【ずさん過ぎ】”不正アクセス”セブンペイに批判殺到!社長が「2段階認証」を知らず?スタートからわずか4日で新規利用停止に!

Pocket

どんなにゅーす?

・2019年7月1日にスタートした、セブンイレブンのスマホ決済サービス「セブンペイ」において、5500万円相当にのぼる不正アクセス被害が発生。サービス開始からわずか4日で新規登録停止に追い込まれる事態になっている。

・4日にセブン・ペイの小林強社長が会見を行なったものの、セキュリティ対策のスタンダードになっている「2段階認証」を知らなかった疑惑が浮上。会社のずさんな安全対策が浮き彫りになった上に、競争が激化しているキャッシュレス決済サービスの「落とし穴」が明らかになってきた。

セブンペイ、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし

セブン-イレブンの導入したスマートフォン決済サービス「7pay(セブンペイ)」が、深刻な不正利用により、サービス開始からわずか4日目で新規利用者登録の停止に追い込まれた。コンビニエンスストア各社は「顧客の囲い込みと事業拡大につながる切り札になり得る」とスマホ決済に期待していた。だが、最大手によるずさんなセキュリティー対策が冷や水を浴びせた。

「私自身は認識していない」

セブンペイを運営するセブン・ペイの小林強社長は、東京都内で4日に開いた緊急記者会見で「2段階認証」についての質問にしどろもどろとなった。スマホ決済で一般化している安全対策を、トップが把握していない実態を露呈した。

~省略~

【SankeiBiz 2019.7.5.】

セブンペイ、抱えていた「不発弾」の代償

~省略~

4日に会見したセブン&アイ傘下のセブン・ペイの小林強社長は「詳細な原因を調査中」と話した。だが、原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。

セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イレブンアプリで使われていた7iDは、メールアドレスと電話番号などが分かればパスワードのリセットが可能で、かつ第三者が別の端末で乗っ取ることが可能な状態になっていた。また、パスワードの漏洩時でも第三者が悪用できないようにする2段階認証の仕組みが備わっていなかった。

つまり、利用者本人がセブンペイでクレジットカードの初期登録を実行した後、セブンペイの脆弱な仕様の隙を突いて悪意のある利用者が乗っ取る。その上で登録されたクレジットカードで追加入金して換金可能性の高い商品を購入するという形で被害が発生したようだ。

~省略~

【日経ビジネス 2019.7.4.】

起こるべくして起こった不正アクセス事件!大手コンビニのスマホ決済に致命的かつ重大な欠陥!社長もネットセキュリティの知識がほとんど無し!


出典:YouTube

大手コンビニ・セブンイレブンのスマホ決済サービス「セブンペイ」の不正アクセス事件ですが、セキュリティー上の信じられないような重大な欠陥が明らかになってきました。
7月1日にサービスを開始したばかりですが、早速の不正アクセス発生により、ものの数日でここまでの被害と新規利用停止に追い込まれる事態になっています。

ボクも、この事件についてざっと情報を集めてみたけど、まさしく「起こるべくして起こった事件」という感じだし、そもそも社長自身がネットセキュリティの知識を(もしかしたら一般の人以上に)ほとんど持っていないという時点で、これはもう驚きというしかない。
しかも、新規登録を停止したのみで、現在もサービスが継続しているようだけど、これではさらなる不正使用が起こってもおかしくないように感じるし、常識的に考えても、一刻も早くにサービス全体を停止するべきだろう。

しかし、このセブンペイのシステムを作ったのは、ネット上の情報によると、NTTデータやNEC、NRI(野村総合研究所)や日本オラクルなどのシステム開発企業であり、さらにこの下に1次2次3次…と下請けが存在しており、これらの下請けの「末端の(派遣)従業員」が実際の作業を行なっているとの情報も出ている。
これが本当であれば、セブンペイそのものも、一体どこの誰がこのシステムを作ったのかも分かっていない可能性がありそうだし、だからこそ、あらゆる対応が後手に回っては、原因究明や被害状況の把握もままならない状態なのではないのかな。

こうなると、いよいよ、日本のシステム開発の環境や構造そのものに重大な問題があるという話になってきますし、これに加えて、国内のセキュリティ技術がどんどん世界から立ち遅れては、ますます劣化し続けていく危険もありますね…。

それに、ここに来て、やたらと日本国内でスマホ決済サービスが乱立する事態になっているけど、こうなっている背景に、安倍政権が10月より10%消費増税を強行する際に導入する予定の「キャッシュレス決済を通じたポイント還元政策」が影響していることを指摘する声がある。

つまりは、安倍政権が民間企業を通じてポイント還元を普及させていく方針を進めている中で、この参加事業者に加盟するべく、各社が競って独自の決済サービスを打ち出している現象が起こっているのでは…?ということだ。

セブンペイのポイント還元参加認めない可能性も 経産省【朝日新聞 2019.7.5.】

こうなると、拙速なシステム開発や脆弱なセキュリティー対策にもかかわらず、「見切り発車」でサービスを開始するようなケースも出てくる可能性がありますし、今回の不正アクセス事件も、企業体質のみならず、日本の社会環境や政治における様々な腐敗や問題が引き起こしたものといえるのかもしれません。

そうだね。
安倍政権による消費増税のポイント還元スタートにあわせた動きなのか知らないけど、ここ最近次々と乱立している国内のキャッシュレス決済サービスについて、ちょっと一歩立ち止まって考えてみた方がいいのかもしれないね。

Pocket

 

 関連記事