新着Pick
884Picks
Pick に失敗しました

人気 Picker
考えさせられる記事。
既存システムとの連携をベースにプロジェクトが始まるのは自然なこと。一方、技術や悪巧みはどんどん進化する。
本説の真偽は分かりません。コメント欄合わせて読む価値大。
先日、他のペイ事業者関連の方にお会いしたときに「セブンペイの事件のせいで、ペイは危険だとキャッシュレス機運が下がったら、どうしようと」言っていました。

ペイペイで問題が起きた時は、それをきっかけに業界全体のセキュリティレベルアップになったそうですが、今回は違うようです。セブンほど、大きな企業があまりにお粗末な理由でこけた。「なんてことをしてくれたんだ」という感じだそうです。

岩下先生のお話を聞けば聞くほど、この初歩的なミスが起きた原因は、組織のあり方ものものなのではないかという思いを強めてしまいます。24時間問題の対応しかり、今回の問題しかり、セブンは抜本的に変わらなくてはならない時期に来ているということなのでしょうか。
7pay事件について解説をさせていただきました。事件当日からNewsPicksに書いていましたが、omni7というあまり整備されていないECサイトをベースとする仕組みとしてしまったのが敗因だと私は考えています。omni7の穴はなかなか全て塞ぐのは難しそうなので、7payを続けたいのであれば、両者を切り離すのがとりあえずの処方箋になると思います。
> 一番早く解決する方法は、オムニ7と7payを切り離すこと
これはあまり意味のある提言とは言えなそう。
昨日のBusiness Insider Japan の記事によれば
そもそも "プロジェクトがスタートした約2年前から2018年末ごろまでは、7payは「単独のアプリ」として配信する予定だった" ことが報じられている。
https://www.businessinsider.jp/post-194302

この件、様々なメディアで報じられ、ツイッターでも色々な憶測が飛び交っており、正直なにが原因なのかさっぱりわからない。
https://www.watch.impress.co.jp/docs/series/suzukij/1195163.html を見ると、2段階認証の不備、パスワードリセットの問題では説明できない問題がある、と書かれている)


なぜ切り離すことができなかったか。技術的な問題なのか、ビジネス上の戦略の問題なのか。
仕様変更の末に再計画された7/1必達のスケジュールは妥当だったのか。なぜ7/1必達にしたのか、などなど。
職業がらどうしても気になってしまうが、もうすこし詳細が報じられてから考えたい。

(内部事情がどこまで報じられるかわからないけど、度重なる仕様・スケジュールの変更、グループ3社にまたがって責任をおしつけあいという報道をよむにつけ、セキュリティ、組織上の問題以前に、プロジェクトマネジメントがお粗末だったのね、という感想を持つ。)
みんな言ってるけどこれはちょっと意味わからない。
別にUA偽装したりすればいいわけだし例示されている他のサービスにもリスト型攻撃を当てようとすれば別に当てられる。
もし仮に本当にスマホからしかアクセスできないものがあったとしてもrootedなiOS、Androidエミュレーターにアタッチすれば済む話。

”しかし、7payは、パソコンからもログインできるECサイトに連結しており、「パスワードリスト攻撃(リスト型攻撃)」が容易にできる仕組みです。
つまり7payは、そもそもパソコン側から「どうぞお入りください」と言わんばかりの仕組みを作っていたということになります。”
今回の事件はいろいろな理由があるのでしょうが、セブンイレブンだからこそチャレンジをしたのではないでしょうか。私は新しい技術にチャレンジしたのは良いと思います。
後からならなんとでも言えます。今回はお客に迷惑をかけ、信用まで失いましたが、いろいろ問題が発見できたので良かったのではないでしょうか。
新しいことを生み出し、いつもコンビニを引っ張ってきたセブンイレブンさんです。今回の問題も乗り越えて、さらにいいシステムを作っていくと思います。
がんばれ!セブンイレブン。
記事とSakakibaraさんのコメントの両方読んで、今回のアプリの設計方法と問題点を理解しました。

ただ、いかんせん使っていないので、今一つ分からない…
オムニ7のシステム→会員情報管理画面をセブンペイと共有していることは、予めアプリで明示したのでしょうか?
そもそもユーザーは殆ど被っていないようですが、共有していることは明示しなかったのですよね…そして被っていた人が今回の被害者である可能性が高いということ?

記事内楽天ペイが比較されていますが、楽天は沢山サービスがあっても、楽天アカウントは一つに集約しています。それが、ユーザーにもわかるようになっています。

既に会員組織を持っていると、それをベースにサービスを追加したい気持ちは分かりますが、今回、セブンペイは、単にシステム開発費を削るためにオムニ7のシステムの会員管理機能を使ったということだったのですか…
目的があまりにもセコいなぁ。
QRコード決済に必要なセキュリティをクリアしていても、ベースの会員管理機能がダメダメだったということですか…

でも、PCI DSSを普段から意識しているシステム会社なら、こんな初歩的ミスはしないと思うのだけど。
初歩的ですし、被害が出ている以上許されないミスですが、新規事業をやってる身としては、びっくりするくらい当たり前の事が最後まで見逃されていたり、想定できないトラブルがたくさん起きることは、明日は我が身で身が引き締まります。

なるべく早く改善して信用を取り戻して欲しいです。
記事もコメントも参考になりました。

・岩下教授の解説
・それを、わかりやすく伝わるようにしたビジュアル
・専門家のピッカーによる批判的な解説コメント

こうした重層構造は、良い意味でNewspicksらしいです。
解決方法は「オムニ7と7payを切り離すこと」。なるほど、その通りですね。
この連載について
今、知りたい注目のニュースの真相から全体像まで、やさしく徹底解説。プロピッカーや有識者による対談、オピニオン寄稿、直撃インタビューなどでお届けする、NewsPicks編集部のオリジナルニュース連載。
株式会社セブン&アイ・ホールディングス(英語: Seven & i Holdings Co., Ltd.、通称表記:セブン&アイHLDGS.)は、セブン-イレブン・ジャパン、イトーヨーカ堂、そごう・西武などを傘下に持つ日本の大手流通持株会社である。日経225及びTOPIX Core30構成銘柄である。 ウィキペディア
時価総額
3.81 兆円

業績

業績