サービス開始からわずか1カ月。セブン&アイ・ホールディングスは1日、スマートフォン決済サービス「セブンペイ」を9月末で廃止すると発表した。
サービス開始から150万人が登録したものの、不正アクセスを受けて被害は808人、約3860万円。セキュリティーの強化案を発表するなど再起に向けた取り組みも行っていたが、最終的な結論は9月末でのサービス廃止だった。
セブンペイは「2段階認証」を導入していないなど、セキュリティーの甘さが指摘されていた。1日の会見では、攻撃方法について「攻撃者が不正に入手したID・パスワードのリストを用い、セブンペイ利用者になりすまして不正アクセスを試みる、いわゆる“リスト型のアカウントハッキング”である可能性が高い」と説明した。
不正に入手したIDとパスワードで、様々なサービスへのログインを試みる「リスト型アカウントハッキング」。複数のサービスでパスワードを使い回す人も多いため、長い間攻撃手段として使われてきたものだ。セブンペイは登録されていないIDでログインしようとする形跡が多くあったため、この攻撃手段が用いられたと分析している。
しかし、この説明だとそのような古典的な手法すら防げないセキュリティーだったということなのか。この問題を取材するITジャーナリストの石川温氏は、会社側の説明は「腑に落ちない」としている。
「色々なTwitter上でのやり取りを拾っていくと、『今回初めて作ったセブンペイパスワードを使っていた』とか、『パスワードを自動的に作るような仕組みでパスワードを作ってログインした』という話をしていて、必ずしもリスト型に当てはまらないケースもあるので、セブンペイ側の説明には腑に落ちない部分も多々ある」
石川氏は「他の攻撃方法の可能性もある」としたうえで、サービスの構造自体に問題があったのではと指摘している。
「セブンペイ単体のサービスであれば2段階認証も入れられただろうし、セキュリティーに対して充実したものができたと思う。セブンペイの場合は、セブン&アイHD全体のサービスとの連携を図ったうえでのサービス展開だったというところだと、他のセキュリティーの甘いサービスと組み合わせてしまったことによって、結果としてセブンペイのセキュリティーが甘くなってしまった」
(AbemaTV/『けやきヒルズ』より)
▶「メルペイ」が“最大70%還元”キャンペーンを開始
この記事の画像一覧
