セブン&アイによる7pay事件の後始末に見る、頻発した大企業不祥事の原点
コンビニエンスストア業界のトップを走るセブンイレブン(セブン&アイホールディングス)がスマホ決済「7pay」で起こした事件は、結局謝罪とともにサービス打ち切りとなり、大企業不祥事の典型例となりました。
7payを巡る不正アクセス事件はまさにデジタル時代に相応しい速度感と衝撃度で事が始まり終わってしまったなという感があります。
もちろん、危機対応においては「インシデントは初動対応が命」というのもあるのですが、それ以上に、小手先の炎上回避では今回の7payを巡る騒動は収拾がつかなかったでしょう。それを考えると、いままでセブン&アイHDが築き上げてきた信頼が、本当の意味で二週間ほどで地に落ちたというのは教訓とするには大きすぎる事案なのかもしれません。
スマホ決済「セブンペイ」 9月末で終了(日本経済新聞 19/8/1)
セキュリティー対策には時間がかかり、信用回復も難しいことから撤退を決めた。日本経済新聞そうですか。あっさりしているというか、分かりやすい言葉に言い換えると「労多くして功少なし」という判断だったのかは分かりませんが、とにかくサービスは撤退で幕を引くことになります。後講釈はいくらでも可能な事例ではあるのですが、やはり「これだけの大きな組織が手がけるサービスで、こんな問題を起こすことがあっていいのか」というレベルの話でしたから、捲土重来、サービス再開の余地を残す発表をするのかと思っていました。
で、サービス終了発表ということで記者会見が行われたわけですが、そこでのやりとりがどんな感じだったのかについては以下の記事が参考になります。
7pay終了へ記者会見の一問一答まとめ(ITmedia 19/8/1)
――不正アクセスについて、五月雨に対応したのはなぜかなるほど。何事もお客さま第一の精神で取り組んでおり、サービス開発に際しても余裕綽々で行われていたとのことで、それがこういう結果になってしまったのは本当に残念です。
後藤:お客さま保護を第一優先に考えたときに、まずは被害をとめようと、チャージ停止、新規登録停止を決めた。次に原因を見極める作業をしていたところ、外部ログインに脆弱性があったので、放置するわけにはいかず、(外部連携を)切った。
――後発で参入したから焦ったのか
奥田:18年6月にセブン-イレブンアプリが始まり、利用状況や開発体力を確認しながら7payの開発を進めてきた。焦りという認識はない。ITmedia
そのうえで、とりあえずこのまとめ記事にざっと目を通してみて思うことはいろいろあるのですが、一番腑に落ちないなと感じるのは不正利用の手口について確認する記者質問が複数回あり、その都度にセブン側としてはリスト型攻撃だったと強調する回答が繰り返されたところであります。
――手口について。原因は「リスト型アカウントハッキング」ということだが、不正利用にはログイン用のID・パスワードに加え、チャージ用のパスワードも必要。被害者の方のインタビューからは使いまわしがなかったという報告もある。リスト型アカウントハッキングの可能性は低いように思われるが、なぜそのように判断したのか。被害者に直接聞き取りをしているのか「リスト攻撃がほとんど」といった言い回しからも分かるように、100%全部がリスト型攻撃であったとは断言せず、しかしながらリスト型攻撃以外の事例については「個別の件」という形にして公の場ではそれ以上触れない徹底ぶりでした。
田口:「リスト型アカウントハッキングが原因」という結論に至った理由は、当該時間帯に、IDの入力がない「IDエラー」がたくさん起きていたこと。その後パスワードエラーが起き、さらに不正チャージがあったという報告がある。1件1件ログを確かめている。既に被害に遭ったと届け出があった人からは、ログイン用のパスワードがチャージ用のパスワードと同一だったという声もいただいている。
(中略)
――不正利用の手口について、ログインとチャージ用で別のパスワードを用意した人もいるのに、なぜ認証を突破されたのか
田口:現時点で個別で相談を受けている中では、同じパスワードを使っている人が多い。内部からの漏えいや外部から別のアタックがあったということもない。それらを総合し、現時点でリスト型と判断したという報告を受けている。
(中略)
――7payの不正チャージでは、リスト型では攻撃しづらいランダムな文字列のパスワードで被害に遭った人もいた。リスト型では説明がつかないのでは
田口:個別に相談は別途いただく形。現時点での内外のセキュリティ調査での診断結果として答えている。
――現状被害として認識しているのは、パスワードリスト型攻撃だけということか。その他の攻撃はなかったという認識か
田口:被害が遭った件を調べるとリスト攻撃がほとんど。808件の中で盗難されたクレジットカードを使われた形跡は認められるが、現時点ではほとんどがパスワードリスト型攻撃だったと考えている。個別の件については相談をさせていただきたい。ITmedia
セブン側としてはリスト攻撃対策としてパスワード一斉リセットを実施したのだからもう問題ないでしょう、これ以上騒ぎを大きくしてくれるなと暗にクギを刺している感じなのでしょうか。さすがにこうした答弁のあり方については、セキュリティクラスタに属する人々がブログやIT系ニュースメディアなどにおいて強い異議を表明していますが、一方で一般報道メディアなどではこの件についてほとんど問題視されていないような印象を覚えます。
[[twitterOFF|OFF]]
実際に、被害をもたらしたインシデントのほとんどがリスト攻撃だったかどうかなどという話は余程にセキュリティ方面に強い関心がなければどうでもいい話なのかもしれません。しかしながら、もしリスト攻撃ではない手法で不正アクセスが行われそれが成功していたのだとすれば、セブンが実施したあのパスワード一斉リセットは今後の不正アクセスを防止する術としてほとんど無意味であったとなりかねない話でして、かなり重大なポイントであるはずなんですよね。
実際、一部利用者からは「他に全くサービスを利用していないまっさらなIDとパスワードの組み合わせでも乗っ取りの被害に遭った」という報告が出ていました。だとするならば、リスト攻撃などではなく、omni7など既存のセブン系サービスの根幹のところに大きな脆弱性を持っていたか、内部に大規模な犯罪者を抱えてしまっていたか、というような途方もない連続犯罪がいまなお進行中ということになってしまいかねません。
だからこそセブン側ではできるだけ触れたくない話でもあるでしょうし、これ以上藪はつついてくれるなということなのかと察するところもあります。
世の中、不正アクセス手段の詳細を知らされるよりも、企業トップの人々が頭を下げてお詫びをしている絵柄を見るほうがよほど納得できるという現実をセブンの中の人はよく弁えているということであり、事程左様に世の中でセキュリティのことに気を使っているのは極々少数派、大きな商いには関係ないということなのかもしれないなと改めて思い知らされる出来事でもありました。
それにしても、ここのところ吉本興業やセブン&アイ、リクルートと、大企業による不祥事でのお詫び案件が続いているのは気になります。別に大企業だから緩んでいるとか、令和という時代の幕開けがお詫び社会を呼んだなどとこじつけるつもりは毛頭ないのですが、コンビニ業界もこの手のスマホ決済だけでなく、利用者情報の適正活用や24時間営業問題など、高効率での店舗運営で頑張ってきた弊害が少子高齢化やデジタル化・キャッシュレス化の進展で拡大し、身動きが取れなくなってきているように思います。どの大企業も、時代の流れや社会的要請の変遷についていけなくなれば、経営陣と現場の間でのズレも大きくなり、結果として重大インシデントに直結してしまうというジレンマを持つのかもしれません。