セブンペイ  ~ ひと夏の甘酸っぱい思ひ出 ~ | reverse-eg-mal-memoのブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

reverse-eg-mal-memoのブログ

サイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。
medium(英語):https://sachiel-archangel.medium.com/

セブンペイ  ~ ひと夏の甘酸っぱい思ひ出 ~

・・・っていう、ひと夏でサービスが終わってしまうサービスとか、高校生の恋愛モノラノベもびっくりの展開だよ!

 

このブログでも勝手にイロイロと考察したり疑問を呈してきたセブンペイの不正アクセス事件ですが。

不正アクセスにより、他人のIDで支払いをするという金銭被害を出したセブンペイが終了となりました。

サービス開始から不正アクセスの被害、その後のサービス終了など、不名誉な理由での世界記録を作った感があります(ギネスに申請したら載るんだろうか・・・)

 

 

会見の動画は直接は見ていないのですが、この記事にわりと会見の内容が書いてありました。

 

7pay終了へ 記者会見の一問一答まとめ

https://www.itmedia.co.jp/news/articles/1908/01/news108.html

 

記事をみていると、やっぱりどうも認識にもんだいがあるんじゃないかなぁ・・・というのが率直な感想でした。

と、いうわけで、「揚げ足取り」といわれちゃいそうな気はするものの、折角のネタ投下なので、事件の振り返りを兼ねて順不同でツッコミを入れていきたいと思います!

 

 

 

7iDの安全性は?

 

「7iDもあらためて検証した。何のサービスを行うかでセキュリティレベルは変わる。他の企業、ガイドラインや国際的な規格などと比較し、サービスごとに必要なセキュリティレベルを再検証した。現状の7iDは安全だという結論を出した。」(セブン&アイ・ホールディングス セキュリティ対策プロジェクト リーダー 清水氏)

 

現実見ろ。

 

7payの不正利用についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2019/07/04/065925

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
https://www.businessinsider.jp/post-194660

7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も
https://www.itmedia.co.jp/news/articles/1907/04/news079.html

セブン&アイ、「7iD」のパスワードを一斉リセット--「7pay」不正アクセスを受け
https://japan.cnet.com/article/35140628/

セブンネットショッピングでカード情報漏えいの可能性~最大15万件
https://internet.watch.impress.co.jp/docs/news/621296.html

 

今回の事件で、「原因ではないか?」と検証していたら、事件の原因とは関係ない別の不具合が見つかっているわけですが。

もちろん、アプリ単体の問題で、7iDに直接関係ないものも含まれている、と反論されそうですが。

しかし、こういった認証基盤を使った上での連携の場合、当然不正を防ぐための実装方法や基準が決まっているはずです。

そういった仕組みが整備されていない、利用するアプリなどが守っていない段階で、運用なども含めて7iDの認証基盤そのものに問題を抱えていると思うのは私だけでしょうかね?

 

また、パスワードの再設定の問題や、2013年のカード情報漏えい事件は、やっぱり7iDに問題があるように思います。

あれで問題はおしまいで、既にセキュリティは硬くなった、と言われても、ちょっと信用しかねます。

 

ちなみに、こんな発言が。

 

「7iDは、他のサービスと比べても十分なセキュリティレベルの水準に達していると内外で評価されている。」(セブン&アイ・ホールディングス 副社長 後藤氏)
 

ホントかなぁ?w。評価した人誰だろう?具体的に聞いてみたいんですが?

有名無名は別にして、ちゃんと能力がある人が評価したのかどうか・・・。

 

Q「7iDのセキュリティは問題ないということだが、「オムニ7」まで影響が及ぶのでは」
「確かに現時点でオムニ7と接続している部分はあるが、問題は起きていないと考えている。」(セブン&アイネット・メディア 社長 田口氏)

 

問題が起きてないかどうか確認できていないと思われるのだが、根拠なく「問題は起きていないと考えている」と言っているように見えるのですが。

こんな小並感言ってて役員が務まるなら、私でもやれるな。(このブログもただの小並感だし。)

確たる根拠もなく、「だろう」、「はずだ」、「(自分の意見は)こうだ」で進めるからこういうことになったんじゃないかと思うんですが、その辺の反省は無いようで。

 

 

 

2要素認証などの検討が十分じゃなかった理由
 

「われわれとしては、利用状況をモニタリングする体制をしっかりできていれば大丈夫という判断だった。」(セブン・ペイ 取締役 奥田氏)

「「リスト型アカウントハッキングが原因」という結論に至った理由は、当該時間帯に、IDの入力がない「IDエラー」がたくさん起きていたこと。その後パスワードエラーが起き、さらに不正チャージがあったという報告がある。1件1件ログを確かめている。」(セブン&アイネット・メディア 社長 田口氏)

リリース翌日の早朝から相当回数、何千万回という回数のIDアタックがあったということ。」(セブン&アイネット・メディア 社長 田口氏)

 

コレって、言ってること矛盾してませんか?

 

利用状況をモニタリングする体制ができていたのであれば、「IDの入力がない「IDエラー」がたくさん起きていたこと。その後パスワードエラーが起き」や、「何千万回という回数のIDアタックがあった」の時点でアラートがあがると思うんですが

こういったリスト型攻撃やブルートフォース攻撃の検知ができないなら、少なくともセキュリティの観点では、利用状況なんてモニタリングできているとは言いがたいんですが。

では、どういった仕組み、体制でやっていたんでしょうね?

これから実装する予定だったとか言わないよね?

そういうのは、サービスインする前にできていなきゃダメってあれほど(ry

どうも、言ってることと実際にやっていることがあっておらず、口をつぐむことで誤魔化してるようにしかみえないのは私だけでしょうか?

 

 

「開発当時、2要素2段階認証を入れなかったのは、利用状況モニタリングをすることで守れるという仮説があったから。」(セブン・ペイ 取締役 奥田氏)
「2段階2要素の検討はあった。お客さまの操作感や、モニタリングで守れるんじゃないかいう考えなどもあり、その要素が落ちていったのが正直な経緯。これは当初、単独アプリを想定していたときのもの。」(セブン・ペイ 取締役 奥田氏)

 

仮説ってなんだwww

仮にその仮説があったとして、じゃあその仮説に基づいたセキュリティシステムは、当然実装したんですよね・・・?

先に挙げたように、モニタリングができてなかったように見受けられますが。

 

 

 

システムの安全性検証

 

Q「システムの安全性検証について、当初は問題ないとしていたが、やはり問題があったとしている。なぜ結果が変わったのか」

「システムの診断テストで脆弱性はなかったというのは私が回答した。詳細は話せないが、テストの範囲と深さが適切でなく、結果が変わったと考えている。」(セブン&アイ・ホールディングス セキュリティ対策プロジェクト リーダー 清水氏)

 

これって、言い訳になってるんですかね・・・。

そもそも、外部ID連携の件など、ちゃんと診断していれば見つかると思うんですが。

「テストの範囲と深さが適切ではなく、結果が変わった」というのなら、7iDなどの今は安全だと言い張っているシステムも、やっぱり評価が変わってしまいそうなんですが

 

彼らが「セキュリティはしっかりしている」といってもイマイチ信用できないのは、こういった基準や指針があやふやで、信頼性が低いと思われる点が散見されるからではないでしょうか。

今回の事件の原因でも、調査に時間がかかっている割に、あまり具体的な調査結果が出ていません。

システムの安全性の検証がいい加減で、どんな記録を残しておくか、といったことも不十分だったため、調査に必要なログが不足していて正確なことが分からないのでは・・・とまで疑ってしまいます。

その疑念を強めるのが次の発言です。

 

 

一定程度のサイト内の行動ログは残っていたので、現時点の被害者808人についての調査は終わっている。なりすまして不正に見られた可能性については、外部のセキュリティ会社に協力をいただいて調査しているが、いわゆるなりすましでゆっくり見られたというログは見つかっていない。」(セブン&アイネット・メディア 社長 田口氏)

「数字のロジックについて、7月4日の最初の謝罪会見のときには具体的な影響範囲が分からなかった。一定の条件を当てはめた試算で、約900人、約5500万円という発表になった。その後、相談ダイヤルへの問い合わせから、被害の可能性がある顧客数を算出した。その後、顧客へ電話をし、実際に本人の取引か、不正かという見極めをした結果、今回の数字になった。ただ、これからクレジットカードの利用明細書が届いたり、銀行口座から引き落としが行われるタイミングでもあるので、これから気付く人もいるだろう。」(セブン・ペイ 取締役 奥田氏)

 

一定程度のログは残っていたというものの、「これから気づく人もいる」などと言っておりその申告待ちのように見えます

つまり、取っていたログでは、結局自身では被害状況を把握することができなかったと言っているようにみえるのは私だけでしょうか?

また、被害者を自身で特定できるログが残っていなかった時点で、「いわゆるなりすましでゆっくり見られたというログは見つかっていない。」と言われても、それは十分なログを取ってないから分からないだけ、ということじゃないでしょうか。

 

 

 

会社の体質

 

他の記事でも度々書きましたが、会社の体質というのはセキュリティから切っても切れません。

コスト・労力が必要である以上、それを適切に配分するのは経営の責任で、「サイバーセキュリティ経営」などといったガイドラインを経産省が出しているのもそのためでしょう。

今回の会見でも、会社の体質が垣間見えます。

 

 

セブン&アイHDではデジタルと金融について後藤が担当している。8月1日朝開催の取締役会で決定し、誰が質問に応えるのが適切かを判断、奥田を出席させた。」(セブン&アイ・ホールディングス 副社長 後藤氏)

 

一言。じゃあ、なぜ7月4日の会見の時には参加していなかったの?

もしかして、セブンペイ不正アクセス事件、グループ内では当初すっごい過小評価されてたんじゃない?

 

 

「保険の加入はしていない。検討の矢先に今般の事象に至った。」(セブン・ペイ 取締役 奥田氏)

 

サービス開始してから検討するものだっけ?こういうの。

「事故なんておきっこない」って思ってるなら、検討しても結局「コストになる」とか言って入らない気もしますが。

 

 

Q「経営責任についてどう考えているか」
「当然認識している。原因追求と再発防止に全力を投入するのが責任の取り方。中長期的にはグループのセキュリティレベルをさらに強化する。」(セブン&アイ・ホールディングス 副社長 後藤氏)

Q「経営責任について。経営層の減俸処分などはあるか」
「外部の調査委員会がガバナンス、意思決定についてどこに問題があったのかをまとめ、取締役会で報告する。その上で会社の規定にのっとり、厳正厳粛に処分されることもあるだろう。辞任については今は考えていない。」(セブン&アイ・ホールディングス 副社長 後藤氏)

 

要は誰も責任取らないってことでいいっすか?

なんでもかんでも辞めさせればいいとは思いませんが。

頭が変わらないなら、今後もこの会社のセキュリティの考え方は大して変わらず、セキュリティのレベルもこのままなのかな、と予想。

 

 

Q「不正アクセスについて、五月雨に対応したのはなぜか」

お客さま保護を第一優先に考えたときに、まずは被害をとめようと、チャージ停止、新規登録停止を決めた。次に原因を見極める作業をしていたところ、外部ログインに脆弱性があったので、放置するわけにはいかず、(外部連携を)切った。」(セブン&アイ・ホールディングス 副社長 後藤氏)

 

個人情報の漏えいの可能性に関しては、お客様保護の対象じゃなかったみたいです。

この会見の段階でも、その観点での対応に触れていない以上、個人情報の保護に関しては相変わらずまったく考えていないってことでいいですかね。

この対応、客のためよりも、会社の都合を優先しているように思ってしまうのは私だけでしょうか。

 

 

「監督官庁とのやりとりの説明は控えたい。セブン・ペイの会社は存続させるつもりである。」(セブン&アイ・ホールディングス 副社長 後藤氏)

「7payでは現状の事象の対応と、他のスマホ決済サービスとのゲートウェイ機能を担っている。その機能は引き続き、セブン・ペイの事業として営んでいく」(セブン&アイ・ホールディングス 副社長 後藤氏)

 

普通に聞きたい。何のためにこの会社残すの?

後始末で数ヶ月程度ならわかるんだけれども。大企業お約束の肩書き・ポストのためカナー?

 

 

Q「7iDのセキュリティレベルについての評価を具体的に
「現時点の調査チームの評価。ホールディングス全体としても評価をしている。」
 

回答が一切具体的でない件。

 

 

Q「内外の調査で問題がなかった、というのを信頼するには、エビデンスが必要。どんなセキュリティ企業が協力したか、などレポートを出す予定はあるのか
「外部のセキュリティの専門会社に協力してもらっている。ただ、守秘義務があるので個別の企業名は開示できない。」(セブン&アイ・ホールディングス セキュリティ対策プロジェクト リーダー 清水氏)
 

この回答は、フォレンジック屋さんとしてはおかしな話だなぁと。

私が今まで調査したうち、調査結果を公表するのに、調査した会社や人間の名前を出すことが守秘義務云々といった話はしたことないぞ?

調査した側が調査依頼した会社の情報を勝手に公開するのはダメだが、調査結果を公表するかどうかはあくまで調査依頼をした会社の判断に委ねられる話であって、守秘義務は関係ないはず。

調査会社が自社の名前は出さないでくれ、という契約もありえなくはないけど、普通はしません。

調査結果の公表に、自社の名前も出せないようないい加減な調査会社を使ったのかしら?

まあ、自分たちの落ち度が明白になると、責任取らされるからそれが嫌、というのが本音でしょう。

 

 

 

この事件の教訓って

 

教訓めいたことをえらそうに言える人ではありませんが。

ただ、事件が起こるには、それなりに理由があったと思わせられる事件でした。

会社、組織のものの考え方や体制に問題があり、それが積もりに積もって問題が表面化した例として捉えるために、イロイロとツッコミをいれていきました。

 

今回の事件は、単にコーディングでのミスで穴ができた、という単純なものじゃありません。

 

これは、今回の事件を見た多くの人の感想じゃないでしょうか。

どんな点に問題があったかを整理して、これを他山の石にして自分たちが安全なIT環境を構築してけるようにしたいものです。