急ぎすぎたセブンイレブンさんが盛大にやらかした話

早すぎたんだ…(認識が)バグってやがる…。


7payの不正利用の件、システムのバグじゃないんですけど「脆弱性ではない」というセブン・ペイ側の認識はバグだと思います。
システムのバグやエラーだった方がなんぼか救われた気分だったように思います。
今回のは完全な人災と言い切ってしまってよいのじゃないでしょうか。


不正利用に関わったとして、中国籍の2名が既に身柄確保されており、組織犯罪を匂わせる供述をしているそうなので、手口の全体像などはこれから詳細に分かっていくだろうと思われます。

会見でセブン・ペイの小林社長は7payのシステムに「脆弱性は見つからなかった」と述べられたそうです。あくまでセブン・ペイ側は不正利用「被害者の立場」という認識なのでしょう。
…私とは別の世界線に生きておられるのかもしれません。


アカウント乗っ取り手口は正規の手続きで可能

Paypayさんのときは事前によそから流出したと思われるクレジットカード情報が利用されました。
一方、今回の7payのアカウント乗っ取りはパスワード再設定の正規の手続きで行えます。


一般的なシステムの場合、パスワード変更の手続き案内は登録時に設定したメールアドレスに送信されるようになっています。(指定されたアカウントに対してパスワード変更の案内を送付する)
ところが7payの大元のアカウントである7iDでは、パスワード変更の案内を第三者のメールアドレスに設定することが可能となっていました。
※今は修正されているようですが「問題の部分をCSSの設定で非表示にしていあるだけだから手を加えてやれば機能する」という話もあります。

そんな設定初めて聞きました。
一部報道でファミペイなど、競合他社のサービス導入に遅れを取らないために焦っていた、という話も出ていますが、パスワード再設定の問題は大元の7iD(omni7)の方の話なので、別問題です。

なぜこのような設定になっていたのかについては「普段スマホを利用しているユーザがパソコンから再設定を行う際の措置」というよく分からない理由だそうです。


更にパスワード再設定の手続きには生年月日の入力が必要になっていますが、アカウント登録時に省略が可能であり、省略された場合の初期値を公開していたという呆れっぷりです。

これを「脆弱性」と認識できないのであれば、セブン・ペイが言う「脆弱性」とは正規の手続きから外れた手順で攻撃された場合、という認識なのでしょうか。
家の鍵を挿しっぱなしにして出掛けてしまって空き巣に入られたとしても、空き巣が「家の鍵を開けて入る」という正規の手順を守ったのであれば空き巣ではない、と言うつもりでしょうか。


一度サービスを停止して抜本的見直しを

問題が発覚したのはサービス開始の翌日7月2日です。
ところがこの時点でセブン・ペイは何の対応も取っていません。翌3日になってからようやく残高チャージを停止しました。
既にチャージされた分は現在でも利用可能です。

7月4日の時点で、約900人がアカウントを乗っ取られ、約5500万円の被害が出ています。


7payのアプリは既存のセブン-イレブンアプリに機能追加する形で実装されました。
クレジットカード情報という重要情報を登録させるにも関わらず、SMSによるニ段階認証も実装されておらず、杜撰な個人情報登録で利用可能な状態だったわけです。

そんな状態なので、今回の不正利用においてセブン・ペイを被害者と見なすのは無理があります。
利用者から預かった貴重品を収めた金庫の鍵を、フロント・カウンターに出しっ放しにするに等しいことをしていたわけですから。

セブン・ペイ上層部の認識が一貫して「脆弱性はなかった」のであれば、専門家から見ればまだまだ危険が潜んでいる可能性があります。
セキュリティの抜本的見直しを図る上でも、即刻サービス自体を一時停止してしまうべきだと思います。


対応が遅いのはセブンのお家芸

そう言えばnanacoを紛失した際もチャージされた残高を利用停止に出来るのは最短で翌日以降です。オートチャージは即停止可

対応がカメなのはセブンのお家芸なんですね。
でもセキュリティが絡む場合はウサギであるべきと思いますけど…。