Pages

Thursday, August 1, 2019

随時更新:「7pay」9月末でサービス終了、不正利用で3861万円の被害 - Engadget Japanese - Engadget 日本版

随時更新:「7pay」9月末でサービス終了、不正利用で3861万円の被害 - Engadget Japanese - Engadget 日本版

セブン&アイ・ホールディングスとセブン-イレブン・ジャパン、セブン・ペイは8月1日に会見を実施。スマホ決済サービス「7pay」の全サービスを9月30日24時をもって廃止すると発表しました。この記事では2時間15分に及ぶ会見で語られた内容をトピックごとに整理して紹介します。

不正利用の被害額は3861万5473円、被害人数は808人としています(7月31日時点)。チャージ停止などの対策により、7月中旬以降、新たな被害を確認していないとしています。

7pay

クレジットカードでの不正利用にあったユーザーに対しては、カード会社と連携し、引き落としを停止する措置を実施。引き落としが間に合わなかった人やデビッドカードで被害にあった人に対しては、払い戻しを行うとしています。

サービス終了にともない返金が発生しますが、「関係各方面のご指導を仰ぎつつ、遅滞なく進める」と説明しています。

■問題の経緯

7payはセブン-イレブン店舗で使えるバーコード決済サービス。「セブン-イレブン」アプリを更新するかたちで、7月1日より提供を開始しました。

しかし、サービス開始直後から不正利用の報告が相次ぎ、7月4日には決済機能を除くすべてのサービスを停止。同日実施した会見では、900名、5500万円に影響する不正利用を確認したと説明されていました。

その後の調査で7Payが利用していた7&iグループ統一アカウント「7iD」のセキュリティに欠陥が発覚。7iDでは外部アカウントによるログイン機能が停止され、すべてのユーザーのパスワードがリセットされています。

8月1日現在、7payはチャージや新規登録機能を停止中。一方ですでにチャージされていた残高については、店舗で利用できる状態となっています。

8月1日の会見にはセブン&アイHD 代表取締役副社長の後藤克宏氏がセキュリティ対策プロジェクト総責任者として登壇。セブン・ペイ取締役営業部長の奥田裕泰氏、セブン&アイHD 執行役員デジタル戦略推進本部の清水健氏、セブン&アイ・ネットメディアの田口広人氏が列席しています。

7pay
▲左から、セブン&アイ・ネットメディアの田口広人氏、セブン&アイHD 代表取締役副社長の後藤克宏氏、セブン&アイHD 執行役員デジタル戦略推進本部の清水健氏、セブン・ペイ取締役営業部長の奥田裕泰氏

■原因はリスト型攻撃、「外部ID連携原因説」や「内部流出説」は否定

後藤氏は、攻撃の理由について「外部調査の結果、リスト型のアカウントハッキングの可能性が高いと判明した」と説明。具体的には7月2日未明から3日にかけて、「アカウントエラー」(登録していないアクセスでの認証エラー)が立て続けに発生、その後「パスワードエラー」(登録したメールアドレスでの認証エラー)が続き、その後高額のチャージが頻発したとしています。攻撃の回数については「何千万回という回数でアタックがあった」(田口氏)としています。

一方で、原因と疑われた外部アカウント連携の欠陥については「検証では、現時点で外部ID連携、パスワードリマインダ、パスワードリセットが不正アクセスの直接の原因となった事例は見つかっていない」と否定。内部流出についても「内部流出の明確な痕跡は確認できない」と述べています。

■「リスト型攻撃」以外の可能性は

リスト型攻撃以外の攻撃手法の可能性については「流出したクレジットカードが使われた形跡はあるが、現時点では、リスト型攻撃によるパスワードを突破した例がほとんどと確認している」(清水氏)と説明。

ただし、SNSなどで被害を報告しているユーザーの中には、他のサービスでは使っていない乱数生成の複雑なパスワードを設定していたと訴える人も存在します。こうしたケースは「リスト型攻撃」では突破がきわめて難しいとされていますが、7pay側はリスト型攻撃以外の可能性についての認識を明確にせず、「個別のお客様についてはお問い合わせにより応対する」とだけ回答しています。

■7月4日会見後も300名程度の新たな被害

7月4日の会見後、7payではチャージ機能を停止。一方で、決済機能については停止を見合わせていました。

この影響で4日から7月中旬にかけて「総被害人数の1割程度」の不正利用が新たに発生したと説明。ただしすでに不正にチャージされた残高が利用されたもので「金額ベースでは、1割よりも低い数字になる」(清水氏)としています。

■7pay問題発生の「3つの要因」

7payに対する攻撃が発生した要因について、後藤氏は「3つの要因がある」と、以下のように説明しています。

(1)セブンペイに関わるシステム上の認証レベルの不備
──ログイン対策、二要素認証などが十分でないこと。

二段階認証を導入しなかった理由については「ご利用の状況をモニタリングして、怪しい取引に関しては決済をストップするという体制の強化で守れると判断(して導入しなかった)」(奥田氏)としていますが、結果的にセキュリティレベルが不足していたと認めています。

(2)セブンペイの開発体制の不備
──グループ各社が参加していたが、システム全体の最適化を十分に検証できていなかった。

開発体制については、「7payは複数チームが関わるプロジェクトとして開発していた。個別のチーム単位では適切に開発していたが、全体的に見る体制がなかった」(清水氏)と、開発チーム間連携の不備を説明しています。

(3)セブンペイのシステムリスク管理体制の不備
──総合検証、相互牽制の仕組みが十分に機能していたか、今後さらなる検証が必要。

■弁護士による検証チームを設置(詳細は非公表)

今後の対策としてセブン&アイHDでは弁護士による問題検証チームを設立し、第三者の目を通して検証すると説明しています。

ただしこの「検証チーム」は日弁連の定める「第三者委員会」ではない組織で、後藤氏は「取締役会への検証報告用」と説明しています。弁護士の氏名や組織体制、設置日時は非公表で、結果がでるまでのスケジュールについても「1〜2か月かかる予定」(後藤氏)という説明にとどまっています。

■セキュリティ調査の詳細「守秘義務により控える」

問題の発覚後、セブン・ペイでは「外部のセキュリティ企業」と連携し、決済ログから不正利用の実態を検証する調査を行っているとしています。

しかし、その「調査」の詳細については明らかにしておらず、企業名についても「守秘義務により控える」(清水氏)としています。調査結果の公表についての予定も、明らかにしていませんが、「調査の結果は各省庁に報告する」と説明されました。

■7iDのパスワード全リセット「セキュリティは確保しているが......」

今回、セブン・ペイの不正の原因と疑われた7iDアカウントは、7月30日に全ユーザーのパスワードリセットを実施しています。

セキュリティについては、「セキュリティレベルとしては相応の確保はしているつもりだが、(今回の攻撃が)リスト型ハッキングということで、どこかでリセットしようというつもりだった」(後藤氏)と説明。パスワードリセットが、7pay廃止発表の2日前の実施となった点については「大量のユーザーがいるのである程度の準備が整ってから実施することになった。その準備が整ったのが7月30日だった」として、7pay廃止との直接の関連はないとしています。

不備が指摘された7iDのパスワードリセット機能については「ログを確認したがご本人様以外が使っているという形跡はなかった」(清水氏)と説明されています。

■GitHubへの開発コード流出「現時点では影響ない」

7payの不正利用報道に関連して、「GitHubに7iD認証の開発ソースコードが流出している」という報道がzりました。これについて田口氏は「該当のソースコードは2015年秋の段階で開発環境に作られたもの。インターフェイスやログインに関わる機能が直接書かれているものではないと確認している。当時は現在のようなサービスを想定しておらず、仮に再構築しても現時点では影響ないことを確認している」と説明しています。

■経営への影響は「非常に軽微」

今回の問題の経営への影響については「グループ連結全体から見れば非常に軽微」(後藤氏)と言及。実際の数字は監査法人と詳細を確認している段階と説明しています。

7payでは不正利用被害に対して保険をかけておらず、セブン&アイHDの手元資金から弁済することになります。奥田氏は「サービス提供後、保険会社と相見積もりで加入を検討している段階だった」と説明しています。

なお、7payのシステム開発にかかった費用については非公開としています。

■経営陣の処分「考えていない」

この問題についての経営陣の責任については「弁護士のチームでガバナンスも含めての調査しているが、経営陣が今とるべき責任は再発防止やグループ全体のセキュリティの強化と認識している」(後藤氏)と説明。経営陣の減俸など処分や辞任といった"経営陣としての責任"については後藤副社長は「現時点では考えていない」と述べています。

■「残高がなくても使えてしまった」問題は否定

不正利用の発覚後、Twitterなどで「7payの残高が無い状態で利用できてしまった」という発信が話題になりました。これについて清水氏は「この件は、Twitterで確認しており、(ツイートした)ご本人さまとは個別にやり取りしている。個別対応なので詳細は控えるが、7payに絡んだ問題ではないというのは認識は双方で共有している」と否定しています。

■全社横断のセキュリティ組織を設立

今後のセキュリティの強化として「全社横断のセキュリティ組織」を設立する方針を発表。「時代時代にあったセキュリティ対策を行っていきたい」(後藤氏)としています。

■今後もスマホ決済「しっかり体制準備してチャレンジしていきたい」

7payについて後藤氏は「経営判断上サービス継続は得策ではない。お客様の保護という観点からもサービス廃止やむなしと判断した」とコメント。今後当面はnanacoやクレジットカードを自社サービスとして重視する方針を示しています。

一方で、7payで失敗した「スマホ決済」にそのものについて今後も成長すると見込み、体制を見直した上で再参入する意図を示しています。後藤氏は「しっかり体制を準備して、再度サービスに参画できるか、チャレンジしていきたい」と語りました。

7payのサービス終了後も、株式会社セブン・ペイは存続。同社はPayPayやLINE Payなど、他社の決済サービスを中継するゲートウェイ事業を手がけており、その事業に注力するとしています。

Let's block ads! (Why?)



2019-08-01 06:00:00Z
https://japanese.engadget.com/2019/08/01/7pay-9-808-3861/

No comments:

Post a Comment