「数千万回の攻撃受けた」セブンペイ終了会見が判然としない理由

7pay_-1

緊急会見冒頭、不正アクセスの舞台となったことを陳謝する登壇者。

撮影:伊藤有

セブン&アイ・ホールディングス(以下セブン&アイHD)は、9月30日24時00分をもって7payのサービスを廃止する。8月1日午後、都内で開いた緊急会見で、セブン&アイ・ホールディングスの後藤克弘副社長が明らかにした。廃止の決定は、同日開催したセブン&アイHD取締役会で決定した。

緊急会見は2時間に及び、さまざまなメディア関係者から、脆弱性のチェック体制の不備や被害の状況、配布資料と取材過程で見聞きした被害状況のズレを問う鋭い質問が飛び交った。

セブンが明かした「数千万回の攻撃」、残る違和感

7pay-3

左から、グループ各社のデジタル戦略を支援するセブン&アイ・ネットメディア田口広人社長、セブン&アイ・ホールディングス後藤克弘副社長、同執行役員デジタル戦略推進本部デジタル戦略部シニアオフィサー清水健氏、セブン・ペイ社 取締役 営業部長 奥田裕康氏。

被害規模と金額については、おおよそ確定に近くなってきた。最新の取りまとめによると、7月31日17時時点で808人、金額にして3861万5473円が被害総額だ。

一方、肝心の「7payに実際にどんな脆弱性があり」「どんな手口で攻撃をされたのか」は、不明確な部分が残る。報道されている被害例のすべてを理路整然と説明できていない、というのが会見に参加した率直な印象だ。

セブン側の認識では、7payへの攻撃は、いわゆる「リスト型攻撃」だったというのが、現時点の「結論」だとする。

これは、不正入手したIDとパスワード等の組み合わせリストを使ってアタックする、比較的古典的な攻撃手法だ。7payでは、7iDのパスワードとチャージパスワードに同じ文字列が設定できたことが、リスト型攻撃の成功率を結果的にあげてしまった。

7pay

撮影:Business Insider Japan編集部

質疑の回答によると、攻撃が検知された7月2日未明以降、ログインサーバーには数千万回という大量の不正アクセスがあった。侵入状況を記録したアクセスログには、攻撃に伴う複数回(おそらく大量)のIDのエラー、それに続き頻発するパスワードのエラーが記録されていた。これらはリスト型攻撃に伴うものと想定できる。

リスト型攻撃の被害が808人の大半だというセブン側の発表は、確かにそうなのだろう。しかし、7iDのパスワード、チャージ用パスワードともにランダムな文字列だったのに被害にあったという人の事例は、「リスト型攻撃」では説明できない。

7pay緊急会見配布資料

会見で配布された資料より。セブン側が認識したのは7月2日。4日は新規登録を停止。新規会員は、実質4日も集められなかった。

撮影:伊藤有

この点について複数回、報道陣から念を押すような質問が出たが、「個別のそうではない(リスト攻撃ではない)事例については、個別に相談いただく形をとっている」という趣旨の回答を繰り返した。

結果として、リスト型攻撃以外の被害については、セブン側はその存在を、否定も肯定もしていない。

ITジャーナリストがリスト型以外の攻撃事例にこだわったのは理由がある。

ITのセキュリティーというものは、「偶然侵入」できたり、「何かのタイミングでたまたま実行」できる、といったことはありえない。ある事象が発生するのには必ず理由がある。

説明しきれない被害事例が残ったままの幕引きは、セブン&アイHDのデジタル戦略の要である「7iD」や「オムニ7」そのものに、セキュリティー不信を残し続けることになりかねない。

不正使用とは「直接関係ない脆弱性」があった

7pay-4

7payにまつわる一連の経緯について、経営側責任者としてマイクを取るセブン&アイ・ホールディングス後藤克弘副社長。左はオムニ7の開発にかかわったセブン&アイ・ネットメディア田口広人社長。

会見で明かされたセブン側の認識には新たな情報もあった。

まず、Business Insider JapanがスクープしたGitHub上のソースコード流出だ。流出については認めたものの、

「2015年の秋に開発環境用につくったソースコード。ご心配いただいているようなインターフェイスの形式、ログインの形式については、(最終段階の仕様でないことを)確認している。

(ソースコードが公開状態にあったという)管理不行届きについては、ご心配をおかけいたしましたことをお詫びいたします」(田口氏)

とし、実際の環境への影響はなかった、と弁明した。

また、複数のメディアで報じられた「外部ID連携の不備」や「パスワードリセット実装の不備」の存在は報道どおりの脆弱性を認める一方、「7payの不正使用には直接的に関係していない」と報告した。

外部ID連携の脆弱性が悪用されなかったのは幸いだが、一方で攻撃に使われなかった脆弱性を事前に発見できず、開発管理体制もずさんだったという事実は残る。

7月4日の会見では事前に問題はなかったとした脆弱性診断についても、セブン側は「(当初のセキュリティー)テストの範囲と深さが、適切でなかった」と認識を改めるコメントをしている。

失墜したネットの「セブン」ブランド、回復できるのか

7pay

撮影:Business Insider Japan

気になるのは、セブン&アイHDのデジタル戦略にまつわる脆弱性懸念が、本当にこれで終わるのか、ということだ。

7payが動作していたセブン-イレブンアプリは、その通信の解析から、セブンの総合ECサービス「オムニ7」のサーバーに接続していたと見られる。

脆弱性の懸念がオムニ7にまで及ぶことはないのか。

筆者の質問にセブン側は、

「オムニ7と接続する箇所はあるが、ご指摘のような危険性は、現時点のサービス内容であれば、問題がない」(田口氏)

7payに類似した決済サービスを新たに開始するならセキュリティー水準を上げなければならないという認識かとの質問には、

「当初の認識ではないが、今回報告を受けている調査を受けている中では、そういうことだったと考えている」(同)

と答えている。

セブンイレブン

撮影:Business Insider Japan

事件の発生を受け、セブン&アイHDのセキュリティー対策プロジェクトでは、攻撃手法と被害実態の全容把握に向けて調査チームを設けた。しかし、あくまでセブン&アイHD取締役会に報告するための「社内向け」のもので、第三者委員会などではないことが新たにわかった。

また、どのセキュリティー会社がチェックしているのかは非公開。調査確定まで1〜2カ月かかるのではとの目安は示したが、事実上、期限も区切られていない。

調査結果についても、現時点でレポートを公表する予定はないとする。

本件の経営側責任者である後藤克弘セブン&アイHD副社長は、現時点で辞任の意向はない。デジタル戦略の点で、まさに信頼失墜した「セブン」ブランドは、この会見で復活できるのだろうか?

セブンの透明性と調査能力を外部に示す絶好の機会である「7pay事案の調査レポート」の公表はなく、経営陣が責任をとることもないとすれば、セブン&アイHDにとって7payとは一体なんだったのか?

2時間の長丁場の会見のあとには、ただ判然としない印象だけが残った。

(文、写真・伊藤有)

ソーシャルメディアでも最新のビジネス情報をいち早く配信中

あわせて読みたい

Popular

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい

広告のお問い合わせ・媒体資料のお申し込み