ニュース
「7iDは十分なセキュリティ」、7payの二段階認証導入も「モニタリングで守れる」と判断し見送り――セブン&アイHDの開発体制
2019年8月2日 16:26
スマートフォン決済サービス「7pay(セブンペイ)」が、セキュリティ強化の抜本的対策が長期化する見通しとなり、9月30日をもってサービス廃止することが決まった。
今回の不正アクセス被害では、攻撃者が何らかの方法で不正に入手したID・パスワードのリストを用いて不正アクセスを行う「リスト型アカウントハッキング」(リスト型攻撃)の可能性が高いと、株式会社セブン&アイ・ホールディングスは説明。流出したクレジットカード情報が不正使用された形跡も確認している。
何千万回にも及ぶログイン試行が行われたことから、7月3日には海外IPアドレスを遮断。「相当数の攻撃の抑止になった」とするが、不正チャージや不正使用による被害者数・金額は、808人・3861万5473円に上った。そのほとんどがリスト型攻撃だったとしているが、そのほかの攻撃の可能性については明らかにしていない。
不正アクセス被害は全国的に発生した一方で、不正利用が集中した店舗があったことも突き止めており、引き続き調査と再発防止に向けた対応を行うとしている。
“パスワード強制リセット”はユーザー不安払拭のため
7月4日以降、新規登録の一時停止や外部IDによる各社アプリへのログイン一時停止など、五月雨式の対応に追われたが、これらの動きについて、セブン&アイ・ホールディングス代表取締役副社長の後藤克弘氏(セキュリティ対策プロジェクト総責任者)は、「被害が発覚したその場で止めること、ユーザー保護を最優先した結果の行動」と説明する。
7月30日には、各社アプリ/サービスで利用する共通ID「7iD」のパスワード強制リセットに踏み切ったが、これはユーザーの不安を払拭するため行ったものであり、実施時期についても「準備に時間を要したことからこのタイミングになった」という。
GitHubに流出していたソースコードは「影響なし」
一部メディアにて、7payとログインまわりの設計が似通っているとされた、ECサイト「オムニ7」アプリの開発ソースコードがGitHubに掲載されていると報じられたが、この内容を事実としたうえで、2015年秋段階で開発環境用に作られたものと説明。
株式会社セブン&アイ・ネットメディア代表取締役社長の田口広人氏は、インターフェースやログインに関わる形式について書かれているわけではないこと、当時は現在のようなサービスは想定していなかったため、「仮にそのままアプリケーションを再構築した場合でも影響がないことを確認している」とする。「管理不行き届きだった」として謝罪した。
「7iDも十分なセキュリティレベル」、7payテスト期間も「必要最低限確保した」
7iDについては、サービスの内容によって必要なセキュリティレベルが変わるとしているが、再検証を行った結果、「現状の7iDについては安全」という結論を出している。
後藤氏は「7iDは同様のサービスと比べても十分なセキュリティレベルの水準に達していると内外から評価されている」と述べる。「ただこの領域の技術は日進月歩のもので、さまざまな犯罪の手口もある。モニタリングしながら時代に合っセキュリティを担保したい」とした。
また、7payのテスト期間については、必要最低限の期間は確保できたことから、キャッシュレスサービスとしては遅い段階でのリリースなったものの、「後発ということでの焦りにはあたらない」としている。
二段階認証の導入見送りは「モニタリング体制の強化で守れる」との判断から開発体制にも問題あり
リスト型攻撃による犯行を防ぐことができなかった理由として、7payに関わるシステム上の認証レベルや、7payの開発体制、7payにおけるシステムリスク管理体制に問題があったことを挙げる。
7payに関わるシステム上の認証レベルについては、複数端末からのログイン対策や、二段階認証導入といった対策検討が十分でなかったことが要因になっていると説明。
株式会社セブン・ペイの奥田裕康氏(取締役営業部長)によると、「怪しい取引に関しては、決済を停止するといったモニタリング体制の強化で守れると判断していたことから導入を見送った」としている。
7payのシステムの開発体制については、グループ各社が参加していたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因になったとしている。最適化ができていなかったのは、「金融のチーム、アプリ開発のチームなど、チーム単位ではそれぞれ最適な開発ができていたが、最終的に束ねてしっかり見る体制ができていなかった」(セブン&アイ・ホールディングス執行役員の清水健氏)とした。
システムリスク管理体制については、セブン・ペイにおける、リスク管理、相互検証、相互牽制の仕組みが十分に機能していたかを検証するため、弁護士を中心とする検証チームを設置する。同チームによる結果検証を踏まえ、再発防止に向け、必要な対応を取るとしている。
なお、経営陣の辞任や処分について、後藤氏は「いま取るべき責任は、再発防止やグループ全体のセキュリティレベルを強化しリードすること」と説明。減俸、辞任などについて「現時点では考えていない」としている。