店頭での大量購入は止めず
7payに不正にチャージしたお金はセブン-イレブン店頭でしか使えない。店頭でタバコを大量購入する場合に7payを使えないようにするなどの措置を取れば、被害拡大を防げるのではないか。
セブン-イレブン・ジャパン 宮地執行役員 現時点で、そうした措置は取っていない。不正な大量購入か、問題ない大量購入かを区別できないからだ。ただし、本部で今後の対応を検討しているところだ。
不正アクセスのアクセス元は。
小林社長 疑わしいアクセスを洗い出したところ、当初見つかったもののほとんどが海外のIPアドレスからだった。中国からのアクセスが多かったが、国別の状況などは精査中だ。海外からのアクセスはブロックする措置を取った。
7月1日のサービス開始前に不正アクセスの懸念はなかったのか。
セブン&アイ・ホールディングス 清水執行役員 サービス開始前にはセキュリティーに関するチェックをしている。その時点では特に問題点は見つからなかった。しかし、実際にこのような被害が出ている。具体的なセキュリティー不備の内容についてはきちんと調査しなければならない。
パスワードを忘れてリセット手続きをする際、登録済みとは別のメールアドレスに手続きメールを送信できる仕様になっていた。第三者にアカウントを乗っ取られやすいように思えるが、なぜそのような仕様にしたのか。
清水執行役員 お客様の利便性とセキュリティーのバランスは難しいところだ。今回は、7pay開始より前にキャリアメールでID登録をしていて、そのキャリアメールを今はもう使っていないケースを想定した。そうしたお客様の利便性のため、キャリアメール以外のアドレスでリセット手続きができるようにした。改善すべきところは今後改善する。
他のコード決済サービスで一般的なSMS認証(スマートフォンにSMSを送信して本人確認する方法)を導入していなかったり、普段と異なる端末からログインした場合などに「身の覚えのないログインではないか」と注意喚起する仕組みがなかったりと、全体的にセキュリティーが甘い仕様になっていたように思える。
清水執行役員 利便性とセキュリティーのバランスを考慮し、ユーザー体験を向上させることを念頭に設計したものだったが、きちんと調査して改善を図る。
