セブン&アイ・ホールディングス(HD)のモバイル決済サービス「7pay」は、サービス開始から1か月で撤退を発表という異例の展開になりました。サービス終了の理由としては、抜本的な対応を完了するには相応の時間がかかり、またお客様は依然不安を持たれていることから、再開を断念したとのこと。認証そのものに脆弱性があることが確認でき、これ以上、このサービスを続けることは経営判断上得策ではない、利用者保護の観点でも廃止という決断に至ったと会見で回答されていました。
7payは7月1日にサービスを開始しその直後から不正利用の被害が発生、わずか4日で新規登録を停止していました。情報の登録や変更の際に2要素認証を導入していなかったなど、安全対策の意識の甘さが指摘されたのは皆さんご存知のとおりです。その後7月5日に外部の専門家を交えたセキュリティ対策プロジェクトを設置し、今後の対策を決め、サービス再開に向け取り組まれていました。
8月1日に行われた会見では、7payはもともと決済アプリとして開発を開始したものの、後からセブン―イレブンアプリが順調に利用者数を伸ばしたことで方針が変更となり、セブンーイレブンアプリの決済機能として付加される形に仕様が変更されたということも明らかになりました。
また、2要素認証を取り入れなかった理由については、検討の過程において、認証については、利用のあと、しっかりその状況をモニタリングして怪しい取引があれば一時、利用の、決済のストップを入れればよいという考え方をした、モニタリング体制の強化というところで守れるというふうに判断をした、とも回答されていました。
目次
今回の問題点
今回は2要素認証等の仕組みを取り入れていなかったことが一番の問題とされていますが、それ以前に、リセット時にメールアドレスを変更できるようになっていた仕様も大きな問題で、仕様レベルでセキュリティを考慮された形跡が、外部から見る限り見受けられないことも問題です。技術的な問題というよりは、ガバナンスの問題であり、(もちろん社内で配慮されている方もいるとは思いますが)セキュリティに対するポリシーが会社全体に浸透しておらず、このサービス提供にあたってのセキュリティ面のリスク評価がされていない、ということが問題と考えます。
また、モニタリングの強化で守れると判断したという点についても、ではモニタリングして、その結果怪しい取引がどのくらい、状況によっては大量に発生した場合、それをどうやって対応しようと考えたのか、顧客数からしてどのように試算等検討してその結論に至ったのか、など会見での1社あたりの質問が限られていたこともあり、疑問が残りました。
システム開発のシフトレフト
今回の件を振り返る中で、システム開発やテストではおなじみの「シフトレフト(Shift Left)」という考え方が思い浮かびました。セキュリティの考慮を要件定義や設計段階から前倒しすることで、後工程でのセキュリティ対応工数などを削減し、結果として開発サイクルの高速化をめざす、といったアプロ―チです。シフトレフトにより、セキュリティがより早い段階で開発プロセスに組み込まれるため、本番環境で脅威に晒されることを未然に防ぐ可能性を高めることができます。「運用でカバー」という開発現場でよく目や耳にする対応とは逆の方向性とも言えるでしょう。これにより結果的に、企業はより迅速かつ効率的に、サービスを展開することが可能になる、というものです。複数の企業や組織が絡むプロジェクトでは、現実的には難しい面もありますが、こういった考え方を取り入れていくことも有効ではないかと考えられます。
安全に利用するためには
このような事案が起きることで、お客様が不安を感じるのは最もなことですが、今後もモバイル決済サービスへの参入や利用は(今回の件で鈍化するかもしれませんが)伸びていくと考えられます。今回の件を教訓に、オンラインで決済サービスを提供する企業や、また当社のようなセキュリティベンダーは、絶えず変化する脅威にしっかりと対応するために対策を強化し続けなくてはなりません。それと平行して、ユーザー自身も安全に利用するための配慮と対策が必要です。便利なモバイル決済サービスを安全に利用するためのポイントをお伝えします。
・日常的に使用するサービスを選ぶ
乱立するペイメントサービス。ポイントが上乗せされるようなキャンペーンも頻繁に行われています。どうせ購入するモノならお得に購入したい、という消費者心理を狙った施策なわけですが、利用者の購入傾向と年代や性別を掛け合わせて、さらなるキャンペーンが送られてきたり広告として目にすることが増えたりするかもしれません。
最近、当社でオンライン上の情報の扱いについて調査したところ、特にスマホを常に使っている20代の方の傾向として、自分の購買行動をお金と還元できるのであれば情報を提供しても構わない、という方が60%以上という結果でした。その裏側で自分の個人情報が集められていて、(サービスの負荷価値が提供されるのであればまだよいかもしれませんが)サービス提供をしている会社がサイバー攻撃に合って情報漏えいしてしまった場合、パスワードを使いまわししていたら、利用する違うサービスに不正アクセスされてしまうなど、どのように利用されるかわからない、という影響や被害にまで想像が及んでいないのかもしれません。
いつどのサービスで購入したかというのが履歴が残っているということは、それだけ自分の情報を提供していることになりますし、あまり多くのサービスを利用すると管理が困難になる可能性もあります。しばらく使ってみたもののその後あまり使わなくなってしまったサービスを放置しておくと、アップデートやパスワードの管理も疎かになるため、知らないうちに誰かに使われていた(乗っ取られていた)、なんてことが起きかねません。自分が一番買い物をするECサイトや店舗のサービスに絞るなど、管理できる範囲のペイメントサービスを選択して利用するようにしましょう。
・2要素認証など本人確認の有無
今回の問題にもあがりましたが、IDとパスワードを入力した後、ショートメッセージ(SMS)で、登録した携帯に認証コードが送信されたり、指紋等生体認証を行うなど、2種類の認証要素で認証する仕組みが組み込まれている認証を指します。自分が使うアプリケーションがどういうセキュリティポリシーになっているか、わかりづらいと思いますが、確認することをお勧めします。2要素認証の有無以外にも、複雑でわかりづらいサービスも要注意、です。複雑でわかりづらいとどうしても説明や注意事項をよく確認せずに、表示されるままに登録を進めてしまいがちになります。登録後、いきなり支払いのプロセスに進むアプリなども、気を付けて、理解してから利用を開始するようにしましょう。
・トラブル時の窓口を確認
これはすでにモバイル決済サービスの利用を開始している方へのポイントでもあるのですが、クレジットカードを無くした場合と同様に、何かあった際に自分で全てを解決することが難しい場合もありますので、そういった窓口がきちんとしているか、窓口がはっきりしていない、すぐに連絡が取れないような場合は、”そのサービスは大丈夫なのか”、という判断材料のひとつにもなるでしょう。
・端末セキュリティを強化
自分のデバイスのパスワードを複雑なものにしておく、入力が困難であれば最近のデバイスであれば生体認証(指紋や顔)も徐々に普及していますので、活用するとよいでしょう。お財布にもなり、思い出や記録用の写真、連絡先、また他人には知られたくない情報が詰まっているスマホを 安全な状態に保つようにしましょう。パスワード管理のアプリやツール等を利用して増加するIDとパスワードを管理することを検討するのもよいでしょう。
まとめ
7payのセキュリティ対策の甘さは、上述のとおりガバナンスの問題も大きく、その点の問題解決も必要ですが、サービスを提供する企業がどれだけセキュリティ対策をしっかりとしていても、サイバー犯罪者は絶えず隙を狙い攻撃を仕掛けているため、100%安全、というのは現実的には難しいのが現状です。残念ながら、セキュリティ対策を考慮しない、執らないサービスにおいて迅速な問題解決が大変困難な状況に陥る可能性があることもニュースを通じて理解することができました。サービス利用者側でも自らセキュリティ意識を持つことで、被害に合わないように個人情報の管理、サービスの利用方法や設定の確認、また情報漏洩などの事故に遭遇してもなるべく軽く済むように日ごろのID・パスワード管理を行い、備えていきましょう。
*今回の報道では、”2段階認証”と”2要素認証”といずれも使われていますが、当ブログ記事では、本来必要と考えられる”2要素認証”を使用しています。
著者:マカフィー株式会社 コンシューマ セキュリティエバンジェリスト 青木 大知、シニア・セキュリティ・アドバイザー 佐々木 弘志、セールスエンジニアリング本部 本部長 櫻井 秀光、セールスエンジニア 久保 俊平、広報 戸田 広美