はじめに
サービス開始から実質4日の稼働で、あっけなく終了が発表されたセブン-イレブンのモバイル決済サービス「7pay」。8月2日に開催された記者会見では、不正使用の原因は「リスト型アカウントハッキング」の可能性が高いと発表されました。
ただ、会見では、不正利用が起きた原因などについて、いくつかの疑問が残りました。セキュリティ問題に詳しいシステムエンジニアらに意見を聞いてみました。
ポピュラーなリスト型攻撃
7payにひもづき、セブン&アイグループのネット通販サイトなどで使える「7iD」は、セキュリティ強化を理由に、7月30日に一斉にパスワードリセットが行われたばかり。その2日後に突如7pay廃止が発表されるという、加盟店や利用者を振り回す結果となりました。
神奈川県内で店舗を運営する男性は「このまま7payをぐだぐだと続けても、イメージが悪いだけなので廃止して正解と思う。ただ一連の対応は遅かった。お客さんからのクレームはあるし、コールセンターの電話はつながらないし、これ以上現場の負担を増やさないでほしい」と話します。
記者会見で回答する後藤副社長
会見では不正使用の原因について、セブン&アイホールディングスの後藤克弘副社長が「攻撃者がどこかで不正に入手したID・パスワードのリストを使い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆるリスト型アカウントハッキングである可能性が高い」と説明しました。
このリスト型アカウントハッキングは、リスト型攻撃とも呼ばれ、別のウェブサイトなどから流出したID・パスワードを総当たりで試すことで、サイトへのログインを試みるものです。今年5月には、ファーストリテイリングが展開する「ユニクロ」「GU」のオンラインストアなどで大規模な被害が出ています。
かなりポピュラーな攻撃方法で、2013年には総務省が対策を公表しています。6年前にまとめられたこの対策集でも、予防方法として、「ID・パスワードの使い回しに関する注意喚起の実施」「パスワードの定期的な変更」などとともに、「2要素認証」(2段階認証)が挙げられていました