Bizコンパス

7payが本当に必要だったものとは何だったのか
2019.07.26

セキュリティ最前線

7payが本当に必要だったものとは何だったのか

著者 すずきひろのぶ (鈴木裕信)

 スマートフォンの決済システム7payは、そのサービス開始から72時間も経たない間にユーザーのアカウントとパスワードが盗まれ、登録されているクレジットカードから勝手に7payにチャージされコンビニ店舗で利用された。

 時系列はこうだ。7月1日に7payサービスを開始。2日夜ユーザーからSNSで不正チャージの報告があがり始める。3日の朝から不正利用が本格化する。12時頃に7payアプリ上のメッセージで注意喚起。20時にクレジットカード及びデビットカードでのチャージが停止となった。11日時点で同社が把握している被害者数は1574人、被害総額は約3240万円となっている。

 今回の7pay不正利用の特徴は、その被害者がほぼリアルタイムでtwitterにつぶやいていたことだ。筆者も第一報をtwitter上で知った。2日の深夜だったが、その時は、「ユーザーが簡単なパスワードをつけていたのか、あるいはスマートフォンがマルウェアに感染しパスワードを盗まれていたのだろう」程度に軽く考えていた。ところが次の朝になると、あちらこちらチャージが行われ、また実際に店舗で利用されたというツイートがいくつも現れ騒然としてきた。

 衝撃的だったのが30万円を不正に使われてしまった人の連続ツイートだ。

「7payのパスワードは、使い回していない16桁」
「クレジットカードからのチャージには3DSecureを使い別の16桁のパスワードを利用」
「通知はクレジットカードからチャージされたメールのみ」

 これを見る限りユーザーに問題があるとは思えない。辞書でパスワードを推測するような単純な方法では乗っ取ることはできない。これはどういうことなのだろうか。

 

次々に指摘される7payのずさんなセキュリティ

 SNS上やブログ上には、次々と7payのセキュリティ上の不備があげられていく。「登録されたメールアドレスに承認するかどうかの確認メールを送らないので他人のメールアドレスでも登録可能」「ユーザーIDとパスワードのみに頼るユーザー認証なのでユーザーIDとパスワードが漏れれば終わり」「別メールアドレスでもパスワードリセットが可能で、その際の本人の確認は簡単に推測できる生年月日」「登録時に指定しないと自動的にデフォルトの年月日で設定されるので秘密情報が役にたっていない」など、どれもこれも基本的なレベルのセキュリティが実装されていなかった。

 中にはこんなケースもあった。7payに登録していないにも関わらず、チャージされたというメールが届いたという。筆者は最初いっている意味がわからなかった。7payは登録したメールアドレスを承認する手順がないため、誤ったメールアドレスでも登録できてしまい、このようなケースすら発生してしまっていたのだ。それに至ってはセキュリティ云々以前の仕様の大きな穴である。

 極めつけは4日の7payを運用するセブン・ペイ社の記者会見だった。記者から「二段階認証(二要素認証)」の質問が出たが、社長はまったく答えられなかったのだ。別に社長が技術者と同じ知識を持っていることを期待しているわけではない。だが、この状況で記者会見をするならば必ず聞かれることであるのは、誰でも想像がつく。基本的な項目についてレクチャーを受ける、あるいは手元資料として用意されていない状況で記者会見に臨んでいたことに筆者は驚いた。

 このような状況をうけて経済産業省は7月5日に「コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました」というアナウンスを出した。金融庁は7月8日づけで資金決済法に基づく報告徴求命令を行ったという報道があった。これで7payも事の重大さに気がついたのではないだろうか。

 

現場の悲鳴が聞こえるようだ

 セキュリティの不備に関しては数々の指摘が出てきているが、現場で働いているSEやプログラマーを責めるのは酷というものだ。現場で働いている人たちだって、教科書に出てくるようなレベルの穴が空いていることぐらいわかっている。

 では、なぜこんなことになってしまったのだろうか。

 理由は簡単である。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

関連キーワード

SHARE

あなたへのおすすめ

画像が原因でマルウェアに感染。ステガノグラフィー技術とは

2019.03.21

高度化するマルウェアの攻撃手法に迫る第1回

画像が原因でマルウェアに感染。ステガノグラフィー技術とは

あなたのパスワード漏れています~今どきのユーザー認証事情

2019.04.29

利用者・開発者・運営者が知っておくべきパスワードの裏側

あなたのパスワード漏れています~今どきのユーザー認証事情

古典的だけど怖い「ブルートフォース攻撃」の防ぎ方

2019.06.28

高度化するマルウェアの攻撃手法に迫る第2回

古典的だけど怖い「ブルートフォース攻撃」の防ぎ方

フィッシング被害者にならないのは、運がいいだけ?

2019.05.31

さらに巧妙になるフィッシングを防げるか

フィッシング被害者にならないのは、運がいいだけ?