リテール大手が満を持して参入した7pay問題の概要

　2018年、100億円という破壊的なポイント還元キャンペーンとともに登場した「PayPay」は、その後の日本のキャッシュレスサービスを方向づけたといって良いだろう。東京オリンピックによるインバウンドビジネスの拡大と、中国資本に出遅れるなとばかりに、経済産業省や金融庁も巻き込み、ちょっとした「QRコード決済ブーム」が巻き起こった。

　日本にはすでに「Felica」という非接触ICカード技術のインフラを利用した電子マネーサービス（「Suica」「iD」「楽天Edy」「nanaco」など）が浸透していた。一方、今回は手軽さ、特に決済店舗側のシステム投資が少ないということと、消費増税の負担感軽減を狙う政府によって「ポイント還元インフラ」としての機能が評価され、QRコード決済は小規模な小売店舗のキャッシュレス化の切り札と期待された。

　こうした中、ソフトバンクやLINE、メルカリなどに続いて、国内リテール大手のセブン＆アイ・ホールディングス（以下セブン＆アイHD）傘下のセブン・ペイは、いわば満を持して7payをローンチさせた。自ら「社会インフラ化している」と公言するコンビニチェーンの最大手を擁する同グループとしては、失敗は許されない事業だ。

　しかし、フタを開けてみると、サービス開始からわずか2日で不正利用が発生し、3日目には緊急記者会見を含め、対応に追われることになった。先行するPayPayでも、開始から2カ月ほどでクレジットカードの不正利用が発覚したが、短期間に同じような轍を踏んだことになる。被害金額はPayPayが数億円規模とも言われ、不正の手口や脆弱性も異なるので、単純な比較はできないが、関連省庁の指導のもと、業界団体や協議会とも連携していたとは思えないお粗末さだ。

クレカでチャージができるアカウントが乗っ取られる

　その不正の内容は、7payのアカウントが乗っ取られ、勝手にクレジットカードからのチャージが行われ、実店舗で10万円、20万円という単位で買い物がなされたというものだ。

　なりすましの手法としては、リスト型攻撃（事前に入手しリスト化したID／パスワードを用いた攻撃）か、パスワードリセット手順の不備が疑われている。パスワードリセットの画面で、変更情報の送付アドレスも指定できるようになっており、攻撃者は、ログイン情報が（推測も含めて）分かれば新しいパスワードを自分で設定し直すことが簡単にできる状態だった。

　後は、被害者のカード情報と紐づいたアカウントで好きにチャージして買い物ができる。セブン・ペイ側の発表では、電子タバコなど換金しやすい高額な商品が狙われたという。

　乗っ取りや不正チャージのアクセスは、中国など海外からの通信とのことで、実際にセブン-イレブンの店舗で逮捕された犯人グループの一員は中国籍という報道もある。ただ、買い物は別の人間からメッセージで指示されたとのことで、逮捕されたのはいわゆる「出し子」であり、背後に大きな犯罪組織の存在も疑われる。

発注側の無知か？ 開発ベンダーの手抜きか？

　なぜこのような不正が発生したのか。もちろん、直接の原因はクレジットカードと紐づいたアカウントの管理、認証に「二段階認証」を導入していなかったことと、パスワードリセットの手順で、登録したメールアドレス以外が設定できる状態だったことなどが挙げられる。

　セブン・ペイの説明によれば、二段階認証不採用とパスワード再設定の通知に任意のメールアドレスを指定できるようにしたのは、ユーザーの利便性のためだという。しかし、多くの専門家が指摘するように、業界ガイドラインやID管理の常識からしたら、パスワード再設定時に、再設定ページに誘導する連絡を変更できるようにする設定は、控えめに言ってもありえない。

　セブン・ペイは、ベースとなる「Omni7」のアカウントである7iDの管理が確立されているため、それに従属する7payのアカウントには、二段階認証は不要で、IDと生年月日を確認すれば十分、と考えたようだが、クレジットカード決済ができるアカウントには、当然独立した管理基準を適用すべきだ。

　となると問題は、そもそもこの仕様をOKとした点にある。事前のセキュリティ診断や脆弱性チェックでは発見できなかったというが、二段階認証や変更通知のメールアドレス指定は、仕様書レベルのチェックや監査でひっかかる項目だ。この時点で、開発担当者やベンダーから指摘がなかったとしたら、相当にレベルの低い開発者、SIerである。

　同時に、仕様書でこのチェックができなかった発注側のスキルと認識不足の責任も問われているが、セブン・ペイと開発ベンダーの訴訟問題に発展する可能性もある。

【次ページ】日本式のシステム開発ビジネスに潜む「構造的な問題」とは