7Pay 何が問題だったのか今回の不正はどうやって起こった？

2019年7月1日にサービスを開始した
7Payにどんな問題が起こったのか
7月1日～7月4日
までの動きを順繰り追っていきます。

そして、時間かけずに読めるように超簡単にまとめました！

これじゃあまだまだキャッシュレスとか無理じゃないですかね？
と言われても仕方のない認識の甘さです。

一般的なシステムが浸透する為の過渡期なのでしょうか。

問題の背景と開発関係者全体像

問題の背景と開発関係者全体像

そもそも何ができるサービス？

7月1日から提供が開始された同サービスですが
まず、何ができるサービスなのかを説明していきます

7Payとは
簡単に登録できて
近くのセブン-イレブンで使える
チャージ機能型の支払いアプリサービスです。
公式はこちら

nanacoとも連動して、支払いごとにnanacoポイントが貯まっていきます。
チャージ元はレジ・ATM・クレジット・nanacoとなっています。

アプリの決済画面を提示することで、お店でスキャンしてもらい
決済が成立するというわけです。
【QR決済】【バーコード決済】と言われるタイプのものですね。

ほかの○○Pay同様キャッシュレス社会になっていく状況初めのサービスですね
元々のnanacoユーザーには使いやすそうという事で注目を集めていました。

使えるお店はサービス開始時点でセブン-イレブンのみとのことで
他のグループ会社などではまだ使えないサービスとなります。

今回の騒動何があったのか

まずサービス開始1日目から
アクセス殺到でサーバーレスポンスが悪く
状況ががたがただったとのこと。

加えて、本件が露呈し始めたのが2日目
TwitterなどのSNS上で
「不正にチャージ」という報告が露見される

はむらいと

この時点でオワタ…

当たり前ですが残高をチャージする為には
本人が操作する必要があります(決済サービスの前提として)

つまり、不正なチャージが出来ている時点で
【別の所にいる本人】と認識されている誰かが居るという事になります。

チャージ出来るだけなんじゃないの？

はむらいと

いや、中に入ってチャージ出来てる時点で
レジで使えるってことだから…

つまりこの時点で
不正利用者にログイン情報が漏れてしまっていたという事になります

つまり
IDとなるメールアドレス
そしてパスワードです。

この二つの情報だけでログイン→利用ができる様になっており
さらに、クレジットカードなどが紐づけられていた為
不正チャージ→不正利用→不正チャージ…
といった恐ろしい状況が確立されてしまいました。

被害報告が相次ぎ　本体にやっと状況を把握される

何かよくわからねーけどシステムに穴があるらしいから対応しよう
とようやくなったのが7月3日の事

参考記事Toggeter

【注意喚起】「7pay」でさっそくクレカ不正利用相次ぐ高額チャージ→使用、ようやくセブンも認める

【7/4 14:00更新】全額補償の意向などが記載されたセブン&アイによる最新のリリースが掲出されています：

犯行は7月3日午前8時前後に集中。
といったツイートも見られます。
SNSへの報告上りと同時に

「ハックちょろそうだからいっちょやってみるか」
的な集団が居たという事でしょうか

恐ろしい世の中になったものです。

何故簡単に破られた？

今回の騒動で
何故簡単にパスワードを破られたのか
に関しては、お金を預かる機能にもかかわらず

・パスワードの再設定に必要な情報が生年月日・電話番号・メールアドレスという比較的簡単に集められるものだった点
・二段階認証を入れなかった点

が挙げられます

パスワードの再設定が出来るだけならそんなにヤバくないのでは…？
と思うかもしれませんが
メールアドレスのパスワードを使いまわしていると簡単に破られてしまいますし
何より今回は

別の任意のアドレスに再設定メールを送信できた。

というのだから話が滅茶苦茶になります。

要するに
生年月日・電話番号・メールアドレス
この部分さえわかってしまえば
既にそのアカウントは支配したも同然な状態になってしまったわけです。

さらにさらに
実は生年月日の入力をしないと
2019/1/1で勝手に登録されるといった問題も浮上

必須項目を減らすのはユーザー離脱を防ぐ手としてよく使われる手法ですが
この所為で、ハックする方からすれば生年月日をここに設定すればいい
破られる人が一定数出てしまう
というのは想像に難くないですよね。
なにやってんだ…ホント。

渦中の7Pay社長　「にだんかい…にんしょう…？」

7月4日
騒動を受けて7Pay運営のセブン・ペイ社長以下数名で会見を行いました。

その際、記者さんからの質問で
「何故二段階認証を入れなかったのか？」

との質問に対し

「にだんかい…にんしょう…？」

と言っているシーンがあります

あなた、システム運用会社の社長さんだよね…？
となります

参考動画を探したら
上手く切り取られているツイートが出てきたので参考にお借りします

Overblue＠RYZEN3700X待ち@overblue1640
さんのツイートです。
※ご本人から掲載許可をいただきました！ありがとうございます！

7Pay会見クライマックスシーン#7Pay pic.twitter.com/mqc2beDFbW
— Overblue＠RYZEN3700X欲ぴぃ (@overblue1640) July 4, 2019

はむらいと

見た瞬間は心臓が凍り付きましたね…。

野球に例えると
ハンドサインを単純にしすぎた所為で
全部漏れて
次の投球全部読まれてるけど大丈夫かお前？
レベルです。

■二段階認証
二段階認証というのは
アプリなどを起動時に通常のパスワードとは別に
1時的なパスワードを仕込み、二重に保護するシステムの事です

簡単な例で言うとGmailなどにログインしようとした時に
スマートフォンのアプリに表示されている番号を記入してください。
や
ケータイのSMS(ショートメッセージ)に番号をお送りしました
と出てくることがありますよね。
そのシステムの事です。

こうして、ID・パスワード以外でも
本人の端末に情報を紐づけることで

本人である事を確認しているわけです。

不十分な不正対策とその他

パスワード再設定のフォームでは
現在、別アドレスへの送信はできないようにした
とのことですが

実はCSSをいじって
【見えないようにしただけ】
とすでに解析されており

事態が重いのにどこまでふざけたことやっとるんだ状態で
再炎上となっています。
(再炎上っていうのこれ…？)

さらに利用規約には
規定のアクセス手段であれば
第三者による使用であっても責任を負わない
といった意味合いの文言もあり

え、それお金預かるシステムとしてまずどうなの？

という超々不安の残る内容となっています。

今後支払い方法や騒動の終息のさせ方が気になりますが
日本のキャッシュレス化への道程で
波紋を生んだことは確かですね。