セブンペイ、「使いやすさ」が生んだ3つの隙
スマートフォン決済サービス「セブンペイ」は、不正利用事件をきっかけにシステムのもろさが次々と露呈した。使いやすさを重視した仕組みがセキュリティーの隙を生んだとみられている。セブンペイは決済サービスとしては後発だ。専門家らは普及を急いだ結果、安全性のチェックがおろそかになったと指摘する。
複数のIT専門家が「深刻な弱点だった」とみているのが、フェイスブックやLINEなど外部のIDでログインできる「連携認証」と呼ばれる仕組みの部分だ。サービスごとに個別のIDを設定する手間を省けるメリットがあり、セブンペイを組み込んだ「セブン―イレブンアプリ」(セブンアプリ)もこの仕組みを採用していた。
セブンアプリでは他の一般的なサービスと比べ、外部IDの認証方法が甘いことが判明した。国際大学GLOCOM客員研究員の楠正憲氏によると、外部IDやパスワードを知らなくても、特定の方法でIDに関連する短い文字列(識別子)を入手し、本人になりすましてログインできた。
セブンアプリは2018年6月に配信され、こうした弱さを抱えたまま19年7月にセブンペイの機能が加わった。
楠氏は「決済サービスは悪用されると被害が大きい。アプリに追加する前に弱点を徹底的に洗い出すべきだった」と話す。セブン&アイ・ホールディングス(HD)は指摘を受けて11日、外部IDでのログインを遮断した。
「不正利用を防ぐことができます」と安全性をPRしていた「認証パスワード」にも、第三者がリセットできるという問題が見つかっている。
セブンペイでクレジットカードなどからチャージ(入金)するためには、独自の認証パスワードを設定する必要がある。不正ログインによって何者かにIDを乗っ取られた場合でも、認証パスワードを知られない限りは新たに入金されず、被害を最小限に抑えることができるとしていた。
しかしアプリ上で「パスワードを忘れた」と虚偽の問い合わせを送信し、オペレーターとのチャット画面でのやりとりを経れば認証パスワードを設定し直せた。
セブン&アイHDはチャット画面でのリセットについて「利用者がパスワードを忘れた場合の利便性を考えた措置」(担当者)と説明するが、情報セキュリティー会社S&J(東京・港)の三輪信雄社長は「複数のパスワードで不正を防ぐという効果が無く非常に甘い仕組みだ」と指摘する。
官民でつくる一般社団法人「キャッシュレス推進協議会」は3月に策定した指針で2段階認証の導入を求めた。だがセブンペイは指針に反し、IDとパスワードのみの「1段階」の認証で7月にサービスを始めた。世耕弘成経済産業相は9日、「基本中の基本である2段階認証といった対策が十分でなく、大変残念」と苦言を呈した。
運営会社の「セブン・ペイ」(東京・千代田)は2段階認証を採用しなかった理由を明らかにしていない。神戸大の森井昌克教授(情報通信工学)は「安全性を高めればアプリの使い勝手は悪くなる。普及を急ぐあまり、簡素な仕組みになったのではないか」とみる。
不正利用事件の被害は11日時点で1574人、計約3240万円となった。さらに拡大する可能性もある。セブン&アイHDは、弱点が悪用されたかどうかも含めて詳しい原因を調べている。