もっと身近にセキュリティ

7pay騒動の行方

7payを巡る騒動が大きな話題となりました。

今月は多くの注目される事件やできごとが発生したため忘れ去られ気味になりつつありますが、発生からまもなく1ヶ月が経過しようとしているにも関わらず、あまり事態はそう大きく進展していないように見えます。

あらましは改めて振り返るまでもないかもしれませんが、簡単におさらいしておきます。
7payのサービスは7月1日に始まったプリペイド型QRコード決済のサービスです。当初はセブンイレブンでの利用からスタートしましたが、ゆくゆくは7&iグループ各社やグループ外へも広げていこうという目論見だったものと思われます。
ところが2日には利用者から「身に覚えのない取引があった」という問い合わせが寄せられたり、Twitter上などでも類似の事例が話題になり始めます。
そして3日に入ってクレジットカードやデビットカードからのチャージを停止、4日に記者会見を行いその日の内に新規登録を停止するという事態に至ります。
それと前後して有志による調査やマスコミの報道などにより、アプリの設計やフロー面での不備や、果ては開発体制やガバナンス面や経営陣の意識などに対する不備が指摘される有様となっています。
さらに5日には不正に7payのIDを利用してたばこなどを購入しようとした中国人が逮捕され、指示役からIDとパスワードが送られてきたと供述するなど、国際的な組織ぐるみの犯行である可能性も示唆されています。

様々な状況が断続的に明らかになってきてはいるものの、現段階で詳細が判明しているとは言い難い状況です。特に7&iHD側の運営上の不手際は表出してきているものの、犯人側の手口やスキームがそこまで詳しく判明しているわけではないため、端的なセキュリティホールが何だったのかという点はまだわかっていません。
例えばパスワードリセットを第三者が任意のメールアドレスで行えるという指摘はありましたが、被害者の声を見るとリセットが行われた形跡がなかったり、複雑でユニークなパスワードを設定していたという人も被害に遭っているということからリスト型攻撃の可能性も薄そうだと見られています。

一方で開発体制の混乱ぶりはマスコミの取材により見えてきた部分もあります。
報道によると複数の大手SIerが開発に関与していると見られることや、昨年末や今年の連休前後での開発方針の変更があったのではないかとされています。
元々単独のアプリとして配信される予定だったものが、既存の「セブンイレブンアプリ」の新機能として実装されるように変更されたり、7iDやオムニ7との連携が要求されたのではないかと言われ、少なくともリリースされたアプリやサービスは既存の仕組みの延長として提供されていたように見えます。
さらに(結果として基盤を共有することになる)「オムニ7アプリ」のソースコードがGitHub上で公開されていたことも明らかになっています。
こういった話を踏まえると、7iDやオムニ7に何らかの脆弱性が存在したことは一部の悪意ある人の間で以前から知られてしまっていた可能性は考えられます。
ただし悪用するだけの旨みがなく放置されていたところに、今回の7payのリリースに伴って容易にIDを詐取し、そこから現金化を行うなどのフローが成立してしまったというシナリオは想像できるところです。
この辺りの経緯は社会として今後の教訓とするためにできる限り公表して欲しいと思うところです。

他方、多分に想像を含みますが、「大企業と大手SIerによる開発案件」における発注者側のセキュリティに対する無理解や意思疎通の断絶が根底にあるような気がしてなりません。
前述のパスワードリセットの仕組みを例にとっても、このフローがいけないということに誰も気づかなかったとは到底思えません。それを指摘しても対策がされない風土や、そもそも指摘をしづらい雰囲気があったのではないか、あるいはセキュリティを二の次にして過度なまでにユーザの利便性を追求してしまう風潮が、特に営業・マーケティング部門や上層部に強かったのではないかという点はどうしても想像したくなってしまいます。
こういった点の理解や意思疎通が適切に行われていれば、もっと違ったフローによる、結果としてセキュリティと利便性のバランスを取ったサービスインに至れたのではないかと、報道ベースの情報だけでも想像できてしまうというのがこの事件の根本部分なのかと思います。

昨年から今年にかけて「○○ペイ」と名のついたQRコード決済のサービスが乱立しています。
マーケティング寄りの観点から他社に先駆けて覇権を取りたかったり、せめて自社サービス周辺のユーザの囲い込みを行いたいという動機は理解できますが、リリースを急ぐありまりセキュリティの観点が疎かになったり、乱立しすぎて消費者側が使い分けをしなければならないという本末転倒な事態が見え隠れしています。
さらには元々国内で大きく普及しているSuicaのようなICカード決済やクレジットカードを直接使う方が利便性もセキュリティも高いということになりつつもありますし、巡り巡って現金が最強なのではないかというキャッシュレス化の流れに逆行する未来すら見えてしまうのは残念なところです。