セブンペイの不正アクセスはなぜ起きたのか ｢設計､現状認識､後日対応｣すべてが甘かった

セブン-イレブンが7月1日に開始したQRコード決済システム「7pay（セブンペイ）」で不正アクセス被害が発覚した。相次ぐ不正利用の報告に暫時、入金手続きを停止する措置がとられていたが、4日、運営会社のセブン・ペイが一連の不正利用に関して記者会見を開いた。

しかし、セブン・ペイの小林強社長の言葉から感じられたのは、顧客から預かっている個人情報の重要性に対する無自覚だけではなく、現時点で起きていることや問題解決が長引いていることに対する認識が甘く、自社が提供しているサービスへの理解も低いと言わざるをえないものだった。

小林社長は記者会見で、7payのシステムに「脆弱性は見つからなかった」と応えたが、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていない。

背景には、大手流通が扱う決済システムとしては呆れるほど脆弱なシステムがあるが、さらに決済システムを提供するセブン・ペイの危機管理の甘さも追い打ちをかけている。

絶望的なほどの現状認識の甘さ

問題は大きく3つに分けられる。

1つはIDを乗っ取る簡易的手段を、セブン・ペイのシステム自身が“提供”していること。正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができる。

2つ目は重要情報の扱いの軽さ。クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証に対応していない。さらにパスワード変更時に生年月日を必要としているにもかかわらず、生年月日を省略して登録可能としている。そのうえ、省略時の規定値（変更しなかったときに使われる値）まで公開している。

最後に自身のシステムに対する過信だ。

発表によると7月2日にはユーザーから「身に覚えのない取引があったようだ」と報告があったうえ、翌日朝になると不正利用報告が相次いでいるにもかかわらず、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するだけにとどめた。