装するよう提案するのが、ベンダの専門家責任である。

 2段階認証が要件定義書に書かれていないのを知りながら、何もしないのは、法的義務に違反するのみならず技術者の職業倫理にも反する行為である。

 他方、ベンダが、ユーザに対して2段階認証を実装するよう提案したにもかかわらず例えば納期や予算等の制約からユーザが提案を受け入れない場合もあるかもしれない。

 その場合の事業失敗の責任はユーザが負うものと考える。

(4)企業のトップの責任

 日本では、経営層のサイバーセキュリティへの関与度が高くないと言われる。

 日本情報システム・ユーザー協会が実施した調査「企業 IT動向調査 2016)」によれば、調査対象の60.4%の企業は「(経営層は)自社におけるセキュリティリスクは認識しているが、対策は IT 部門など担当部門に任せている」と回答している。

 その背景には、サイバーセキュリティ対策が売上向上にも業務効率向上にも直結しないということがあるとされる。

 経産省の策定・発表した「サイバーセキュリティ経営ガイドライン」には、「経営者のリーダーシップが重要」「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」と書かれている。

 また、2018年10月に発生したペイペイのクレジットカード不正利用事件を受けて「一般社団法人キャッシュレス推進協議会」が「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン(2019年4月16日制定)」を作成・公表した。

 同ガイドラインには、「第三者によるコード決済アプリIDやパスワードの不正取得による不正利用を防止するために、利用者のモバイルデバイスとコード決済アプリを紐づけ管理しなければならない」と記されている。

 しかし、セブンペイには2段階認証が実装されてないなど同ガイドラインが遵守されていなかった。

 総じて言えば、セブン&アイHDをはじめグループ会社全体で、顧客の重要な個人情報取り扱う企業であるという自覚と責任が欠如していたといっても過言でない。その責任は、各グループ企業のトップの責任である。

4.提言

 ごく最近、暗号資産(仮想通貨)を、銀行を介さず直接、電子マネーにチャージできるサービスが開始された。

 セキュリティ面の不安を残しながらもキャシュレス化はますます進展していくであろう。

 本事案はセブン-イレブン・ジャパンのみの問題ではなく、多くの企業においても同様な事案が惹起する可能性があることから他企業も対象とした提言を次に述べる。

(1)適任者に求められる資質

 では適任者とはどのような人物なのか。セキュリティビジネスには通常の商取引とは全く異なった資質が必要である。その資質は次の通りである。

.汽ぅ弌璽札ュリマネージャー(プロジェクトマネジャー)は、ハッキングのエキスパートでなければならない。ハッキングのエキスパートのみが防護施策を開発し得るからである。

△海療任者は社長直轄でなければならない。中間管理者は不要である。

ハッキングは常に最新のものであるためサイバーセキュリティに係る関係者は全員が最新のシステムやサイバーセキュリティエキスパートでなければならない。

ず廼瓩離轡好謄爐魯優奪肇錙璽化されておりサイバーセキュリティの関係者は関係するシステムの細部にわたるまで把握し、可能ならば脆弱性についても承知しておくことが望ましい。

 また、システム連接ポイントが脆弱ポイントとなることが多いことを忘れてはならない。

(2)研究開発に適した文鎮型組織

 適任者の部下は全員が適任者に直接報告するフラットな組織構造でなければならない。

 チーム内に職務権限の上下があってはならない。これは一般には文鎮型構造と言われるものであり新規プロジェクトによる研究開発時に採用される。

 我が国の多くの組織はトップダウンの三角形で、「ワンマン・ワンボス」の軍隊の組織構造と同じである。

 この組織はいったん決定されたことを着実に実行するためには最強のものであるが、創造的な成果物を求められる開発組織としては中間管理者が多く全く機能しないことが多い。

 自社を含め関連するシステム全体のサイバーセキュリティを的確に開発・運用するサイバーセキュリティ・マネージメント態勢を文鎮型構造へ変更するには経営トップの大胆な決断が不可欠である。

(3)利便性とサイバーセキュリティの両方を重視

 セキュリティは基本的には利便性と二律背反の関係にあり、両方を求めるとコストに跳ね返るという性質を持っている。

 そのような見方から、セキュリティを「経費」と見なしてセキュリティをおろそかしまう経営者がいる。

 しかし、今日セキュリティは他社に対して差別化できる数少ない戦略的な「投資」分野だと考えることもできる。

 他方、セキュリティをおろそかにすることで情報漏えいや不正行為などの問題が発生し、状況によっては「倒産」という企業にとって最悪の事態を招くことも十分に考えられる。

 セキュリティ対策は、事業継続、信用の維持及び法令等(ガイドラインを含む)の順守に密接に関連していることを経営者は肝に銘じなければならない。

筆者:横山 恭三