無縫地帯

「不正アクセス」コーナンPayに見る、乱立したスマホ決済の死角

ホームセンター事業を展開するコーナン商事が参入したスマホ決済「コーナンPay」が中国系ハッカーに侵入された事案がありましたが、安易な参入にはトラブルがつきもののようです。続報が乏しいのが気になります。

国を挙げてのキャッシュレス決済推進の波が思わぬ方向へ色々と影響しているようで感慨深いものがあります。
もちろん、原則としてキャッシュレス決済が主流の社会になることそのものには、誰にも異存はそう無いと思います。

一方で、加熱しすぎている部分は無きにしも非ずで、まずはサービス系で顧客情報を扱う企業は猫も杓子も自社でキャッシュレス的な決済サービスを立ち上げようという機運が世間には充ち満ちているようでして、これは一体何なんでしょうか。決済はもちろん大事ですし、乗り遅れたら挽回したり他社のサービスに情報を握られ従属するコストが発生するという危惧は分かるのですが、かかる費用も膨大であることを考えると、そんなに美味しいビジネスなのか問い直したくなります。我らが高木浩光さんがスマホ用の決済系アプリを色々と集めて検証されおられたようですが、こんなに乱立していて皆がちゃんとした形で運用されているのか、セキュリティ的に問題ないのか等々、気になることだらけです。

[[twitterOFF|OFF]]

こうした事業者による独自決済サービスの中から気になる事例の一つとして高木さんが取り上げたのがコーナンPayだったわけですが、その結果一部のネット民の間で話題になったりもしていたようです。

[[twitterOFF|OFF]]

こうした形で注目されてしまったのが禍したのかどうかはさだかでありませんが、件のコーナンPayがさっそくサイバー攻撃の餌食となりました。

コーナン Pay、不正ログイン発生によりサービス一時停止(ImpressWatch 19/7/24)

現時点におけるコーナンPay側の見解としては「不正ログインがなされた思われる事案が確認された」が「不正なコーナンマネー使用は確認されていない」とのことで、とりあえず金銭的な被害は出ていない模様です。しかしながら以下の点がやや気になります。

コーナンPay、不正ログインで「サービス一時停止」不正利用は「確認されていない」(J-CASTニュース 19/7/24)

コーナンPayをめぐっては、2019年7月23日ごろ、アプリをダウンロードしていないにもかかわらず、アカウント発行のためのメールが届いたとの報告がSNS上で相次いでいた。
(中略)
発表によれば、先のメールは登録されていないメールアドレスを使ってログインを試みた際に自動送信されるもので、「身に覚えがないにもかかわらず当該メールが届いている場合、何者かがお客様になりすまし、コーナン Pay アプリにお客様のメールアドレス等を入力し、不正にログインすることを試みたものと考えられます」とする。J-CASTニュース
なんらかの形で流出したメールアドレスのリストを用いてコーナンPayアプリに仕掛けられた典型的なリスト型攻撃のようですね。このことから分かることは、今回身に覚えのないメールを受け取ってしまった人のメールアドレスは、残念ながらコーナンPayを攻撃した何者かの攻撃用リストに含まれているということであり、今後なんらかの形で悪用される可能性があると認識しておく必要があります。まずは当該メールアドレスをなんらかのサービス登録などに利用しているのであればパスワードの使い回しなどをしていないか改めて確認すると共に、場合によってはより安全なパスワードに変更しておくなどの対策をとるのが好ましいでしょう。パスワードに対する考え方は時代と共に変わりつつまた個人によっても異なりますが、以下の記事などは参考の一つになりそうです。

安全なパスワードとは何かを考えてみた(日経 xTECH 18/9/26)

幸か不幸か今のところコーナンPayでは直接の被害が出ていないとされる一方、セブン‐イレブンが鳴り物入りでスタートさせた7payは多くの人が知るように大きな被害が出てしまいました。この問題については、私も論評記事を書きました。

7pay不正、確定被害は1574人、総額3240万688円と公表。7月中に対策公表へ(BUSINESS INSIDER 19/7/16)
セブン&アイによる7pay事件の後始末に見る、頻発した大企業不祥事の原点(ヤフーニュース個人山本一郎19/8/7)

これだけ多くの事業者が独自決済サービスを立ち上げている状況を鑑みると、今後も悪意のある攻撃の数々が仕掛けられるであろうことは覚悟しておくべきですし、サービス提供側はその点について十分に注意すべきでしょう。さらにエンドユーザーは単に便利で得しそうだからという理由だけで安易に決済サービスアプリを手当たり次第登録するようなことは避けるべきかもしれません。以下の記事で提案されているように様子見するのは決して悪いことじゃないと思うんですよね。

7pay事件で得られた教訓「お金」のサービスはどう使うべきか(ITmedia 19/7/11)

どのサービスも、「私たち、セキュリティには自信がありません」とは絶対にいいません。外部からはどのような対策を行っているのか、経営者や現場がセキュリティをどう考えているのかは分かりにくいのが現状です。そうなると、もはや利用者にできることは、慎重になるしかありません。ITmedia
その後、コーナンPayについては、侵入元は中国からであるという情報とともに自社検証の結果、被害金額は無かったと発表されました。

コーナン「金額被害はなし」電子マネー不正アクセスで(日本経済新聞 19/8/2)

ただ、カネが流出してなかったから良しという話ではなく、一番知りたいのは(公開できる範囲での)手口情報や脆弱性の原因と併せて、ポイントや現金など換金性のあるもの以外の何が狙われたのかではないかと思います。500件程度の不正アクセスですし、大きな影響はないと思ったのか、あまりきちんとした説明もコーナン商事の公式サイトには見当たらず、せっかく好業績で頑張っている会社さんなのですからもっときちんとセキュリティ関連も開示してほしいと思ってしまう今日この頃です。