お粗末な「7pay」にみる日本のITセキュリティレベルの低さ
今日の話題
7pay不正アクセス被害は約5,500万円。全てのチャージと新規登録停止 - Yahoo!ニュース
7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も - ITmedia NEWS
7pay不正で逮捕の中国人の男「報酬は1カートンで300円と言われた」 - ライブドアニュース
これらのニュースを要約すると
- キャッシュレス決済サービスの「7pay」不正利用、サービス開始4日で5500万円被害
- 運営元のIT知識・セキュリティ意識が新卒エンジニア以下のレベル
- 逮捕された中国人はただタバコを買ってこいと命じられただけの駒
- 日本のITセキュリティのレベルが低すぎてチャンス
考えてみる
2段階認証も知らない経営者がITサービスを展開する時代
LinePay、PayPay、OrigamiPay、楽天ペイ、メルペイなど、数々の電子マネー決済サービスが開始されているなか、セブン&アイホールディングスが展開する「7pay」が開始されました。
そしてパスワードの再設定の仕組みがまずくて不正利用されてしまう事態になったのですが、 何がまずかったかというと
- 自分が登録したメールアドレス以外のメールアドレスにパスワード再設定がてきる
- その際にSMSなどの番号を使って2段階で認証ができる仕組みがない為、他人でもできてしまう
大雑把にいうとこういうことですが、ようは他のメールアドレスでパスワードを再設定するなら、登録した携帯電話のSMSを受信して本人確認してからね、という対策を行うべきということです。
しかし等のセブン&アイホールディングスの社長は会見にて「2段階認証・・・?」と言葉が詰まる場面があり、2段階認証を知らないのでは、という声が上がっています。
昨今、Googleを始めとした2段階認証を強く推奨する動きになっていますがその存在すらも知らない日本の経営者は本当にITリテラシーが低いなと思います。
運営側の対応がお粗末すぎる
不正利用を受けて7payは登録時とは違うメールアドレスへのパスワード再設定を行えないようにした、とのことでしたが実際には「画面上から一時的に見えなくした」だけであり、少し知識のある者(Webの経験が1,2年あるだけでもわかるレベル)だったら引き続き利用できてしまう状況でした。
私もWebサービスのシステム設計やお問合せ窓口の立ち上げなどを行ったことがありますが、パスワードの再設定は必ず登録したメールアドレスのみ、コールセンター側の人間でもパスワードに関する問合せには一切応じず、本人自身で再発行を対応して頂くなど、たしかに対応の整備をするのは中々大変なことはわかります。
今回の7payが急遽設置したコールセンターの電話番号が0570から始まるナビダイヤルの番号で、ユーザー側に通話料を負担させる回線であることからそれもユーザーの怒りに火をつける原因になっています。(現在は0120のフリーダイヤルに変更)
また、これだけ被害者が出ているにも関わらずサービス自体は停止されていないことも問題です。「利便性を損なわないため」という理由ですが、そもそもこういった事件が起きた場合はサービスを全面的に停止しないと信用問題になることが今回の件でよくわかります。
捕まったのはただの雇われで首謀者は特定できていない
今回の件で逮捕者が出たようですが、捕まったのは1カートン300円という報酬に釣られて乗っ取られた7payのアカウントを実際に利用した中国人でした。
乗っ取りを行った本人はおそらく海外経由でのアクセスで身元を分かりづらくして、実際の犯行は雇ったものにやらせる、という手口で犯罪に慣れているようにうかがえます。
こういったサービスの脆弱性(セキュリティ的に弱いところ)を普段から探し回り、見つけては実際の犯行を他人にやらせて利益を間接的に得る、ということを日常的に繰り返しているのでしょう。
何れにしても日本人経営者はITに疎い者が多く、またセキュリティ意識も低いです。私も実際に危険な状態のECサイトを運営する経営陣に、このまま運営するくらいなら閉鎖しましょうという提案をしてもスルーされたことがあります。
総じて、これからもITセキュリティの問題・被害はどんどん増えていくことが容易に想像できます。
ITセキュリティに関するサービスはこれからかなりのチャンスがありますね。