翌日、全入金手続きを停止させたが、対応は遅いと言わざるをえない。しかし、同社は不正アクセス元のほとんどが海外であるため、国外からの通信を遮断したとしている。小林社長は「対応が遅くなったという認識はない」と語った。
さらに困惑するのは、セブン&アイ・ホールディングス執行役員の清水健氏が、繰り返し「脆弱性に問題はなかった」とシステム側の不備を認めない発言を繰り返したことだ。
7月4日の午前6時時点の試算でおよそ900人のIDが乗っ取られ、被害額は約5500万円に上るとされるが、そうした被害規模よりも清水氏の発言のほうが、ずっと大きな問題だと個人的には感じる。
なぜなら、外部の評価機関に依頼するなど、開発時に適切な評価・テストを行っていれば、今回の問題はそもそも起きなかったと考えられるからだ。
では、彼らが「脆弱性ではない」と話し、「ユーザーの利便性を考えて設計」した問題とはなんだったのか?
2重・3重の問題点
今回の問題ではセブン&アイ・ホールディングスとセブン・ペイは被害者という立場で会見が開かれている。
しかし杜撰な甘いセキュリティ管理を知れば、そもそも彼らが「社会通念上、当たり前の」システムを作っていればサービス開始翌日の夜に被害者が出るという事態にはならなかったということがわかる。
セブン・ペイのログインIDとして使われる「7iD」は、生年月日と電話番号、それにメールアドレスがわかればパスワードを変更できる仕組みだ。しかも、パスワード再設定の案内を送るメールアドレスを“自由に指定できる”ため、上記3つの項目さえ把握していればIDを乗っ取ることが可能だ。
しかし、これで話はすまない。
スマートフォンアプリから登録する場合、生年月日は必ずしも入力しなくともよく、省略すると2019年1月1日が設定されるという情報も公開されている。すなわち、電話番号とメールアドレスの組み合わせがあれば、スマートフォンから登録したユーザーのIDは生年月日なしで乗っ取られることになる。
そのうえで、決済システム向けに入金を行うという重要な処理に使うパスワードを「ユーザーの利便性を考えて」簡単に変えられるようにしたのだから呆れる。ユーザーの利便性を上げるために、意図して「パスワード変更を容易にした」と話しているのに、一方では脆弱性ではないと主張する。
本当に現状を正しく認識できているのだろうか。サービスを開始して翌日の夜には被害者の訴えがあったということは、パスワードリスト攻撃などの可能性は排除され、システム設計そのものを疑うべき場面だ。
今回の会見も、まずは自らの足元の危うさについて素直に認めたうえで、有効な対策について話すべきだったはずだが、会見内容は保身としか思えないものだった。
そもそも、7payに関しては初日から混乱を極めており、同社がこのような強弁を行う意図が見えない。多く問題を抱えた中で起きた今回の不正利用に関しては、真摯に“原因と対策”に立ち返った対応が必要だ。
