7月1日にサービスを開始した7payですが、たった二日でセキュリティの問題を発生させ衝撃が走りました。
事の起こりは翌日の2日の、ユーザーからの問合せで発覚したようです。7payは他の電子マネー同様、現金でチャージした金額を店頭での決済に利用できる仕組みですが、クレジットカードによるチャージを選択したユーザが不正に多額のチャージが行われ、同時に利用されていることが解ったのです。サービスの主体であるセブン・ペイ社が調査を行ったところ、IDとして使われている7iDの仕組みの脆弱性を狙ってパスワードを無断で変更し、新たにユーザになりきった他者が元のユーザのクレジットカード機能を利用して当該IDに現金をチャージし、それを店頭で不正利用されたことが解りました。4日時点ので被害総額は5500万円ほどであり、約900名のユーザが被害に遭ったとされています。セブン・ペイ社はチャージ機能を一時停止して事態の収拾を行いましたが、こういった新規サービスを標的とした犯罪が行われたことは、今後こういった新規の電子マネービジネスに対する警鐘となったようです。
今回の問題は、7iDのパスワード変更機能の脆弱性から発生しているようです。変更のためにはユーザ名と生年月日を入力すればパスワードがリセットできる上、その通知を新規のメールアドレスに行うようになっていたようです。となると7payを利用する可能性があるユーザを特定できれば、そのユーザ名と生年月日さえわかればパスワードのリセットができることになります。さらに今回被害に遭ったユーザーは、7iD登録時のパスワードとクレジットカード会社のパスワードを一致させていたため、乗っ取ったIDへクレジットカードから現金をチャージすることができたようです。さまざまなSNSに氏名や生年月日は登録されていますからユーザを推察することは難しくありませんし、その人の利用しそうなパスワードが分かれば、こういった問題は避けられないことになります。
通常こういった乗っ取りを防ぐため、提供会社はSMS等を使った本人確認の二段階認証等の方法をとっていますが、7payは利便性を高めたためこうった機能を搭載しなかったようです。開発主体のセブン・ペイのみならず開発を請け負った大手ベンダーにも非難が起きているようですが、こういった事態が起きた以上、今後はもっと慎重なシステム開発と運用が求められることになりそうです。
今回の犯罪は中国から仕掛けられており、実際に乗っ取ったIDを使って捕まったのも中国人でした。アクセスも実行も中国がらみですから組織的な犯罪と思われますが、こういった集団が世界中のサービスを虎視眈々と狙っている現実を思い知らされます。インターネットの普及とともに、国内だけのサービスでも海外の犯罪組織にとって標的になることを示した事件ともいえますし、ネットでサービスを提供する企業はより慎重な検討が望まれることになります。
しかし現実の問題として、個人が複数のパスワードを運用したり登録したサイトを管理するのは、現実的に難しといえるでしょう。自動的にパスワードを生成し管理する仕組みも沢山ありますが、一般的なユーザにとっては理解や操作が難解でなかなか利用しにくいものです。一時私も利用していましたが、さまざまなデバイスからネットへアクセスするため、すべてのデバイスにそういった管理機能を導入するのに一苦労したことがあります。現在はクラウドベースのもっと簡単なものが出てきているようですが、一般のユーザがこういったものを使いこなすには、まだまだ時間がかかりそうです。
ネットが本格普及したのは今世紀に入ってからですから、人間の歴史を考えても微々たる期間といえます。しかしその普及範囲とレベルは人間の想像を超えるものであり、すべての事象を理解したり今後を予想することは不可能でしょう。となると、一つ一つの問題に対して専門家だけでなく利用者も真剣に考え、よりよい対策やルール、ツールを創り出していかなければなりません。それらは完全でなくても、まずは導入しそれをレベルアップしていく、問題がでた都度少しずつ精度を高めていくしか方法がないように思います。同時にそれらを一般のユーザの判断に任せるのではなく、サービスや装置類を提供する側が基本機能として搭載しなければなりません。その上で不具合が出た場合、それらを解除したり制限したりする権利をユーザに与えるべきと思います。
今回の件は、今後のネット社会に対する一つの警鐘を鳴らしたことになりますし、ユーザに対する注意喚起にもなったと思います。この事件が風化することなくネットサービスのセキュリティレベルが少しずつ上がることを、元セキュリティ対策を行っていたシステム監査人として心から願いたいと思います。
