スマートフォン決済サービス「7pay」で事件が勃発した。2019年7月4日午前6時の時点で約900人分のアカウントが第三者による不正アクセスを受け、総額約5500万円の被害を受けた。だが、この不正アクセスは「セブン・ペイだけの問題ではない」と警鐘を鳴らすのが、メディアスケッチ代表取締役兼サイバー大学専任講師、AI/IoT評論家の伊本貴士氏だ。7payの問題点と日本企業のセキュリティー事業、そして防止策について同氏が語る。(近岡 裕=日経 xTECH)

伊本貴士=メディアスケッチ代表取締役 兼 サイバー大学専任講師、AI/IoT評論家

 2019年7月1日に提供を開始したスマートフォン決済サービス「7pay」の不正アクセス事件が発生したことを受けて、セブン&アイ・ホールディングス傘下で同サービスを手掛けるセブン・ペイが2019年7月4日に記者会見を行った。

 7payが認証に利用している「7iD」では、「生年月日」と「登録電話番号」、「会員ID(メールアドレス)」でパスワードをリセットして再設定することができる。これら3項目では第三者に簡単にばれてしまい、このことが不正アクセスの原因なのではないかと、ネット上で噂されている。

 確かに、これらは第三者にばれやすい項目である。通常、インターネットサービスでは「秘密の質問」などの項目を設けるが、7iDでは執筆時点(2019年7月5日時点)でそのような項目はないため、本人確認としては弱い。

疑問視されるパスワード再設定の仕組み

 さらに問題視されているのは、パスワード再設定ページのURLが記載されたメールの宛先のメールアドレスを、自由に入力できたことだ(7月5日時点では修正され、入力できないようになっている)。そのため、第三者がこの仕組みを悪用したとすれば、自分のメールアドレスを入力してパスワードを再設定することは容易に想像がつく。

 これらの項目は、セブン・ペイ側の説明では携帯キャリアのメールアドレスを設定していた人の利便性のために設けていたらしいが、その考えは一般的とはいえず、理由としてはかなり苦しい。通常であれば、「二段階認証」*1または「二要素認証」による念入りな本人確認を行うか、電話などで個別対応するだろう。

*1 二段階認証 パスワードに加えてSMSなどにワンタイムパスワードを送信して本人確認を行う仕組み。

 確かに、利便性とセキュリティーとの兼ね合いでは判断が難しい部分があるが、不正利用できる可能性があれば、いくら利便性が良いとはいっても、その仕組みを採用する理由にはならない。

 結局、この問題がネットで指摘された後、パスワード再設定のページは宛先のメールアドレスの入力項目が消えたように見えたが、実際には非表示になっていただけで、コード上に元の項目のコードは残っていた。

 サーバー側のプログラムが変わっていないのだとすれば、項目を非表示にしても意味がない。このことから、問題発覚後も対応のまずさがあり、それを指摘できる人間がプロジェクト内に存在しないと思われる。だとすれば、プロジェクト内に高いスキルや知識を持つ技術者が不在であることが懸念される。

 ただ、一方で数々の「炎上案件」を支援した筆者に言わせると、プロジェクト内は相当混乱していると思われ、対応しているメンバーは心身ともに大変な状況に追い込まれていると想像できる。落ち着いて“交通整理”をする人が最も求められる状況だ。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら