セブン&アイ・ホールディングス(HD)グループでスマートフォン決済を手がけるセブン・ペイは7月4日、1日からスタートしたスマートフォン決済サービス「7pay(セブンペイ)」において、第三者による不正利用が発生したと発表した。同社では原因は調査中としているが、一部ではパスワードリセット機能に不備があったとの指摘も出ており、サービス再開の見通しは立っていない。
被害金額は3240万円
手口は、何者かが利用者のアカウントに不正アクセスし、本人になりすましてクレジットカードやデビットカードからアカウントにチャージ、セブン-イレブン店頭で買い物をするというもの。11日の段階で、セブン・ペイが確認した被害人数は1574名、被害金額は約3240万円となる。不正アクセスは中国など、海外のIPアドレスから行われたものがほとんどだった。同社では被害者に全額補償する方針。
サービス開始の翌日となる、2日に「身に覚えのない取引があったようだ」と問い合わせが顧客からあり、事態が発覚。3日にはクレジットカードとデビットカードによるチャージを停止し、4日にセブン-イレブン店頭レジとナナコポイントからのチャージを取りやめ、全てのチャージを一時停止した。なお、決済は停止していないため、アカウントにチャージした金額分は利用することができる。
不正アクセスが起きた原因については「これから改めて専門家を入れて調査する」(セブン&アイHDの清水健執行役員)としており、セブン・ペイでは5日に「セキュリティ対策プロジェクト」を立ち上げた。
7payは「セブン-イレブンアプリ」の1機能であり、ユーザーが同アプリを利用するには、グループの共通ID「7iD」に登録する必要がある。セキュリティーの専門家からは、7iDに紐づくパスワードを忘れた場合に使う、「パスワードリセット機能」に不備があったとの指摘が出ている。
通常、パスワードリセットをウェブから申請した場合、運営者は再登録用URLを、ユーザーが登録したメールアドレスにのみ送信する。7iDのリセット申請はグループの通販サイト「オムニ7(セブン)」内のページから行う仕組みだが、その際に登録時のメールアドレス以外のアドレスも指定できるようになっていた。そのため、IDとして利用しているメールアドレスと、電話番号、生年月日が分かれば、第三者でも勝手に再設定ができるため、不正アクセスが可能となる。
清水執行役員は「パソコンからリセットする場合、(登録時に使った)携帯電話キャリアのメールアドレスが使えないこともあり、そうした人に便宜を図った」とこうした仕様にした理由を説明した。この手口で不正アクセスされたかどうかは不明だが、オムニ7では4日夜、登録外のメールアドレスを指定できないように修正した。
2段階認証導入へ
パスワードリセットがずさんなことに代表されるように、7iDのセキュリティー体制に不備があった可能性もあるが、セブン&アイHDでは「グループのあらゆるサービスやアプリは、サービスインの前にシステムのセキュリティー審査をしていて、ぜい弱性は指摘されていない」(清水執行役員)と説明する。同社の広報センターによれば、こうした審査は「ペネトレーションテスト(侵入テスト)などを中心に実施した」という。
では、一般的なぜい弱性診断を行う上で、パスワードリセットの問題を見落とすケースはあるのだろうか。ウェブアプリケーションのセキュリティーに詳しい、EGセキュアソリューションズの徳丸浩代表取締役は「そもそも診断対象でなかったケースも考えられるが、パスワードリセットはセキュリティー上重要かつ、ぜい弱性が入りやすい箇所なので、診断対象から外すことは不自然に思える」と指摘する。
その上で「ぜい弱性診断で問題なしとされた後、パスワードリセットの機能が追加されたか、あるいはツール診断では発見できない問題なので、ツール診断のみのベンダーに調査を依頼したか、手動でも力量の足らない診断員が担当していた可能性もある」と推測する。
また、決済関連のアプリでは導入されていることが多い、2段階認証(ID・パスワードによる認証とは別に、ユーザーの携帯電話にショートメッセージなどで認証コードを送り、入力してもらうことで安全性を高める仕組み)も採用していなかった。セブン・ペイの小林強社長は4日の記者会見で「(ユーザーは)7iDを使ってセブン―イレブンアプリに登録し、アプリの機能として7payが入っている形なので、2段階うんぬんと同じ土俵で比べられるかどうか、認識していない」と述べていたが、5日には2段階認証の導入を検討することを同社が公表している。
こうしたウェブサービスは、登録のしやすさといった利便性に重きを置くと、セキュリティーが疎かになりがちだ。清水執行役員は「UX(ユーザー体験)をどう向上させるかと、セキュリティーをどう確保するかはバランスの問題になる。安全上問題なく、かつスムーズに使ってもらうという観点で開発してきた」と釈明する。
また、小林社長は「使いやすさを優先してセキュリティーのリスク面を疎かにしたわけではない」と説明するが、他の通販サイトよりも安全性という点で劣っていたのは否めない。ずさんな設計は「(超大手企業である)セブン&アイHDのサービスだから安心」というユーザーの信頼を裏切っていることを自覚すべきだ。また、今回指摘された認証面での不備は、全ての通販サイトでも課題となりうるだけに、各事業者は他山の石として安全性向上に取り組むべきだろう。
オムニ7への影響は
一方で、7iDでログインできるオムニ7などに被害が及ぶ可能性もあるが、「監視はしているが、ここ1週間で際立つ動きはない」(清水執行役員)という。
徳丸氏によると、オムニ7が取るべき対応は、パスワードの流出経路で変わってくるという。まず、パスワードリセットが原因だった場合は「リセットされた利用者はログなどから判明するので、攻撃が疑われる利用者のパスワードを無効化するべき。その上で、対処したことを公表し、対象者にはあらためてパスワードを再設定してもらう必要がある」(徳丸氏)。
次に、他社サービスなどからすでに流出したID・パスワードを流用して不正ログインを試みる「パスワードリスト攻撃」が原因だった場合は、「その旨を公表し、パスワードを使いまわししている可能性がある利用者にはパスワードを変更してもらう必要がある。この際、定期的な変更は必要ない。攻撃の緩和策としては、オムニ7への2段階認証の導入や、監視強化が挙げられる」と話す。他のぜい弱性が原因というケースも考えられるが、その場合は「ぜい弱性を修正するとともに、全ユーザーのパスワード無7payの決済画面 効化などの対処が求められる」という。