社会人プログラミング教育研究実行委員会

7pay不正アクセス問題について

2019.07.10


先日、本会主催で開催したシンポジウム「今そこにあるサイバー危機」、そこで警鐘を鳴らしたサイバー危機が、我々のごく身近な場所で発生し世間を震撼させた。7payの不正アクセス問題である。今回は、この事件が起きた背景や、今後の対策として留意しておかなければならないことを解説していく。


  • 7pay(セブンペイ)とはなにか
  • 7payは、セブン&アイ・ホールディングス傘下の株式会社セブン・ペイが提供するコード決済型の電子決済サービスの名称である。

    この電子決済サービスを利用するためには、以下の手続きを踏む必要がある。

    1. まず、スマートフォンアプリをダウンロードし、利用者登録を行う。

    2. 店頭レジ、ATM、クレジットカード、nanacoポイントなどでチャージ(入金)する。

    3. セブンイレブンなど、加盟店での料金支払時に、アプリで表示されるバーコードを提示する。

    4. レジでバーコードを読み取ってもらうことで支払いが完了する。


  • 7payが導入された背景
  • 米国、中国、韓国などではすでにキャッシュレス化が進んでおり、日本においても、キャッシュレス社会の実現に向けて「未来投資戦略2017」「未来投資戦略2018」などで政府もキャッシュレス化を推進していた。


    このキャッシュレス化の波に乗り、国内でもコード決済型の電子決済サービスが台頭してきた。

    大規模キャンペーンを行ったことで一躍有名となったPayPay(ソフトバンク株式会社とヤフー株式会社の合弁により設立されたPayPay株式会社の提供するサービス)や、LINE Pay(ネイバー株式会社傘下のLINE株式会社の提供するサービス)など記憶に新しいだろう。


    セブン&アイ・ホールディングスでは、コード決済型ではなく非接触型決済の電子決済サービスである「nanaco(ナナコ)」を2007年から導入してサービス提供していたが、前述のコード決済型の電子決済サービスが台頭してきたこと、また、大手コンビニ各社もコード決済型の電子決済サービス導入を進めたこともあり、nanacoだけではなく7payの導入を進めた。

    実際、7payのサービス開始日は、ライバル企業であるファミリーマートの独自電子決済サービス「ファミペイ」のサービス開始日と同日の2019年7月1日であった。

    7月1日というタイミングで導入された理由は、10月1日以降の消費税増税にともなう、「キャッシュレス・消費者還元事業」のキャッシュレス決済のポイント還元施策を見越してのことだ。

    経済産業省は、本事業の対象店舗にて、登録された決済事業者のキャッシュレス決済を利用して決済を行った場合、決済額の5%(大手チェーンは2%)分のポイントを還元する制度の実施を予定している。

    この制度を効果的に利用するためには、制度が施行される10月1日以前にキャッシュレス決済サービスの提供を開始し、利用者に決済方法をキャッシュレス決済サービスに移行してもらうための準備期間を設ける必要があった。そのため、これより後の提供開始では、周知が十分に行き渡らないと経営陣が踏んだのであろう。

    また、当然、ライバルコンビニチェーンに遅れをとるわけにはいかないという判断もあっただろう。

    こうして、セブン&アイ・ホールディングスは7payのサービス導入を進めた。


  • 7payのセキュリティホール
  • セブン&アイ・ホールディングスでは、すでにセブン‐イレブンアプリというアプリの提供を行っていた。

    これはセールやキャンペーンの情報などを提供するアプリで、セブン&アイの総合通販サイト「オムニ7」などとも連携するアプリであった。7payは、専用のアプリを設けることなく、このセブン‐イレブンアプリの1機能として実装された。

    また、通販サイトのオムニ7では「7iD」という独自のIDが設定されていて、7payでもこの「7iD」を使用した。

    そこにはすでに多くの報道機関が報じているとおり、次のようなセキュリティホールがあったようだ。

    まず、登録を行う際に「二段階認証」を採用していなかった。

    「二段階認証」とは、ウェブサービスなどにログインする際、IDやパスワードの入力の他に、別の方法でもさらに認証を行い、利用者の認証を2段階に分けて行う仕組みだ。

    コード決済型の電子決済サービスでは、二段階認証のセキュリティをより強固にするために、本人確認時の認証要素を「知識認証(パスワードやPINコード、秘密の合言葉など)」「所有物認証(電子証明書、ワンタイムパスワード用のトークンなど)」「生体認証(指紋認証、静脈パターン認証、顔認証など)」の3つの要素から異なる要素に設定した「二要素認証」を採用することが一般的だ。

    スマートフォンでウェブサービスを利用登録する際、ログインIDとパスワードの入力後、スマートフォンのSMS(ショートメッセージサービス)で送られてくるセキュリティコードなどをあわせて入力させられた経験がある人も少なくないのではないだろうか。これが二要素(知識認証と所有物認証)による二段階認証にあたる。

    利用者本人以外が不正に情報にアクセスすることを防止する手法として、多くのウェブサービスがこうした二段階登録を採用しているのだが、7iDではこの二段階認証が採用されていなかった。

    これは、一般社団法人キャッシュレス推進協議会が策定した不正利用防止のための各種ガイドラインが遵守されていない状態であった。

    (出典)「コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました」(経済産業省)


    さらに、利用者が自分のパスワードを忘れるなどした場合にパスワードの再設定を行う際、メールアドレスと生年月日さえ入力すれば、再設定したパスワードを事前に会員情報として登録しているメールアドレスとは異なる任意のメールアドレスに送れるようになっていた。

    つまり、メールアドレスと生年月日がわかれば、他人でもパスワードを簡単に再設定でき、乗っ取りができる設計になっていたのだ。しかも、iOS版では7iD新規登録時に生年月日の入力は必須ではなく、生年月日が登録されていないアカウントでは、「2019/1/1」がデフォルト値として登録されていると公表されていたため、パスワード変更に必要な情報がいかにルーズに管理されていたかがお分かりだろう。


    7payは「カンタン登録 最短2タップでスタート! 7payはセブン‐イレブンで使えるスマホ決済。セブン‐イレブンアプリからカンタンにご登録・ご利用いただけます。」(※)と利用開始までの手軽さをアピールしている。(7/9現在)

    手軽さを重視するあまり、セキュリティを軽視する設計になっていたのでは、金銭を取り扱う電子決済サービスとしていかがなものだろうかという意見も多い。

    7pay - セブン‐イレブンで使えるかんたんスマホ決済


  • 事件発覚後の大甘な対応で火に油を注ぐ
  • こうして7payはサービス開始からわずか数日で不正アクセス事件を引き起こしてしまった。

    SNSでは次々と被害報告が投稿され、7iDのずさんなシステムが相次いで指摘された。

    株式会社セブン・ペイでは、顧客からの指摘を受け社内で調査を開始して不正利用を認識したが、新規会員登録、チャージサービスの一時停止を行っただけで、7payの決済取引は「既に入金した人の利便性」を理由に続けており(7/9現在)、認識が甘いとの非難を呼んだ。

    また、この事件について7/4に緊急会見を開いたが、株式会社セブン・ペイの小林強社長は記者からの二段階認証についての質問に対し、「二段階認証」自体を理解していないともとれる回答を行ったことで、スマートフォンによるキャッシュレス決済サービスで一般化しているセキュリティ対策を、キャッシュレス決済サービスを提供するトップが把握していないのではとの疑問の声があがった。


  • 本件を教訓に我々がとるべき対策
  • 昨今、様々なサービスをスマートフォンやタブレットなどを通して利用できる機会が急増している。そうしたIT技術の進歩により、我々の生活はより便利により効率的なものへ変化しつつあるが、一方、それらはすべて悪意のある第三者からセキュリティの脅威にさらされているという認識を持つことが重要だ。

    当然、サービスの提供者やそれらを開発する技術者は日々でセキュリティ向上の技術や対策を行っているが、それにかまけ、サービスを利用している一人ひとりが何らセキュリティ対策を講じることなく、自分自身の情報を丸裸同然の状態で無防備に曝け出していることをよしとしていていいわけがない。


    今回得た教訓として、自分の大切な情報を預けるサービスが、利便性だけを重視した仕様で、情報を守るために必要な登録ステップを踏まないのかということに、事件が発生するまで疑問を抱けなかったことを反省したい。

    不正アクセスや情報の流出を防ぐためには、自分が利用しようとしているサービスがどのような対策をとっているのかを事前に調べることで一定の回避はできる。

    外部に公開されていない内部設計まで入手するすべはないが、セキュリティ対策について調べると調べないでは大違いである。自身がビジネスオーナーだとして、新規で取引をしようと検討している相手先の財務状況を事前に調べることと似ているだろう。

    また、我々の情報がどのように脅かされているか、その安全がどのようにして守られているかの基本的な知識を身につけておくことも自衛のためのひとつの手段である。

    さらに、こうした問題が発覚した際、第三者としてなにもせずぼーっと眺めているだけではなく、いつ自分の身に起きてもおかしくないと襟を正す姿勢も重要だろう。


    情報サービスの発展・普及とセキュリティの脅威は、常に表裏一体の関係である。

    守る技術が開発されれば、破ろうとする技術もそれを追いかけるゴールのないレースが繰り広げられているからだ。

    サイバー危機は我々のすぐ身近なところに潜んでいるということを忘れてはいけない。

<<< サイバーセキュリティ関連ニュース
2019/7/16 社会人プログラミング教育研究実行委員会ニュース Vol.10 >>>
協賛応募
お問い合わせ