7月1日のサービス開始からわずか1ヶ月で廃止が発表された7pay。7月2日には早くも不正利用が発覚し、翌3日にはチャージ利用を、4日には新規入会をそれぞれ停止するなど、コンビニの覇者らしからぬ展開を見せてしまったセブン&アイ・ホールディングスですが、なぜ7payは開始早々犯罪集団から狙い撃ちされてしまったのでしょうか。ケータイ/スマートフォンジャーナリストの石川温さんが自身のメルマガ『石川温の「スマホ業界新聞」』で探っています。
7payがわずか1ヶ月で「廃止」を発表――不可解な「サービス開始直後の不正アタック」
7payがサービス開始1ヶ月で「廃止」を余儀なくされた。7月1日のサービス開始からわずか2日で数千万回というリスト型アタック攻撃をされ、IDとパスワード、さらにはチャージ用のパスワードが突破された。被害者数は808人、被害総額は3,861万円までになった。実際に不正利用されたセブンイレブンの店舗は全国に及ぶという。
個人的に不可解に感じていたのが、なぜこんなにも早く、犯罪集団から7payが狙われたという点だ。サービス開始してわずか1日、2日の未明には不正アクセスされ、すぐに店舗で不正な買い物が行われている。どう考えても、サービス開始前から狙われていたとしか思えない。
「なぜ、こんなに早く狙われたのか」という質問に対して、セブン・ペイの奥田裕康営業部長は「事前から第三者の準備がされていたかどうかは想像の域を出ない」と回答した。
筆者が想像するに、こんなに短時間に集中して不正アクセスできたのは、もしかすると、セブンiDが事前に流出していたのではないか。犯罪組織が事前に大量のセブンiDリストを保有していれば、短時間に効率よく、アタックを仕掛けることができる。セブンiDが大量に流出している可能性があったからこそ、7月30日にパスワードの一斉リセットをしたのではないか。
今回、パスワードリセットをした理由について、セブン&アイ・ホールディングスの後藤克弘副社長は「セブンiD自体、セキュリティレベルとしてはしっかりとしている認識がある。しかし、やはり安心感という意味で、どこかのタイミングでリセットをしようと思っていた。ただ、大量のお客様が登録されており、その対応準備に時間を要した」と語っていた。
安心感のためにリセットを施したというが、リセットをすれば、不安に思うユーザーもいるだろうし、それによって、ユーザーがサービスから離脱するリスクもある。セキュリティレベルがしっかりしているのなら、なぜこのタイミングで、あえてすべてのユーザーにリセットを強制するのか理解に苦しむ。
今回の会見を見ていると、早々にサービスを廃止することで、7payを切り捨て闇に葬り、なんとかオムニ7を守っていきたいというセブン&アイ・ホールディングスの本音が見え隠れする。
会見ではリスト型アカウントハッキングが原因としているが、SNS上の被害者の声を拾うと、リスト型の攻撃では説明がつかないものも見受けられる。おそらく、セブン・ペイとしてはこれ以上、真相を明らかにすることはないだろう。サービス開始1ヶ月で幕引きを図ることで、オムニ7関連への悪影響を食い止めたいのではないか。
グーグルが2要素認証「Titan セキュリティキー」を発売――安全性と利便性は両立するのか
7payのおかげで、「2段階認証」という言葉がすっかり一般化したように思う。国民のセキュリティに対する意識を高めたという点においては、セブン・ペイの小林強社長の功績は大きいと言わざるを得ない。
そんな中、グーグルは8月1日、企業向けクラウド関連イベント「Google Cloud Next 19 in Tokyo」基調講演において、昨年7月にアメリカで発売した「Titanセキュリティキー」の日本発売を発表した。すでに日本のGoogleストアで発売されており、価格は税込み6,000円だ。
Titanセキュリティーキーは、様々なネットサービスのログインにおいて、二段階認証として使える小さなデバイスだ。販売されているものは、PCのUSBポートに挿入するものとBluetoothで接続して使うのものの2つが同梱されている。
グーグルが開発したものだが、FIDOのプロトコルに対応しているため、グーグルのサービスだけでなく、Coinbase、Dropbox、Facebook、GitHub、Salesforce、Stripe、Twitterなどでも利用可能となっている。
TitanセキュリティーキーはユーザーIDとログインURLを検証する。フィッシング攻撃やアカウント乗っ取りに対して耐性の高い2要素認証であり、100%の確率で様々な攻撃から守ることができるという。グーグルでは「すべての人におすすめしたいが、特にIT管理者、役員、政治家、活動家などのリスクが高い人に推奨」としている。
自分も早速、Titanセキュリティーキーを導入し、試して使っているところだ。Titanセキュリティーキーを自宅や自転車の鍵のキーホルダーにくっつけて持ち歩こうと思っている。自分の情報はどこに流出しようとあまり恐怖は感じないが、メーカーなどとメールでやり取りすることが多く、発売前の機密情報などを持っていることもある。そうした取材先のデータを流出させないためにも、Titanセキュリティーキーがあったほうがいいかも、という判断だ。
セキュリティを高めれば、それだけ利便性が落ちるものだ。しばらく使ってみて、どれだけセキュリティが強固になる一方で、不便なことになるのか身を持って体験してみたい。
image by: Ned Snowman / Shutterstock.com