セブンペイ問題の原因?オムニ7・二段階認証・監視機能など

セブン&アイ・ホールディングスによると、スマホ決済サービス「7pay」を運営するセブン・ペイ(東京都千代田区)は大丈夫なのでしょうか?

約900のアカウントが不正アクセスの被害を受け、その結果、被害額が約5500万円に上る可能性があるという。

今指摘されている主な問題は、二段階認証がなかったことや開発の時間がなく開発陣に焦りがあったのでは、ということだ。

しかし、今回の7pay問題の本質は、セブン&アイHD本体直轄のインターネット通販(EC)サイト「オムニ7」にある、という見方が出てきた。

 

■問題の本質はどこ?

今回の「7pay事件」が起きた背景には、二段階認証をしていなかったというミスは小さくありません。

ただし、二段階認証は二つ目のカギであり、根本的な仕様に問題があったり、防御できない新着の脆弱性があったとしても被害が起きないようにするための保険にすぎません。

パソコンからもログインできることが問題では無いことは、他社も行っていて堅牢にできているところがある。

だからそこを問題にするのが違います。

そして24時間、365日で監視しているのは確かだと考えられます。

一般的にセキュリティ専門業者に外注していると思われます。

一般的に必要な監視機能・レポート機能が欠落していると考え難いです。

実際、システムの仕様に問題があったとしても、被害発生後の現状把握が迅速だったのを考えると、検知・被害分析についてはきちんと行っていると思われます。

それ以上に根本的な問題は、2015年に立ち上げたセブン&アイHDの総合通販サイト「オムニ7」です。

つまり、オムニ7のシステムをベースに「7pay」という決済機能を建て増ししたことが主因ともいわれています。

オムニ7の仕様に問題があり、周到に準備していたとも考えられます。

オムニ7に限らず、ネットでつながるサービスのほぼすべてはサイバー犯罪者にアクセスされていて、常時不正ログインできないかどうかを、脆弱性が残っていないかを探られています。

オムニ7の問題は把握されていたのでしょう。しかし、盗るものがないから泳がせておいたのだと思われます。

オムニ7から建て増ししてアプリを作ったこと自体も、それ自体は結果論であって問題ではありません。

建て増しだろうがなんだろうが、サービス展開中の機能も含めて攻撃者の攻撃シナリオを改めて想定し直さなければなりません。

設計済のところも再設計し、設計レビューしていれば、オムニ7ごと問題を消せたかもしれなかったのです。

出来合いの機能を使う場合に、その部分も改めて見直ししていたのか、正しい判断はできたのでしょうか。

さらに、オムニ7と7payを分離させるのは、ビジネスの観点からしたらあり得ないという意見もあります。

ユーザー情報を獲得するかが競争力の差になる時代なのに、わざわざ2つを分けて、個々のサービス内の行動しか把握できないなんて選択肢は存在しないという立場です。

またパソコンからログインできることそれ単体では何の問題もありません。

オムニ7がただ脆弱だっただけです。

問題だというなら、ネットバンク、PayPalなどのオンライン決済、OpenID Connect(GoogleやFacebookのアカウントを使ってログイン)も一律で危険だということになってしまいます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です