セブンペイ 不正アクセスの原因は?二段階認証を未導入だった!

8月1日に緊急会見を開いたセブン&アイ。

 

そこでのセブンペイ社長の発言が問題視され

「不正アクセス対策が不十分だった意識が足らない」

このように炎上してしまう結果となった緊急会見。

 

不正アクセスの手法については

「リスト型アカウントハッキングの可能性が高い」

そう会見でも告げていました。

 

なぜ不正アクセスが行われてしまったのか?

対策として導入するべきだった二段階認証

一連のセブンペイ騒動を解説していきます!



セブンペイ 不正アクセスの原因は?

まずはセブンペイ不正アクセス被害の詳細を確認。

あからさまなセキュリティーの欠陥をついて、日本のセブンイレブンが今月1日にサービスを開始したばかりのスマホ決済「7pay(セブンペイ)」でアプリの不正アクセスが多発した。

7月4日に記者会見したセブン&アイ・ホールディングスによると、同日午前6時の時点で、不正アクセス被害に遭った利用者は推計約900人、被害額は約5500万円に上るという。

出典元:BBC.com

サービス開始して数日で被害者は約900人で

被害総額は約5,500万円となった今回の事件。

 

この段階でサービス改善を行えば良かったのですが

セブンペイを継続させてしまい、被害は更に拡大。

結果的にサービス終了まで追い込まれています(;´・ω・)

 

被害に遭われた方へ100%補償をするという事ですが

なぜ今回のような不正アクセスを許したのでしょう?

原因はセブンペイのセキュリティーが甘かった為

 

二段階認証を未導入だった!

セブンペイについての会見では

「セキュリティー審査で脆弱性はなかった」

このような発言をされていましたね。

 

ですが本当に脆弱性は無かったのでしょうか?

米テクノロジーニュース・サイト「ZDNet」によると、「セブンペイ」のセキュリティー・システムに不備があり、利用者アカウントのパスワードを他人が簡単に再設定できた。

いわゆる「2段階認証」が導入されておらず、パスワード再設定用のリンクを、アカウント利用者本人ではなく、ハッカーのメールアドレスに送らせることで、勝手にパスワードを設定し直し、アカウントを乗っ取ることができたという。

パスワード再設定のリンク要求は、本人の誕生日やメールアドレスなど、ネット上で簡単に調べられる情報さえ入力すれば可能だったという。

日本メディアによると、この問題に関連して警視庁は4日、他人名義のセブンペイで不正に決済しようとしたとして、中国籍の男2人を詐欺未遂の疑いで逮捕したと発表した。都内の男性名義のセブンペイを不正に使い、20万円相当の電子たばこカートリッジを電子決済で購入しようとした疑い。

出典元:BBC.com

セブンペイに脆弱性は無いと会見で述べても

海外メディアではシステム不備を指摘されており

二段階認証の未導入が原因とされています。

 

パスワードを再設定するために必要なのは

・誕生日

・メールアドレス

・電話番号

これらの情報があれば可能だったセブンペイ。

 

システム的に二段階認証を導入していないなら

リスト型アカウントハッキングされやすく

簡単に乗っ取れてしまう致命的な欠陥が・・・。

 

仮にここまでされてしまっていたとしても

二段階認証を導入してさえいれば防げています

慌てて二段階認証を導入しようとしますが

既に利用者の信用を失った後では意味も無く…。

二段階認証とは?
ログインする際、ID・パスワードの他に
メールやSMSで送られてくるコードを入力するなど
利用者認証を2回に分けて行う手法。

不正アクセス発覚当初も「リスト型攻撃では?」

そんな声がネットでも相次いでいた状況です。

おまけに海外からのアクセスも無制限・・・。

なんだか認識の甘さを感じますね(;´・ω・)



会見の炎上理由は「認識の甘さ」

7月4日に開かれた緊急会見が炎上してしまい

後手に回ってしまっていたセブン&アイ。

会見の炎上理由は「認識の甘さ」でした…。


会見を開く際は質問に対して準備しておく。

これが企業に求められる対応ですよね?

ですが「二段階うんぬん」と理解していない様子で

この発言で認識の甘さが露見してしまいます。

 

「脆弱性はなかった」との発言がある中で

二段階認証を理解してない様子を会見で晒すのは

企業イメージがガタ落ちしてしまいましたね(;´・ω・)

加えて8月1日の緊急会見も叩かれてしまう状況で

セブンペイの廃止発表は正解だと思います。

早期撤退の損切りと言われても信用問題があり

サービス継続は更なる炎上を呼ぶだけ(;´・ω・)

 

しかしセブンペイを廃止後については

グループ外の様々な決済サービスとの連携を積極的に推進することで社会の要請にしっかり答えつつ、より広範なキャッシュレスサービスを提供したい。

このように回答していることから

システムをリニューアルして復活しそうな予感…。



電子決済サービスへの不信感

今回はセブンペイ騒動を振り返っていきましたが

大手企業の大失敗ということもあって

電子決済サービスへの不信感に繋がりそうですよね。

 

LINE Payの方は順調な稼働を見せている中で

電子決済サービス業界はどうなっていくのか?

雲行きが怪しい状況になりそうです…。