7pay(セブンペイ)問題


■7pay(セブンペイ)問題

今日は 7 月 7 日。

言わずと知れた、七夕だ。

7 がならなぶこの日、

7 にちなんで、7pay 問題について

取り上げてみようと思う。



・7pay 問題とは?

7pay 自体は、セブンイレブンで利用できる

スマホ決済サービス。

クレジットカードを登録し、

そこからチャージしておくことで、

セブンイレブンで簡単決済が可能というもの。

登録でおにぎり無料とか、

決済する度に nanaco ポイントが付与されるとか、

色々特典もついてきている。

で、今回の問題は、この 7pay に登録した人が、

登録したクレジットカードを不正に利用された、

というもの。

これ自体は、現時点で詳細原因不明。

ただ、これをきっかけに、

・二段階認証を用いていなかった
・パスワードリセットが会員 ID、生年月日等のみで可能
・リセット済みパスワードを別メールに転送可能
・iOS からの新規登録時には生年月日なしで登録可能

等々、様々な問題点が指摘されている。

このあたりの詳しい問題に関しては、

piyokango さんが

7payの不正利用についてまとめてみた

に詳しくまとめておられるので、

こちらを見ていただくのがよいだろう。



・私の考える根本的問題点とは?

そもそも仕様上の脆弱な仕組みになっていた、

という問題に関しては、上述のブログの他、

いろんな所で指摘されているので、

改めて言うまでもないだろう。

加えて、今回の問題をさらに盛り上げているのは、

記者会見で社長が二段階認証を知らなかったとか、

そういった、基本のき、すらわかっていないのに

決済サービスに手を出してしまうなんて、というような

まぁ誰しもが叩きやすい状況になっているから、

というのもあると思う。

もちろん、これらの批判は至極全うだと思うし、

答えられないっていうのも企業としてどうかとは思う。

一方で、実質ベンチャー企業でもなく、

IT 畑で歩んできたわけでもなかろう社長が、

そんなこと知ってるか?

とも思うし、知ってなくて当然だと思う。

知っておけ、というほうが無理だろう。

では、何が問題なのか。

社長が答えられないのは致し方ないなら、

今回の問題は致し方ないのか?

もちろん、そうではない。

社長が答えられない場合、普通は

「技術的内容に答えられる部下」

に答えさせるものである。

にもかかわらず、

誰も適切に答えられなかった、

というのが深刻な問題なのだと思う。

つまり、

社内にセキュリティに関する専門家がいなかった、

あるいは

いるが認識されていなかった

というのが問題だと思うのだ。

これは即ち、経営者の認識不足以外の何物でもない。

これだけセキュリティ問題が叫ばれている昨今、

決済サービスという狙われやすいサービスを

立ち上げるにもかかわらず、

自社に専門家も置いていないなど、

経営リスクを甘く見すぎているとしか

正直思えない。

また、すでに事件が起こっているにもかかわらず、

利便性とのトレードオフ

などと述べている時点で、

認識はまだまだだな、というのが正直な感想。

しばらくはまだまだダメダメ状態が続くだろう。



しかも、今回の事件を受けて、

セキュリティ対策強化を目的とした新組織を

発足したらしいが、これまた大丈夫か?と思う。

「7pay(セブンペイ)」に対する不正アクセスの件(第 3 報)
セキュリティ対策の強化を目的とした新組織発足のお知らせ

PL 二人いる割にどっちが何担当かわからんし、

セキュリティアドバイザーは外部のみだし、

内部でアドバイスを実現できると思えないし、

そもそも組織じゃなくて Pj. だし、

その割にいつまでにどこまでやるって書いてないし。

認識なんてそう急激に上がるものではないが、

事故が起こってもこの程度、というのは、

まぁ酷いと言わざるをえないだろうなぁ。

そして酷いといえば、経産省。

7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン&アイは…

少なくとも、あんたらが管轄する資格なんだから、

情報処理安全確保支援士を〇名は置け!

とか指導しろよ。

正直、いたから防げたかというと

別問題だとは思うが、

ただでさえ知名度低いんだから、

こういう所できちっと有益性訴えないと、

どんどん登録者数減っていくよ?

やっぱり本気で推進しようとは思えない。

酷い酷いと愚痴ばっかりいってても

しょうがないと思って記事書き始めたけど、

どんどん酷さに腹立ってきた。

こういうの、どうすれば改善していくんだろうか。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ パーマリンク