セブンペイ5500万円不正被害 新規登録停止、900人に補償

今回の７ペイ事件、問題の本質は７ペイというスマホ決済を独自に作ったのではなく、既存のomni7というECサイトをベースに７ペイの機能を建て増ししたところにあるのではないか。omni7は単なる通販サイトであり、決済機能を担うプラットフォームとしてはかなり手を抜いた仕組みのようだ。例えば、現時点ですら、omni7にログイン状態したからIDやメールアドレスはパスワードなしで変更可能だし、その結果通知も、何を変えても同一内容で、確認のしようがない。そのIDやパスワードやメールアドレスが７ペイと共用されているのだから、セキュリティが弱くなるのは当然といえる。既存の建て増しで急いで構築した構想に無理があったのではないか。
--
150万人の７ペイ利用者のほとんどは、スマホから新規に会員登録したと思われるので、そもそもomni7と認証情報が共有されていることすら知らないだろう。記者会見で「海外からの不正アクセスを止めた」とあったが、理解できない人も多かったはずだ。omni7のセキュリティ要件は、ネットバンクのそれとは比較にならないくらい緩いが、ECサイトで決済機能が別建てであれば、たいして悪いことはできないから、問題にならなかったのだろう。
--
今回の攻撃は、アプリの利用開始の翌日に、かなり大規模に行われている。多分、攻撃したグループは、omni7に７ペイが建て増しされることを事前に察知して、omni7への攻撃方法を周到に準備していたのではないか。だとすれば、店頭でタバコなどを買った実行犯は「出し子」に過ぎず、全容解明は容易ではないかもしれない。

全くもって話にならない
Paypayのセキュリティ対策も常軌を逸したものでしたがそれ以上に驚きました。
一番の問題はパスワード再発行の機能であることは明確です。
ここに関しては他の方々が書かれているので割愛します。
そもそもの思想として「利便性とセキュリティはバランス」という摩訶不思議な言葉を喋られていて私自身ポカーンとシてしまったのですが、そもそもこの思想が大間違いな上に全く現在の法体系を理解できていません。
これは明らかな善管注意義務違反であり過失があります。
法でさばくべきでしょう。
被害額を保証したとしても、反社会的勢力に対して法をかいくぐって資金を流入させたと言われても仕方ないと思います。
また、会見中に「セキュリティテストはしていてそのときには問題は指摘されなかった」と言われておりましたが、もしそうなのであれば本件を担当したベンダーは相当な手抜きでしょう。
ここも公表すべきでしょうね。
そしてPaypayのときもそうですがPCI DSS PA DSSに明らかに非準拠な実装なのですがなぜ過失が問われないのでしょう
不思議でなりません。
どう考えても明らかな過失でしかないでしょう。

謝罪会見見ました。すごく厳しい言い方をすると、ITに関してもビジネスに関しても、この時代にアップデートしてない方の会見でした。
2段階認証も知らない、対応の遅さや脆弱性は無かったと言い張る。おまけに被害者は被害届出さないと補償ない・・・さすがにビジネスパーソンとして、どうなのかなと思いました。まぁ、株主に対して影響の少なさをアピールしたという点では優秀だったのかもしれませんが・・・

世代間のギャップとして語りたくはないですが、変化に対応するための学習を続けなかった人たちが日本の大企業の上層部にいることには、絶望的な気持ちにさせられます。

一方で自分だってそういう時代遅れなビジネスパーソン(ましてや経営者)にならないように、学習を続けていかねばと極めて強い危機感を覚えました。その点では非常に意味のある反面教師事例です。

会見について詳しくはこちらの記事も。
https://www.itmedia.co.jp/news/spv/1907/04/news113_0.html