セブンイレブンが鳴り物入りで公開した「セブンペイ」があっさり不正利用され、ある意味伝説になりそうな記者会見が開かれて1週間あまりが過ぎました。
まあ、一部の専門家を除けば、そのうち忘れられていくとは思いますが、今回の事件を「他山の石」とすべく、自分なりに問題点の整理と考察をしてメモしておこうかな、と思った次第です。
今回の事件で、一番悪いのはもちろん犯人です。
人の金を盗るほうが悪い。それは当たり前で、議論の余地はありません。
それでもセブンペイが批判されるのは、顧客を守るためのシステム作りや対応が不十分だったことに他ならないと思います。
銀行で、厳重な金庫を造って管理しているにも関わらず、銃で武装した強盗に襲われて人命のためやむなくお金を出した、といった場合にそれほど大きな批判にはならないと思います。
しかし、銀行の裏道に入ると壁に穴があって、外から手を伸ばして金を掴んで持ち出せる状況になってたら、いくら盗んだ犯人が悪いとはいえ、銀行も批判されるでしょう。
今回のケースで批判されるのは、後者のようなケースだったからと、多くの人が思ったからではないでしょうか。
事件のあらまし
事件のあらましは、例によってpiyokango様のPiyologにお任せします。流石piyolog。
7payの不正利用についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2019/07/04/065925
7payを使った不正購入事案についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2019/07/05/055548
ここに、個人的な勝手な感想を追加しちゃいます。
特にポイントとなるのが、サービス開始から事件発生までの時間の速さです。
サービス開始から、翌日には早くも最初の被害が報告されています。
サイバーセキュリティを研究していたりCTFに参加している人にはわかると思いますが、これは相当の速さです。
また、セキュリティの穴を見つけるのと悪用できるアカウントを見つけ出すのは、また話は別、ということも考えると、攻撃側もある程度の下準備はしていたのではないか、といったことも十分に考えられそうです。
不正アクセスは海外(主に中国)からあったと言われてはいますが、その中国で不正利用できるアカウント情報を把握し、それを日本にいるメンバーに伝え、そのメンバーがアプリに不正利用できるアカウント情報を入力してお店に行く(セブン・ペイへ身に覚えのない取引があったとの問い合わせ(第一報))まで、わずか1日です。
これは、初歩的なSQLインジェクションで生のID、パスワード、電話番号などが抜けちゃう相当杜撰なシステムか、待ち伏せでもない限り無理なんじゃないでしょうか。
記事などから拾った情報からは、不正アクセスには以下の方法があると見られます(漏れてたりしたら追記します)。
- 既知のID(メールアドレス)、パスワードによる不正侵入
- 既知のID(メールアドレス)、電話番号、生年月日(ただし、生年月日が未入力の場合2019年1月1日)によるパスワードリセット