スタートからわずか3か月で廃止することになったコード決済サービス「7pay」は、なぜ失敗したのか。1つの原因は、セブン&アイ・ホールディングス(HD)も2019年8月1日の会見で言及していた「ガバナンス」の問題にあると言える。
情報セキュリティの専門家は、7payがセブン&アイグループ共通のユーザーアカウント「7iD」に紐付いていることを踏まえ「本来やるべきリスク管理ができていなかった」と話す。さらにその背景として「判断できる船頭がいなかったのではないか」としてガバナンスの欠如を指摘する。
「新たに発生するリスクを検討しないといけなかった」
鳴り物入りで7月1日に始まった7payだが、翌2日に不正アクセス被害が発覚し、セブン&アイHDは対応に追われた。結局8月1日の会見で、9月末をもってサービスを廃止することが発表された。なぜこれほどあっけなく終わってしまったのか。
情報セキュリティなどを専門とする立命館大学情報工学部情報工学科の上原哲太郎教授は8月2日、J-CASTニュースの取材に「最初から私の印象は変わりません。7payという『財布』の開け閉めをするためのIDとパスワードの扱いをするにあたって、判断が甘かった」と話す。
「7payのユーザ認証には『オムニ7』(セブン&アイの通販サイト)の利用にも使う『7iD』が流用されています。しかし一般にIDというものは、何に紐付くかによって管理の仕方を変えないといけません。金庫のカギのように扱わなければいけないIDもあれば、そんなに大切ではないものもある。そうした違いがあることを十分考慮せずに、7iDを使って7payのサービスを組み上げてしまったように見えます」
IDを悪用する手口は、利用できるサービスのタイプによって異なる。上原氏によれば、オムニ7のような通販サービスに紐付いたIDであれば、盗んだID・パスワードで高額な商品を買い、ワンルームアパートなどに一時的に人を住ませて受け取らせ、すぐ転売して換金する。「手間も金もかかるし、受取人住所から実行犯の身元が割れないような工夫もいる。いずれにせよ準備が必要」という。
一方、店舗で直接決済して商品も受け取れる7payの場合、悪用する側にとってはこうした手間が省ける。利用者にとっては標的にされるおそれも増す。上原氏は「オムニ7と7payを同じ7iDに紐付けて管理していた。そこで新たに発生するリスクを検討しないといけなかったのに、できていなかったのではないか」と指摘する。
「たとえば1つのIDにシステムAとシステムBをつないだ場合、どんなリスクが新たに生じるか精査し、IDの認証を厳しくしようとか、逆に利便性重視のため簡易でいいなどの判断をしないといけません。こうした横断的なリスク管理をするにあたり、誰も船頭がいなかったかのような印象を受けます。
自社のシステムが相互に連動するとはどういうことか、そこにどういうリスクがあるか、それに対してどう対策を打つべきか、判断できる人がいなかったのではないでしょうか。その意味でガバナンスがなっていないと思います」
「『モニタリングすれば守れる』というのは無理があるでしょう」
「ガバナンス」の問題については1日の会見で言及があった。セブン&アイHDは弁護士を中心とする検証チームを設置し、「不正アクセス発生に至ったガバナンス上の背景を客観的に検証し、原因究明と再発防止策の策定を行う」と発表。後藤克弘副社長は次のように話した。
「グループとして様々な業態を抱える中で、システムは個別に開発されています。個別最適でセキュリティも含めて検討し、つくり上げていく体制でした。しかし、グループを横串にして、あるべきセキュリティはどうかというリーディング、ガバナンスが欠けていたと思っております」
同社の判断の甘さは、会見で7payに「2要素(2段階)認証」を導入しなかった理由について答えたこの場面にも表れていた。
「我々の検討過程においては、(7payの)利用開始後、その状況をモニタリングし、怪しい取引は決済をストップするといったモニタリング体制の強化によって守れると判断したのが、この(2要素認証の)導入を見送った一番の背景です」
こうした発言に上原氏は「『モニタリングすれば守れる』というのは無理があったのでしょう。パスワードリスト型攻撃はそれこそログのモニタリングで発見できますが、今回の件はその前に利用者からの多数の被害申告で事故に気づいたように見えます」とし、「そもそも備えがなっていない。本当にモニタリングで十分だと思っていたのならば、もし事故が起きた場合はどうすべきかを最初から考えて体制を作るべきです」と指摘する。
また、「少額決済なので被害が出たとしてもそれほど大きくならないだろうと踏んだことで『モニタリングのほうが安いだろう』と甘く考えていた節があるのではないでしょうか。実際、今回の被害額は1億円にも達していない(編注:7月31日時点で判明しているのは808人、約3800万円)ので、全額保障してもシステムのセキュリティ強化より安く済んでいるかもしれない。ただ7payのシステムを捨てることになって結果的に高くついているでしょうが」とも推量した。
今後「『自前主義』を貫くなら...」
問題発覚直後の対応も「まずかった」。7月4日に開いた会見では、セブン・ペイの小林強社長が2段階認証そのものを知らなかったような受け答えをした。上原氏は「あまりに準備不足でグダグダ。今はネットの普及により、仮に小さなトラブルであったとしても大きく拡散して信用失墜につながる時代です。そうした世の中の情勢も見誤っています」と話す。
一方、8月1日の会見は「準備してあったこと以外は答えなかった。準備しすぎて、逆に誠実ではない印象を与えた」という。
「『7payに問題があった。もう終了するから安心してください』というストーリーに落ち着かせようとしていると思います。でも、果たして7payを切ったことで納得されるのか。オムニ7のセキュリティ上の安全性は本当に大丈夫なのかという記者の質問に、納得できる回答がなかった。疑問は残ります」
同社はキャッシュレス決済サービスに「再チャレンジしたい」となおも意欲を見せていた。今後について上原氏は「『自前主義』を貫くなら、自社でシステム設計・デザインの全体を見通した判断ができる人を抱え、その人を中心にしてサービスを組み上げるべきです。それができていないから今回のように対応を含めてグダグダになったし、2段階認証をよく知らないような人が社長になる」と指摘。「7iDを各種サービスの軸にするなら、全体のシステムをデザインする人は、7iDに新たなシステムを組み込むたびにどんなリスクがあるかを判別できる人でないといけません」と話している。
(J-CASTニュース編集部 青木正典)