セブンペイ事件から読み解く、 キャッシュレスビジネスのセキュリティ対策とは?

 

f:id:PentaSecurity:20190816132514j:plain

 

セブンペイ事件から読み解く、

キャッシュレスビジネスのセキュリティ対策とは

 

現在、政府の推進策と共に、2020年東京五輪パラリンピックに向け急増する訪日客を取り込む動きが活発化したことで、キャッシュレス決済手段の推進が日本でも猛烈に取り組まれています。様々な〇〇ペイが乱立する中、7月1日に新規にキャッシュレス決済市場に乗り込んできたセブンペイですが、翌2日には利用者からの問い合わせが相次ぎ調査の結果3日に不正利用が発覚しました。そして9月30 日をもってサービスの終了が早々と決定してしまいました。今回はセブンペイ事件を元に、キャッシュレスビジネスのセキュリティ事情に切り込み、そのリスクや対策などを見ていきたいと思います。

 

セブンペイとは

セブンペイ、7pay、キャッシュレス

引用:https://www.7pay.co.jp/news/news_20190701_01.pdf

 

セブンペイはセブン&アイ・ホールディングスが開始したバーコード決済サービスです。大々的にキャンペーンも打たれましたが、開始からわずか一ヵ月でサービス終了決定となりました。その経緯を時系列的にみてみましょう。

 

セブンペイ事件経緯

7 月 1 日(月) サービス開始(セブン‐イレブンアプリ上に搭載)

7 月 2 日(火) お客様より「身に覚えのない取引があった」旨のお問合せをいただく

7 月 3 日(水) 各社ホームページへ「重要なお知らせ」を掲載 海外 IP からのアクセスを遮断 クレジット/デビットカードからのチャージ利用を停止

7 月 4 日(木) 店舗レジ/セブン銀行 ATM からの現金チャージ利用を停止 新規会員登録を停止

7 月 5 日(金) 「セキュリティ対策プロジェクト」の設置 7月6 日(土) モニタリング体制の強化

7 月 11 日(木) 外部 ID によるログイン停止

7 月 30 日(火) 7iD のパスワードリセットの実施

8 月 1日(木) サービス廃止を決定 9月30 日(月) サービス廃止(予定)

 

 セブンペイ事件被害状況

セブン&アイ・ホールディングス(HD)のスマートフォン決済サービス「セブンペイ」が不正利用された事件で、同社は16日、11日時点で1574人計約3240万円の被害を認定したことを明らかにした。

引用:https://www.nikkei.com/article/DGXMZO47387280W9A710C1TJ2000/

 

7月4日の午前6時時点の試算でおよそ900人のIDが乗っ取られたと発表していましたが、その後の調査で1574人に拡大したとのことです。

 

セブン&アイ・ホールディングスの小林社長は記者会見で、セブンペイのシステムに「脆弱性は見つからなかった」と応えましたが、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていません。それではどういった原因で今回の問題が起こったのか次項でみてみましょう。

 

セブンペイ事件の2つの原因

今回の不正アクセス事件について、セブン&アイ・ホールディングスは次のように原因について公式サイトで説明しています。

 

「セキュリティ対策プロジェクト」の調査では、今回の原因について、「攻撃者が どこかで不正に入手した ID・パスワードのリストを用い、7pay の利用者になりすましつつ、   不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」との 結論に至りました。

 

”直接の原因”としては、『リスト型アカウントハッキング』、つまり攻撃対象のサイトとは別のサイトで漏えいしたIDとパスワードのリストを使い、攻撃対象のサイトへログインを試みる手法が取られたとの調査結果を公表しています。リスト攻撃、リスト型攻撃、パスワードリスト攻撃とも呼ばれるこの攻撃手法は、ユーザーが様々なサイトで同じパスワードを使いまわしていると、暗号化対策や、ID・パスワードの適切な管理をしていないサイトから情報漏えいが起こり、今回のような第2のサイトやサービスで不正使用されてしまうことにつながります。

 

セブンペイのように直接情報漏えいが起こっていなくても、このような手法で攻撃されてしまった場合、適切な防御をしいていなければ被害が生じてしまいます。セブン&アイ・ホールディングスではその後の公式見解で”自社の対策不備”として

 

「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、『リスト型アカウント ハッキング』に対する防御力を弱めた。

 

とも原因を説明しています。二要素認証等の追加認証とは、一般的に「2段階認証」とも言われているセキュリティ対策です。つまり今回のセブンペイ事件では、1.『リスト型アカウントハッキング』による情報漏えい(他社)と、2.『リスト型アカウントハッキング』への対策を怠ったこと(セブン&アイ・ホールディングス)の2つが原因としてあげられます。

 

 セブンペイのセキュリティ管理

当初セブン&アイ・ホールディングス側も自社には脆弱性はないと言い切るなどしていましたが、実際は2つの要因があり、『リスト型アカウント ハッキング』に対する防御力を怠ったセブンペイ側のセキュリティ管理がその後明らかになっています。

 

報道等では、セブンペイのセキュリティ脆弱性の問題が今回の事件の要因として連日報道されていました。元々『リスト型アカウントハッキング』を受けた会社やサービスは別にあっても、その上で、セブンペイ側が述べているように「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」など、きちんと対策と防御を講じていれば、このような被害に発展しなかったからです。それぞれどのような対策なのか簡単に説明します。

 

 複数段松からのログインに対する対策

 複数端末からのログインに対する対策では、ログインできる端末を限定したり、2重でログインしたりした場合は通知が届く仕組みを作るなどの対策です。今回のセブンペイ事件では、当初サービスが利用される可能性が低い海外IPからのアクセスも大量にあり、無制限でアクセスされていました。

 

他社の対策をみてみると、多くの人がサービスを利用する『LINE』では、同じLINEアカウントは複数端末で同時ログインができません。そのため、ほかのスマートフォンが自分のLINEアカウントへのログインを試みると、LINE公式アカウントから”他の端末で、LINEにログインしたことを通知するメッセージです”といったメッセージが届く仕組みになっています。LINEも既にQRコード決済『LINEペイ』を開始していますが、これまでのところ大きく報道されるような被害は発生していません。

 

 2段階認証を用いた対策

スマホ決済では常識となっている「2段階認証」と呼ばれる手法が、セブンペイでは施されていなかったという指摘がされています。株式会社セブン・ペイの奥田裕康氏(取締役営業部長)によると、「コストや客の利便性を勘案した」結果であり、「怪しい取引に関しては、決済を停止するといったモニタリング体制の強化で守れると判断していたことから導入を見送った」としています。しかし今回の結果をみてみると、そうしたモニタリングは無効だったことが分かります。ワンタイムパスワードを使いログインを2段階認証に変更する等の厳しいセキュリティ対策がやはり必要だったと言えるでしょう。

 

最後に

SNS、ブログサービス、動画共有サービス、企業サイトなど複数のWebサービスに登録することが珍しくなくなった今、IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じID、パスワードを使い回しているユーザーは少なくありません。『リスト型アカウントハッキング』はそういったユーザーをターゲットにしています。

 

ユーザーにパスワードを使いまわししないように求めても、なんの対策にもなりません。セブンペイに限らず、ユーザーにIDとパスワードでログインを促し、決済サービスやネットショッピングを提供する企業は、そうした攻撃があることを前提とした対策を取ることが求められています。

 

今回のセブンペイ事件はキャッシュレス決済事業者の急拡大による安全面のリスクを改めて浮き彫りにしたものといえます。今後セブン&アイ・ホールディングスは企業としての信頼回復が求められていきますが、こうしたミスを引き起こして大々的な問題になってしまうと、その道のりは険しくなります。顧客情報を扱う企業は、この事件を教訓として、セキュリティに対するガバナンスの徹底、設計面からのリスク想定など対策を怠らないようにしていきましょう。