セブン&アイ・ホールディングス(HD)グループでスマートフォン決済を手がけるセブン・ペイは7月4日、1日からスタートしたスマートフォン決済サービス「7pay(セブンペイ)」において、第三者による不正利用が発生したと発表した。同社では原因は調査中としているが、一部ではパスワードリセット機能に不備があったとの指摘も出ており、サービス再開の見通しは立っていない。

　手口は、何者かが利用者のアカウントに不正アクセスし、本人になりすましてクレジットカードやデビットカードからアカウントにチャージ、セブン―イレブン店頭で買い物をするというもの。4日6時の段階で、不正アクセスが疑われる人数は約900名、被害金額は5500万円となる。不正アクセスは中国など、海外のIPアドレスからされたものがほとんどだった。同社では被害者に全額補償する方針。

　サービス開始の翌日となる、2日に「身に覚えのない取引があったようだ」と問い合わせが顧客からあり、事態が発覚。3日にはクレジットカードとデビットカードによるチャージを停止し、4日にセブン―イレブン店頭レジとナナコポイントからのチャージを取りやめ、全てのチャージを一時停止した。なお、決済は停止していないため、アカウントにチャージした金額分は利用することができる。

　不正アクセスが起きた原因については「これから改めて専門家を入れて調査する」(セブン&アイHDの清水健執行役員)としており、セブン・ペイでは5日に「セキュリティ対策プロジェクト」を立ち上げた。

　7payは「セブン―イレブンアプリ」の1機能であり、ユーザーが同アプリを利用するには、グループの共通ID「7iD」に登録する必要がある。セキュリティーの専門家からは、7iDに紐づくパスワードを忘れた場合に使う、「パスワードリセット機能」に不備があったとの指摘が出ている。

　通常、パスワードリセットをウェブから申請した場合、運営者は再登録用URLを、ユーザーが登録したメールアドレスにのみ送信する。7iDのリセット申請はグループの通販サイト「オムニ7(セブン)」内のページから行う仕組みだが、その際に登録時のメールアドレス以外のアドレスも指定できるようになっていた。そのため、IDとして利用しているメールアドレスと、電話番号、生年月日が分かれば、第三者でも勝手に再設定ができるため、不正アクセスが可能となる。

　清水執行役員は「パソコンからリセットする場合、(登録時に使った)携帯電話キャリアのメールアドレスが使えないこともあり、そうした人に便宜を図った」とこうした仕様にした理由を説明した。この手口で不正アクセスされたかどうかは不明だが、オムニ7では4日夜、登録外のメールアドレスを指定できないように修正した。

　パスワードリセットがずさんなことに代表されるように、7iDのセキュリティー体制に不備があった可能性もあるが、セブン&アイHDでは「グループのあらゆるサービスやアプリは、サービスインの前にシステムのセキュリティー審査をしていて、ぜい弱性は指摘されていない」(清水執行役員)と説明する。同社の広報センターによれば、こうした審査は「ペネトレーションテスト(侵入テスト)などを中心に実施した」という。

　では、一般的なぜい弱性診断を行う上で、パスワードリセットの問題を見落とすケースはあるのだろうか。ウェブアプリケーションのセキュリティーに詳しい、EGセキュアソリューションズの徳丸浩代表取締役は「そもそも診断対象でなかったケースも考えられるが、パスワードリセットはセキュリティー上重要かつ、ぜい弱性が入りやすい箇所なので、診断対象から外すことは不自然に思える」と指摘する。その上で「ぜい弱性診断で問題なしとされた後、パスワードリセットの機能が追加されたか、あるいはツール診断では発見できない問題なので、ツール診断のみのベンダーに調査を依頼したか、手動でも力量の足らない診断員が担当していた可能性もある」と推測する。