不正続出のセブンペイ小林強社長、二段階認証を知らず強気で反論

2019/07/09：
●900人乗っ取り5500万円被害でも「脆弱性はない」とい超強気
●小林強社長、他のアプリと比べる意味がわからないと強気で反論
●セブンペイ小林強社長、二段階認証をそもそも知らなかった？
2019/07/25：
●ヤバすぎてサービス全部解約した…今度はソースコード漏洩疑惑


●900人乗っ取り5500万円被害でも「脆弱性はない」とい超強気

2019/07/09：スマホ決済ではソフトバンク・ヤフー系のPayPayで不正が続出。なので、いくらでも学ぶ機会があったのですけど、これまた日本を代表する大企業であるセブンイレブン系のセブンペイがやらかして、不正が続出してしまいました。2019年7月4日の午前6時時点の試算でおよそ900人のIDが乗っ取られ、被害額は約5500万円に上ります。

　これだけ大きな被害hが出たにも関わらず、不正利用に関する記者会見でセブン・ペイの小林強社長は、お名前通りに超強気。しかも、セブン・ペイのための会社の社長なのにも関わらず、ITやセキュリティをまったく理解していないことまで披露。なんで、セブングループ位はこんな人を社長にしたのでしょうね。よほど人材がいないのかもしれません。

　東洋経済オンラインでは、小林社長は記者会見で、7payのシステムに「脆弱性は見つからなかった」としていたものの、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていないというもっともな指摘。大きく以下の3点を問題としていました。

(1)IDを乗っ取る簡易的手段を、セブン・ペイのシステム自身が“提供”している。
　正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができる。

(2)重要情報の扱いが軽すぎる。
　クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証に対応していない。さらにパスワード変更時に生年月日を必要としているにもかかわらず、生年月日を省略して登録可能としている。そのうえ、省略時の規定値(変更しなかったときに使われる値)まで公開している。

(3)自身のシステムに対する過信がある。
　発表によると7月2日にはユーザーから「身に覚えのない取引があったようだ」と報告があったうえ、翌日朝になると不正利用報告が相次いでいるにもかかわらず、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するだけにとどめた。しかし、小林社長は「対応が遅くなったという認識はない」と語った。
　さらに、セブン&アイ・ホールディングス執行役員の清水健氏が、繰り返し「脆弱性に問題はなかった」とシステム側の不備を認めない発言を繰り返した。
( 東洋経済オンライン　セブンペイの不正アクセスはなぜ起きたのか ｢設計､現状認識､後日対応｣すべてが甘かった　本田 雅一　2019/07/05 13:40より)


●小林強社長、他のアプリと比べる意味がわからないと強気で反論

　これより先に読んだセブンペイ、抱えていた「不発弾」の代償：日経ビジネス電子版によると、ベースとなったセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」にまず問題があったようです。

　そして、「7iD」は2015年11月に開始したセブン＆アイグループの総合通販サイト「オムニ7」用の「オムニ7会員」が名称変更したものでした。騒動を起こして辞めた鈴木敏文・康弘親子の嫌な置き土産みたいですね。
(関連：鈴木敏文・鈴木康弘親子のセブンイレブンの失敗事業オムニセブン)

　セブン-イレブンアプリで使われていた7iDは、前述のようなひどいセキュリティでした。ただ、ここで今まで不正が発生していなかったのは、悪意ある利用者が攻撃する価値はなかったため。乗っ取ったとしても割引クーポン程度しか入手でなかったので、悪さをしようとする人もいなかったのです。セブンの対策が良かったわけではなく、たまたまでした。

　ところが、セブンペイが始まると、途端に乗っ取りでボロ儲けできるサービスに大変身。元記事が「不発弾」と表現していたのはこういった理由です。ゆるゆるのセキュリティなのに魅力がないため問題化していなかったところに、詐欺したくなる機能を加えて爆発した形でした。

　これに関連して、セキュリティ的に2段階認証がなかったことについて、セブン・ペイの小林社長は会見で「セブンペイの基本設計は、7iD、セブン-イレブンアプリがあり、その機能としてペイがある。2段階認証を採用するアプリと同じ土俵で比べられるのか分からない」と話したとのこと。

　しかし、「じゃあそうだよね」と納得できる話では当然全くありません。むしろ詐欺されかねない価値を持った同等のサービスと比較しないと意味がないでしょう。実際に不正利用されまくっているサービスで、こうした反論が出てくるというのは頭がおかしすぎ。前述の通り、ソフトバンク・ヤフー系のPayPayという悪い見本もいたわけですしね。何考えてるのか？という話です。


●セブンペイ小林強社長、二段階認証をそもそも知らなかった？

　日経ビジネス電子版のこの記事を読んだ時点では、この小林強社長は二段階認証のことを理解しているのだと思っていました。しかし、そもそも二段階認証を知らなかったみたいですね。他を読んでいると、他社が使っていたセキュリティ対策のSMS（ショートメッセージサービス）認証を知らず、ツイッターと誤解した発言もあったという話もありました。

＜「ユーザー登録時に二段階認証をされているサービスがほとんどだと思うんですけど、7payでそれをやらなかった理由は？」という質問に対し、セブンペイの小林強社長は「二段階認証……？」と言葉に詰まっています＞

＜小林強社長：私どもの7payの基本設計というのは、まずそのセブンIDというのがありまして、それを使った「セブンイレブンアプリ」の一機能として7payというのが7月1日から入っておりますので、基本的にセブンID、セブンイレブンアプリと7payというのが連携した形で登録という形になっております。
　そういう意味で二段階云々っていうのと同じ土俵で比べられるのかというのは……すみません私自身はその辺は認識しておりません＞
(7pay(セブンペイ)緊急会見、「そもそも二段階認証を知らない」ヤバさが露見してしまう | BUZZAP！（バザップ！）より)

　こちらを読むと強気で反論したというのではなく、内容も重要性も全く理解していないために適当に言っただけという感じ。ただ、やっぱり「じゃあ仕方ないよね」という話にはなりませんし、不正続出にも関わらず関係者らが「脆弱性はなかった」と言い放つ認識のヤバさの方は変わらず。

　セブンイレブンは現在日本を代表する産業となっているコンビニ業界の中でも圧倒的なトップということで、勝ち組の中の勝ち組で儲かりまくっている企業です。勝ちすぎて傲慢になっているのかもしれませんね。


●ヤバすぎてサービス全部解約した…今度はソースコード漏洩疑惑

2019/07/25：今度は、7payにも関連する、ECアプリ｢オムニ7｣の設計図にあたるソースコードが漏洩していた可能性が出てきました。開発者にはおなじみの開発支援サービスプラットフォームGitHubで、7月10日ごろまで公開状態となっていたそうです。

　これは削除依頼によって削除されたようですが、依頼者は｢Seven & i Net Media Co.,Ltd.｣という名義。セブン＆アイＨＬＤＧＳ.グループの株式会社セブン＆アイ・ネットメディアですね。タイミング的にも今回の問題が起きてから慌てて削除…という感じです。

　国際大学GLOCOM客員研究員の楠正憲さんもソースコードを吟味して、セブンと関係が深い可能性を指摘。また、ソースコードでは、現在問題とされている脆弱性がそのまま見えているともしていました。悪用のおそれがありそうです。さらにそもそも公開していたことについて、管理がずさんすぎるという指摘もありました。
(【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。｢GitHub｣上で誰でも入手可能だったか | BUSINESS INSIDER JAPAN　Jul. 24, 2019, 06:10 AMより)

　ネットの反応も「これくらい別に問題なくね？」ではなく、普通に「セブンやばい…」というもの。中にはセブン関係のサービスをすべて解約したという人もいました。セブン系は全体にセキュリティに対して意識が低すぎるのかもしれませんね。


【本文中でリンクした投稿】
　　■鈴木敏文・鈴木康弘親子のセブンイレブンの失敗事業オムニセブン

【関連投稿】
　　■セブンイレブンが強いのは食品を多く廃棄できるから もったいないと思うと負ける
　　■コンビニが儲かるのはオーナーから搾取してるから…実際は儲からない
　　■セブンイレブンはブラック企業？長時間労働プラス体育会系暴力や自腹
　　■就活モンスターペアレントの逆パターンをやってたセブンイレブン 後藤光男顧問が井阪隆一社長退任で父親と接触
　　■セブンプレミアムじゃなくてセブンケチミアムだ！黒糖ロールのマーガリン少なすぎ
　　■企業・会社・組織についての投稿まとめ