キャッシュレス決済サービス「7pay」の不正アクセス問題で、セブン&アイ・ホールディングスは2019年8月1日に会見を開き、9月末をもって同サービスを廃止すると発表した。
同社は7payについて「脆弱性に問題があった」とする一方で、7payの利用に必要なアカウント「7iD」に関しては「セキュリティレベルは十分な水準に達していると内外から評価がある」として自信を見せている。だが、インターネット上ではこうした「アピール」に対して「大丈夫なん?」など懸念を示す声もあがった。
一斉リセットは「安心感という意味で...」
サービス開始から終了決定までわずか1か月だった。セブン&アイHDの後藤克弘・代表取締役副社長は会見で、「すべてのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とする」「当サービス(7pay)に関してお客様は依然ご不安をお持ちである」ことなどを廃止の理由としてあげた。
7payはサービス開始翌日の7月2日に不正アクセス被害が発覚。3日にクレジットカードからのチャージを停止し、4日には現金チャージと新規登録も停止。不正利用の被害状況は31日17時の時点で808人、約3800万円にのぼる。
7payはスマートフォンのセブン-イレブンアプリから、セブン&アイグループのサービスを利用するためのアカウント「7iD」に会員登録したうえで、利用登録する必要があった。一方で不正アクセスの手口は、攻撃者が不正に利用者のID・パスワードのリストを入手してアクセスを試みる「リスト型アカウントハッキング(リスト型攻撃)」である可能性が高いと同社は見ている。そのため、30日にはセキュリティ強化の一環として7iDのパスワードを強制的に一斉リセットし、再設定することを求めた。
だが後藤副社長は会見で「7iD自体はセキュリティレベルとしては相応のレベルをしっかり確保しているという認識です」とセキュリティ面で自信を見せた。一斉リセットは「安心感という意味で」実施したという。
また、不正アクセス問題を受けて安全対策を進める中で、後藤副社長は
「7iDについては、同様のサービスと比較しても、セキュリティレベルとしては十分な水準に達していると内外からの評価があります。そこは引き続き維持します」
と、やはり7iDのセキュリティ面に自信を示した。
会見に出席したセブン&アイ・ネットメディアの田口広人社長は「専門のセキュリティ会社の評価がある」とし、
「7payは認証に脆弱性があったと認識しています。7payのサービスについて、皆様にご心配と被害を与えたことは深く反省しておりますが、7iDそのものについては、現時点で一定程度の評価があります」
と話した。
安全アピールはどこまで伝わった?
つまり、7iDのセキュリティと7payの脆弱性は別問題ということになる。実際、7iDパスワード一斉リセットと7pay廃止について、後藤副社長は「全く別次元で検討し、(前者は)7月30日と(後者は)今日ということで実施しました」と話していた。
ただ、7payが7iDと関連付いているシステムの中で重大な被害を与えた今、こうした「7iDの安全性」のアピールが額面どおりに伝わったとは言い難い。ましてや30日のパスワードリセットが、7pay利用者に少なからぬ混乱を引き起こしたばかりだ。ツイッター上では、
「大丈夫なん?」
「『7iD自体相当のセキュリティレベルを持っている』 本当?」
「7iDのセキュリティレベルが、今までの範囲であれば問題なかったが決済を扱うレベルにはまるで至ってなかったのが今回の原因なんだが」
「7payの『認証そのものに脆弱性があることが確認できた』のに『7iD自体相当のセキュリティレベルを持っている』と考えるのはどうかしている」
といった動揺や懸念の声が広がった。