災害時インフラ最新情報

不正アクセス「7pay」で指摘されるシステムの穴…他の「ペイサービス」にも確かめてみた

カテゴリ:ビジネス

  • 誰でもパスワードがリセットできる状態だった…
  • 「二段階認証」がなかった…
  • 専門家「いますぐ全面的にサービスを止めるべき」

「7pay」は今どうなっている?

スマホ決済への参入が相次ぐ中、コンビニ最大手のセブンーイレブンが7月1日から始めたスマホ決済「7pay」

しかし2日から不正アクセスの問い合わせが相次ぎ、3日にクレジットカードやデビットカードによるチャージを停止。
4日午後には緊急会見が開かれ、不正アクセスによって900人に5,500万円の被害が出た可能性があることが明らかになった。
さらに会見では現金など一切のチャージや新規登録を停止したと発表した。

会見ではセブンペイの小林強社長らが謝罪したが、ネットではしどろもどろな回答に批判が集中し、「7payは、なぜ二段階認証がないのか?」という記者の質問に「二段階認証・・・?」と戸惑いをみせたことも物議を醸した。
さらに同日、「7pay」を不正に使って電子タバコ146カートンをだまし取ろうとした疑いで、中国人の男ら2人が逮捕された。

だが騒動は一向に静まりそうにない。
ほぼ1週間が経った今も「7pay」は新規登録と全てのチャージを停止した状態が続いていて、不正アクセスの原因やサービスの再開、会見では全ての被害を補償する意向を示していたがその方法についても何らアナウンスはされていない。

突然10万円がチャージされ…

まずは今回、一体どんな被害が出ていたのか。
逮捕された男の供述によれば、中国語版SNSの指示に従って送られてきた「7pay」のID・パスワードを利用し、電子たばこのカートリッジ40カートンを不正に購入したという。

この時、「7pay」の正規ユーザーは自分の残高が不自然に動くことに気が付いた。
1000円しか入金していないはずなのに、突然10万円がチャージされ、その直後に支払いが行われて0円になったという。そこで利用履歴に表示されたセブン-イレブンに連絡したことから容疑者の逮捕に至った。

自分がチャージしていたお金をとられるのはもちろん嫌だが、今回の事件のように、自分のクレジットカードなどから勝手にチャージされて使われるというのは、スマホ決済を利用する上で最も避けたいトラブルだろう。

誰でもできるパスワードリセット…

実は「7pay」は謝罪会見前から、セキュリティの問題によってアカウントが乗っ取られる危険性が指摘されていた。

様々なサービスでは、正規ユーザーがパスワードを忘れた場合に備え、本人だけにパスワードのリセット方法を伝える手段が用意されている。

ところが「7pay」では誰もがパスワードをリセットできたともいえる仕組みになっていた。

「7pay」でパスワードリセットを利用する場合、正しいID(メールアドレス)・生年月日・電話番号の入力を求められる。
これで、リセットする方法が正しいメールアドレスに送られるのが一般的なサービスなのだが、「7pay」は別のメールアドレスにも送ることが可能になっていた。
つまり、メールアドレス・生年月日・電話を知っている第三者が、自分のメールにリセットの仕方を送り、勝手にパスワードを書き換えることができる状態だったのだ。

他のペイサービスにも確認してみた

今回の不正アクセス問題では「パスワードリセット」が大きくクローズアップされていて、スマホ決済全体への不安につながりかねない事態だが、他のペイサービスは、どんな仕組みになっているのだろうか?
楽天ペイ、LINE Pay、PayPay、ファミペイの各社に聞いてみた。

――登録したメール以外にパスワードリセットのURLを送信できる?

楽天ペイ:
楽天IDに登録したメールアドレス以外に送ることは出来ません

LINE Pay:
LINEアカウントおよびLINE Payのいずれの場合であっても、登録されていないメールアドレスに対してパスワードリセットを行うURLを送信することはございません

PayPay:
事前に登録されたメールアドレス以外にパスワードリセットを行うURLを送信することはできません。

ファミペイ:
そもそもメールアドレスは使用しておりません
携帯電話の番号をIDにしておりまして、パスワード忘れの場合は生年月日と電話番号を入力します。
その電話番号にSMSをお送りしています。

――アカウントを盗まれないよう、他にどんな対策をしている?

楽天ペイ:
セキュリティの観点から対策の詳細についてはお伝えができませんが、複数の本人認証プロセスを取り入れ、不正利用の制御を行っています。

LINE Pay:
LINE PayはLINEアカウントの認証に加えて、LINE Pay独自で設定するパスコードが必要となっています。

PayPay:
アカウント登録の際にSMSによる認証を行っております。

ファミペイ:
SMS認証に加えてファミペイを利用する際にはまた別の暗証番号を設定していますので、まず不正は行われません。

「パスワードリセット」について、他のペイサービスでは「7pay」と同じやり方ができるところはなく対策がとられていた。

そして「7pay」は他にもセキュリティの不備が指摘されている。
ID・パスワードだけでなく、電話やSMSなど別の方法で本人確認を行う「二段階認証」や、いつもと違うスマホなどからアクセスされたことを正規ユーザーに伝えて確認を促す仕組みも「7pay」にはなかった。

様々な問題点が指摘されているが、いったいなぜこんな状態でサービスを開始したのか?
そして、専門家はどんな不正が行われていたと推測しているのか?
ITジャーナリストの三上洋さんに聞いてみた。

想像できる方法と全く違う手口があるのかも

――今回は、どういう不正アクセスが行われた?

今回の不正アクセスがどういうものかは、まだはっきりしていない状況です。
4日の記者会見も「分かっていて言わなかった」というより、「本当にわかっていない」感じでした。
もっとも、本当に「分かっていない」なら、それはそれで大きな問題ですけど。


――三上さんは、何があったと推測する?

想像できることは3つあります。

1つ目はパスワードリスト攻撃」です。
実は、過去に漏洩したメールアドレスとパスワードのセットが、リストとして売られているんです。
このIDとパスワードを入力して、正規ユーザーのアカウントを乗っ取ったのではないかというものです。

2つ目はパスワードリセット」の悪用です。
「7pay」の「パスワードリセット」は仕組みに問題があります。
脆弱性、もしくは欠陥ともいえる作りになっているので、そこを突かれて乗っ取られたのではないかというものです

3つ目は全く未知の想像もつかないセキュリティホール」が攻撃された可能性です。
私も「7pay」のアプリで試してみたんですけが、別のスマホから乗っ取りをやってみると、元のスマホは自動的にログアウトされるんです。
つまり、2台のスマホで1つのアカウントを使うことはできないんですね。
ところが今回は「10万円のチャージが目の前で消えた」とか、「○○円チャージした表示された」とか、被害者側が自動ログアウトしなかったという報告もあります。
ということは、想像できる方法とは全く違う手口があるのかもしれません。
もし、3つ目だったとすると、その仕組みは全く分かりません。


今すぐ全面的にサービスを止めるべき

――最大の問題点はなんだと思う?

まず「7pay」という独立したアプリを作らかなったことです。
今回は「セブン-イレブンアプリ」という、既存のアプリに新しい仕組みを入れ込んでいます。
これは、たぶんユーザーの利便性を優先したのかもしれませんが、既存のアプリに入れ込んだことで、二段階認証がないとか、パスワードリセットの仕組みが甘いという仕様になってしまったんですね。
もともともの「セブン-イレブンアプリ」は、クレジットカードの登録もないので、それほど高度なセキュリティは要求されていなかったと思います。
そういう「甘い仕様のアプリ」に入れ込んだのが問題です


――今回の騒動の背景には何がある?

会見を見ると、7payという会社と、セブン-イレブンという会社のトップコントロールができてないことが分かります。
会見に登場した ある方は「うちはちゃんとしていた」とか「セキュリティは万全」だとか何回もおっしゃっていました。
5500万円の被害があって謝罪しているのに、ちゃんと確認したって言い張っているんです。
もう「バカか?」と、子供の言い訳みたいだと思いますが、その背景には「7pay」としては、ちゃんとしていたと考えているのではないでしょうか?
例えば、セキュリティの問題は「セブン-イレブンアプリ」にあるので自分たちは、ちゃんとやったとか。
セキュリティに関しては「7pay」は知らないよという態度に見えるんですね。

じゃあ、トップのコントロールができていない背景は何にがあったのか。
それは、セブン-イレブンの「焦り」ではないでしょうか。
会見では、アプリのリリースを「急いだのか?」と聞かれてすぐ否定をしていましたが、コンビニのスマホ決済対応でセブン-イレブンはほぼ最後発です。
ファミリーマートやローソンは半年以上早くスタートしていますし、LINE PayやPayPayの派手なキャンペーンもありました。
だから、たくさんの人がファミリーマートやローソンを使うようになっていた。
数字は出ていませんが、その期間のセブン-イレブンの売り上げは落ちていたとしか想像できません。
セブン-イレブンは、コード決済で遅れていることに焦りを感じて、「7pay」導入を急いだのではないかなと思います。

あと時期的な面でいえば、10月から消費税10%引き上げに伴う軽減税率が始まりますので、それまでには絶対スタートしなければいけないという狙いがあったのではないでしょうか。
7月1日にサービスをスタートしたというのは、守らなければならないスケジュールだったんだと思います。

―― スマホ決済が乱立しているが利用者が気をつけるポイントは?

正直に言うと、今回のような事例はユーザーが避けようがないんですね。
「7pay」の言うとおりに使っていたのに被害にあったら、非があるのは「7pay」側でしょう。
やれることと言えば、「パスワードはサービスやアプリごと別のものにする」ということです。

今回の騒動では、まず「パスワードリスト攻撃」が疑われたと言われています。
これは、パスワードを使いまわしてしまうことが原因のひとつです。
それぞれのパスワードを別のものにすると、当然覚えられませんので、紙にメモするかエクセルに入力しておきましょう。
紙のメモは家に保存しておいて、必要な時は家でやるか、記憶しているパスワードだけを使う。
エクセルファイルはパスワードをかけて、それだけを覚えておきましょう。

――「7pay」に言いたいことは?

今回「7pay」はサービスを「止めない」という選択をしましたけど、これは間違いだと思います。
今、不正使用が起きていて、原因が分かっていないという状況なのに「止めない」のは常識では考えられません。
全面的にストップして原因究明を急ぐべきです。

「7pay」はコンビニ最大手が最後に出した一番注目されるスマホ決済です。
だからこそ、この騒動で「スマホ決済は怖い」と思わてしまう懸念があります。
キャッシュレス決済の推進をする政府にとっても大迷惑な話です。
セブン-イレブンだけの問題ではなく日本社会全体に影響する事なので、厳格過ぎるぐらいの慎重さで対応していただきたいですね。
そのためには今すぐ全面的にサービスを止めるべきだと思います。


一部ではセブン-イレブンの語呂合わせから7月11日に「7pay」を再開するとのうわさがあったが、これは全くのデマのようだ。
キャッシュレス決済が推進される中、利用に踏み切らない人の中にある何となくの不安を増幅させてしまったような気がする今回の不正アクセス事件。
「7pay」は今後どのような対応をみせてくれるのだろうか。

「キャッシュレス時代の“お金”」特集をすべて見る!