はじめに
2段階認証は開発途中まで検討
会見では、2段階認証を導入しなかった理由も明らかにされました。セブンペイの奥田裕康・営業部長は「サービス開始後の利用をモニタリングすれば大丈夫と判断したことが、導入を見送った一番の背景」と説明しました。
開発当初、7payは単独のアプリとしてリリースを予定しており、この段階では2段階認証は検討されていたといいます。ところが、セブン-イレブンアプリに組み込まれるなど他のサービスとの連動が決まる中で、利用者の操作感などを優先し、導入を見送ったとのことです。
これに対し、セキュリティ問題に詳しいシステムエンジニアは首をかしげます。「変なログインがあれば遮断すれば十分だろうと思っていたのだろうが、モニタリングは被害を防ぐための対策。そもそも異常を検知して運用者に通知するなど、システム上の機能を作っていたのか疑問だ」と話します。
「もちろん2要素認証だけがハッキングを防ぐ唯一の答えではないが、リスト型攻撃が増える中、近年は2要素認証が一番効果的という風潮がある。被害の前例はいくらでもあり、認識が甘かったと言わざるを得ない」(前出のエンジニア)
問題発覚時は「事前の脆弱性は認められなかった」としていた同社も、この日の会見では「複数端末からのログインに対する対策」「2要素認証などの追加認証の検討」が十分でなかったと認めました。
また、2019年4月に発表されたキャッシュレス推進協議会のガイドラインに反する部分が見つかったものの、すでに開発が大詰めでテスト段階だったため、「われわれ独自のチャージ用パスワードなどで対応しようというのが当時の判断だった」と、放置したことも明らかになりました。
本当にリスト型攻撃だけ?
今回、同社が認定した被害範囲は808人・約3,860万円。不正利用の原因をリスト型としたことに、前出のエンジニアは「チャージ用の認証パスワードを設定してもセキュリティが破られたと訴える人もおり、単純なリスト型攻撃だけが原因というのは納得できない。他にシステム的な欠陥があったという疑問が残る」と話します。
記者会見でも同様の質問が相次ぎました。しかし、同社は外部のセキュリティ会社とともにログなどを調査した結果であると強調し、詳細を公表する予定はないとしました。
この対応に、別のエンジニアは「問題を早期に終結させるために、リスト型と公表したのではないか。少し詳しい人から見るとおかしな点があり、それが不信感につながっている」と憤ります。
さらに、「仮想通貨の問題が起きた時と同じで、今後は参入障壁が高くなり、当局の目が厳しくなる可能性もある。利用者からも厳しい目で見られるのは間違いない。少なくとも新規参入企業は及び腰になるのでは」と、モバイル決済サービス全体への影響を懸念します。
一方で、「逆の見方をすると、2段階認証の必要性を知らしめた。反面教師として、今後は利用者にとって多少手続きが煩雑でも、2要素認証を必ず導入するという動きが加速するのではないか」(前出のエンジニア)という意見もありました。
今回の7pay問題は、お金に関わるサービスゆえに、利便性と安全性のバランスの難しさを浮き彫りにしました。安全に決済サービスを使うためには、私たちユーザーがITリテラシーを上げていく必要もありそうです。
