「7pay」が不正アクセス問題で緊急会見を行いました。YouTubeで中継しているチャンネルを見ながらツイートした内容をまとめておきます。社長によると、被害は約900人・約5,500万円とのことです。
「7pay」緊急会見ツイートまとめ
#7pay 緊急会見
不正アクセス被害者の人数と金額
詳細は調査中だが約900名・5,500万円(6時現在)— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 緊急会見
・全ての被害に対して補償することが基本原則
・緊急ダイアルを設置して説明する対応をしている
・全てのチャージを一時停止する
・7payの新規登録を一時停止する
・停止する期間でしっかり調査して再開— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 緊急会見
読売新聞
Q 現状、どこに抜け穴があったと考えているか?
A 詳細はこれから専門家を入れて調査したい。しっかり対応してセキュリティーを確保していきたい。指摘されたパスワードの問題に関しては改善を進めている。現状、海外からのアクセスを遮断。パスワードの変更もいくつか対応。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 緊急会見
Q 緊急電話に繋がらないという声がある
A 回線、スタッフを増員している。昨日から拡大している。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q なぜ買い物が続けられる状態にしているか?
A 全てを止めるのが不正の余地がないが利便性との絡み、時系列で見ていくとカードからのチャージをストップすると状況が変わってきている。多額な不正が相当減っている。そのあたりも勘案して。現実的な対応としてチャージを止めている。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q 事前の脆弱性テストで分からなかったのか?
A あらゆるサービス・アプリに関してはシステムのセキュリティ審査をしている。脆弱性は指摘されなかった。その上でスタートした。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q オムニ7等他のサービスも危険なのでは?
A 外部から不正なアクセスがないか確認した。1週間で特に際立つものがないことを確認している。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q パスワード確認で他のメールアドレスが入力できるようにしていた理由は?
A ふだんスマホを使っている人でパスワードをパソコンからしたい、その場合、キャリアのアドレスは使えなくなるため、そういった方へ便宜を図るため。
・チャージは14時に全て停止— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
・なるべく早く再開したいがいまのところいつかは言えない
・申告ベースでは発表した規模にはなっていない
・被害届けは出す方向である— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q SMS認証しなかった理由は?
A 7payの基本設計は7IDがありセブンイレブンアプリがある。アプリのいち機能として7payが入った。連携した形で登録することになっているので二段階云々と同じ土俵で比べられるのか認識していない。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
・Amazonのギフトカードは買える(買っているかどうかは確認していない)
・知らない間にチャージされ、知らない間に使われ、本人が知らないところで使われているという事例Q スマホ決済の信頼を失墜させたのでは?
A 我々としても残念。これをきっかけにさらに安心安全を目指したい— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q 登録の簡単さに力点を置きすぎたのでは?
A 簡単さとセキュリティはリンクしていないと理解している。7Payの仕組みか、IDのところに不備があったのか、色々な視点から精査しないといけないと思っている。必ずしも使いやすい=リスクを疎かにしたとは理解していない。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q 不正アクセスは海外から?
A 不正アクセスを洗い出していく中でほとんどが海外からのIPだった。まず最初にストップした。精査しているが中国。
Q パスワードの変更の部分が原因の一つ?
A セキュリティ診断した上で開始しているので改めて色々な形で調査しないと曖昧に回答できない— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
・全体に及ぼす影響としては7月から7payと絡めたキャンペーンをしており会員増を期待していたが、それがそのまま進まない可能性がある。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 記者会見
Q 1人が何万円くらい被害にあっているか、防犯カメラから情報提供は?
A 個別の事案に関しては精査中。先程の金額は試算として捉えている。並行して個別の取引を精査している。(防犯カメラ)まず警察に被害届を出し必要であれば。解明するツールにはなると思っている。— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 緊急会見
Q どういった被害があったか具体的には?
A タバコで10万円— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 緊急会見
・被害が疑われる場合は7payから連絡がくる
・開発は何社かの協力会社と
・店舗でのAmazonカードを大量購入は止めていない(犯人か分からないため)対応は検討中— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 緊急会見
・放置していたという感覚はない
・順次対応していた
・2日も、という感覚は我々と違う
・対応が遅くなった認識はない— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
#7pay 緊急会見
・早くスタートするために何かをおざなりにしたことはない— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
ちょっとこの部分は要約しにくかったところでもあるので、気になる方は実際の会見動画などにあたってください。
— コグレnote本執筆中[ブロガー:旅と酒とガジェット] (@kogure) 2019年7月4日
「7pay」緊急会見の雑感
繰り返しセキュリティの審査は行われたと語られたのですが、その上でこれだと完全に技術力がなかったのかな、という気がしてしまいます。
当たっているかどうか分かりませんが、ぼくの感覚と近いと思ったツイートです。
決済系のサービス、paypayやLINEpayみたいな今まで色んなエンジニアの目にさらされてきたweb屋が作ったものは信用できるけど、SIerさん的な技術面でちょっとアレところがしかも恐らく突貫で作ったものは信用しにくいなあという直感で使い分けてた。おおよそ間違った判断ではなかったみたい。
— 岡島康憲 y-okajima.com (@okaji) 2019年7月3日
結果としてスマホ決済というシステムがアウトプットされているのですが、全く出自が違うのかな、と。
セブンイレブンアプリの中に組み込んだからSMS認証などをしなかった‥‥と受け止められるような発言もあったのですが、であるならば別アプリにしてでもセキュリティは確保すべきだったのでは、とも思いました。
いわば最後発の後出しジャンケンでこれだけやらかしてしまうと、なかなかサービスとして「7pay」を使って貰えなくなってしまうのではないでしょうか。実際、LINE Payなどだいたいスマホ決済もあるので。
