どんなにゅーす?
・2019年7月1日にスタートした、セブンイレブンのスマホ決済サービス「セブンペイ」において、5500万円相当にのぼる不正アクセス被害が発生。サービス開始からわずか4日で新規登録停止に追い込まれる事態になっている。
・4日にセブン・ペイの小林強社長が会見を行なったものの、セキュリティ対策のスタンダードになっている「2段階認証」を知らなかった疑惑が浮上。会社のずさんな安全対策が浮き彫りになった上に、競争が激化しているキャッシュレス決済サービスの「落とし穴」が明らかになってきた。
|
|
|
セブンペイ、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし
セブン-イレブンの導入したスマートフォン決済サービス「7pay(セブンペイ)」が、深刻な不正利用により、サービス開始からわずか4日目で新規利用者登録の停止に追い込まれた。コンビニエンスストア各社は「顧客の囲い込みと事業拡大につながる切り札になり得る」とスマホ決済に期待していた。だが、最大手によるずさんなセキュリティー対策が冷や水を浴びせた。
「私自身は認識していない」
セブンペイを運営するセブン・ペイの小林強社長は、東京都内で4日に開いた緊急記者会見で「2段階認証」についての質問にしどろもどろとなった。スマホ決済で一般化している安全対策を、トップが把握していない実態を露呈した。
~省略~
|
|
|
セブンペイ、抱えていた「不発弾」の代償
~省略~
4日に会見したセブン&アイ傘下のセブン・ペイの小林強社長は「詳細な原因を調査中」と話した。だが、原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。
セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イレブンアプリで使われていた7iDは、メールアドレスと電話番号などが分かればパスワードのリセットが可能で、かつ第三者が別の端末で乗っ取ることが可能な状態になっていた。また、パスワードの漏洩時でも第三者が悪用できないようにする2段階認証の仕組みが備わっていなかった。
つまり、利用者本人がセブンペイでクレジットカードの初期登録を実行した後、セブンペイの脆弱な仕様の隙を突いて悪意のある利用者が乗っ取る。その上で登録されたクレジットカードで追加入金して換金可能性の高い商品を購入するという形で被害が発生したようだ。
~省略~
|
|
|
ひどい会見だった。しかも、入金済みのお金が不正に使われる可能性は残っているのに、サービスを停止しない。セキュリティも問題だが、事後対応も疑問。 https://t.co/EqhdyUglbC #セブンペイ
— 神田大介 (@kanda_daisuke) 2019年7月4日
セブンペイに関しては、あれだけずさんなことをやらかして、事業の根幹をなしているプロセスを語れない人物を社長に就けたグループの株価がピクリとも動かないことが一番の驚きだった。
あれでいいんだ。— 藤井 太洋, Taiyo Fujii (@t_trace) 2019年7月5日
必死こいてセブンイレブンの偉い人が株を下げないように買ったのかも(笑)
— 青夏ニワトリ (@BlueSUMMER04) 2019年7月5日
セブンペイは糞だが、そもそもの問題として「消費税増税に対する経済対策」として「キャッシュレス決済に対するポイント還元」ってのが糞だろ。なんで税金使ってキャッシュレス決済業界に特需起こそうとしてんだよ直接国民に金配れいやそれ以前の問題として増税すんな https://t.co/e9d4JVJlv4
— Simon_Sin (@Simon_Sin) 2019年7月5日
そもそも無駄に消費税上げなければ、無駄な対策する必要がそもそもない!
— マクスウェル (@whitescream) 2019年7月5日
おっしゃる通り。増税する必要性を感じない。
MMT理論からすれば、もっともな事。
で、なんで
いちいちキャッシュレス業界を盛り上げようとする理由が良くわからん。
でも、7payは、正にクソ以下。— yumetake (@yumetake3) 2019年7月5日
セブンのアルバイトしてて言うのもなんだがセブンペイは絶対に使ったらいけない
無理やり時代に追いつこうとして全てを置いてきて名前だけ決まったみたいなもん使ったら行けない
リセマラおにぎり無限回収目的なら使ってよし— だき (@Super_Daiking) 2019年7月4日
セブンペイ開発プロジェクトが古い慣習でやらされているのは、
フレームワークがStruts1
二段階認証?なにそれ?というのでも取れるし、協力会社が
NTTデータ
NEC
NRI
Oracleといういつもの御用聞き連中だということからも容易に想像できる
— みなか™🍓レヴォーグ入院中 (@orgmrm334) 2019年7月4日
セブンペイの話で矢面に立つのは、
エンドユーザ
セブンペイ(7&i)元請け
NTTデータ
NEC
NRI(野村総合研究所)
日本オラクルだが、更に下に、
2次請
大手SIer3〜n次請
大手SIerのパートナー等でシステム開発を行っており、実際の作業の大半は、ここの3〜n次請が行うことを知ってください
— みなか™🍓レヴォーグ入院中 (@orgmrm334) 2019年7月4日
3~n次請けの方々は、セブンペイの一件により、しばらくは社内寝泊まりなど過重労働と上からの圧力と悪環境の中で、都内某所にて「インパール作戦」のように働かされているのが心配です。
プロジェクト参加時のセキュリティ研修のために今回の悪かった点を共有できないことも不幸だと思います。— 天奉院章姫 (@tenhouinakihime) 2019年7月4日
間違いなくそういう状況です。ですがセキュリティの問題で口外できません
— みなか™🍓レヴォーグ入院中 (@orgmrm334) 2019年7月4日
大手SIerのグループ会社
↓
独立系SIer中規模企業(数百名規模)
↓
独立系SIerグループ企業
↓
独立系SIer小規模企業(数十名規模)
↓
人材派遣
↓
東南アジア人材派遣斡旋会社
↓
東南アジアの開発部隊こんな感じですかねw
私も似たような現場にいましたがw
— cowardly🦆ワンオペ社内SE (@kazukundayo) 2019年7月5日
「セブンペイの不正利用した中国人を逮捕!」
ってニュース出たけど、組織犯罪だった時、
そいつは「セブンペイのポイントを、Amazonギフト券や、GooglePayポイントに換金するだけの役割」だった可能性が高い!つまり、不正アカウントを持ってるやつは、まだ捕まってない可能性が高い!!
— 脱臼 (@pratula_twi) 2019年7月5日
また、社長はセブンペイのシステムについてまるで知らなかった。
そして、セブンペイのシステムを作っているのは、NTTや日本オラクルなど、著名なIT企業などの、その「協力会社」だという。
セブンペイのシステムを作ったのがSIerゼネコンであることは明らかだ
— 脱臼 (@pratula_twi) 2019年7月4日
勿論、SIerで実装をしているのは偽装請負や、派遣で雇われたプログラマーである。
コレほど単純なミスを、現場のプログラマーが知らなかったわけがない。
現場プログラマーの認識が監査部門に届いていなかったのは明白だ
— 脱臼 (@pratula_twi) 2019年7月4日
セブンペイは原因は現在も調査中で、影響範囲も分からない、という。
実際に作った人が何処の誰だか分かってないのは明らかだ
— 脱臼 (@pratula_twi) 2019年7月4日
|
|
|
起こるべくして起こった不正アクセス事件!大手コンビニのスマホ決済に致命的かつ重大な欠陥!社長もネットセキュリティの知識がほとんど無し!
出典:YouTube
大手コンビニ・セブンイレブンのスマホ決済サービス「セブンペイ」の不正アクセス事件ですが、セキュリティー上の信じられないような重大な欠陥が明らかになってきました。
7月1日にサービスを開始したばかりですが、早速の不正アクセス発生により、ものの数日でここまでの被害と新規利用停止に追い込まれる事態になっています。
ボクも、この事件についてざっと情報を集めてみたけど、まさしく「起こるべくして起こった事件」という感じだし、そもそも社長自身がネットセキュリティの知識を(もしかしたら一般の人以上に)ほとんど持っていないという時点で、これはもう驚きというしかない。
しかも、新規登録を停止したのみで、現在もサービスが継続しているようだけど、これではさらなる不正使用が起こってもおかしくないように感じるし、常識的に考えても、一刻も早くにサービス全体を停止するべきだろう。
しかし、このセブンペイのシステムを作ったのは、ネット上の情報によると、NTTデータやNEC、NRI(野村総合研究所)や日本オラクルなどのシステム開発企業であり、さらにこの下に1次2次3次…と下請けが存在しており、これらの下請けの「末端の(派遣)従業員」が実際の作業を行なっているとの情報も出ている。
これが本当であれば、セブンペイそのものも、一体どこの誰がこのシステムを作ったのかも分かっていない可能性がありそうだし、だからこそ、あらゆる対応が後手に回っては、原因究明や被害状況の把握もままならない状態なのではないのかな。
こうなると、いよいよ、日本のシステム開発の環境や構造そのものに重大な問題があるという話になってきますし、これに加えて、国内のセキュリティ技術がどんどん世界から立ち遅れては、ますます劣化し続けていく危険もありますね…。
それに、ここに来て、やたらと日本国内でスマホ決済サービスが乱立する事態になっているけど、こうなっている背景に、安倍政権が10月より10%消費増税を強行する際に導入する予定の「キャッシュレス決済を通じたポイント還元政策」が影響していることを指摘する声がある。
つまりは、安倍政権が民間企業を通じてポイント還元を普及させていく方針を進めている中で、この参加事業者に加盟するべく、各社が競って独自の決済サービスを打ち出している現象が起こっているのでは…?ということだ。
※セブンペイのポイント還元参加認めない可能性も 経産省【朝日新聞 2019.7.5.】
こうなると、拙速なシステム開発や脆弱なセキュリティー対策にもかかわらず、「見切り発車」でサービスを開始するようなケースも出てくる可能性がありますし、今回の不正アクセス事件も、企業体質のみならず、日本の社会環境や政治における様々な腐敗や問題が引き起こしたものといえるのかもしれません。
そうだね。
安倍政権による消費増税のポイント還元スタートにあわせた動きなのか知らないけど、ここ最近次々と乱立している国内のキャッシュレス決済サービスについて、ちょっと一歩立ち止まって考えてみた方がいいのかもしれないね。
この記事が「良かった」「共感した」「参考になった」「役に立った」と思ったら、カンパ(ご支援)いただけますと嬉しいです!
●(new)クリエイター支援サイト「Ci-en」を通じた支援(クレジット・銀行振込・電子マネー等多くの支払い方法に対応)
100円~50,000円まで、自由に金額を設定しチップを贈ることが出来ます。(Ci-enを通じた詳しい支援の仕方はこちら)
↓「Ci-en」を通じた当サイトへのご支援はこちらから↓
●「note」を通じての支援(ゆるねとにゅーすイメージソングの購入…価格500円・税込・クレジットまたはモバイル決済)
楽曲の購入とは別に、クリエイターサポート機能を利用することで、100円~10万円までご支援いただけます。
楽曲を購入せずに、サポートのみ(100円~10万円)を行なうことも可能です。
(サポート機能について詳しくはこちら)
●月額ウェブマガジン「ゆるねとパートナーズ」のご購読(クレジット決済または銀行自動引き落とし)
およそ3日に一度配信(月10回)されるウェブマガジン「ゆるねと通信」や、管理人やキャラクターによる動画配信、不定期配信の会員限定記事などをお届けいたします。
金額は月500円~ご自由にお選びいただけます。
決済方法は、PayPalによるクレジット決済または銀行の自動引き落としです。
詳しくは「ゆるねとパートナーズ」のウェブサイトをご覧くださいませ。
|
|
|
