えもんブログ

セキュリティからライフハックまでゆるくとどけるWEBメディア

【約5,500万円の】7payの何がマズかったのか。【不正利用】

今回は、巷を賑わせている7payの不正利用について、セキュリティ系SE視点の独り言です。

 

セキュリティというのは痛みを伴ってはじめてその重要性を知るものです。。。

この騒動から個々がセキュリティをより意識するようになってくれればと思います。

7payとは

2019年7月1日よりサービス開始となったセブンイレブン独自のモバイル決済サービスとなります。

nanacoポイントが貯まったり、セブン銀行との連携などセブン&アイホールディングスの傘下のサービスと連携できるのがポイントとなっています。

www.7pay.co.jp

不正利用騒動

サービスを開始して間もない7/3ごろからTwitterなどで不正利用の報告があり、あちこちで不正利用の報告が上がってきました。

たったの4日間で900人、金額としては5,500万円の被害が出てしまいました。

原因としては悪意のある第3者による不正アクセスとなります。

ニュースによると海外のIPからのアクセスらしいですが、このスピード感で不正利用が発生するということは、犯人はサービス開始前からある程度情報収集を行っていたことが予想されます。

piyolog.hatenadiary.jp

記事内でも触れられていますが、指示役と実行部隊が分かれていることから国際的な犯罪組織が関わっていることは間違いなさそうです。

何がマズかったのか

なぜ7payはここまでの被害を出してしまったのでしょうか。

システムの脆弱性

これはニュースやTwitterでも散々言われていますが、システムが脆弱過ぎました。

今どきIDとパスワードのみでログインできてしまうシステムなんてあり得ません。特にお金が密接に絡むシステムならなおさらです。

他のモバイル決済サービスとして有名なpaypayはID、パスワード認証に加えて、SMS認証を行っています。いわゆる二段階認証というやつです。

また、社長は記者会見内で

「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」

と発言していますが、これは脆弱性以前の問題ですから、単純な脆弱性診断では引っかからないでしょうね。おそらくこれが仕様なので。

また、最近では完成したシステムに対してホワイトハッカーが本格的な攻撃を仕掛けてシステムに脆弱性が無いか確認するサービス(Red Team Service)があるのですが、それも使っていなかったようです。

 

           f:id:emonnao:20190705201834p:plain

最近は、Security By Designという考え方がSIerの中では流行っているそうですが、全く浸透していない事が明らかになってしまいました。

ちなみに、Security By Designというのは企画・設計の段階からセキュリティ対策を組み込んでおくという考え方です。

脅威ベースのシステム設計を行わない日本のIT業界

通常であれば、ID、パスワードが第三者に知られてしまった場合のリスクというものを考えて「2段階認証を入れましょう。」となるはずなんですが、そうならなかったのが今の日本のIT業界の現状です。

今回はNRINTTデータNECという日本を代表するSIerが開発に携わっていたようですが、日本のSIerというのは基幹システムにノウハウ・強みを持っているんですよね。

モバイル決済システムのようなコンシューマー向けのシステム開発のノウハウは無いに等しいです。

一方、paypayやLINEpay、メルペイを開発したWeb系と言われる企業は不正アクセスを許してしまうと他のサービスも成り立たなくなるため、不正アクセス対策には細心の注意を払っているはずです。

このように脅威ベースでシステム設計を行えば、自然と二段階認証の実装というものが出てくるはずなのですが、悲しい事に今回はそのような設計を行っていなかったのでしょうね。

 

お客様(セブン&アイ)から「paypayのような物を作って欲しい。」とでも言われたのかなぁ。SIerも「安くやりますよ。」とか言っちゃったのかなぁ。