7pay不正アクセス事件の全貌|原因、影響、セキュリティ対策、賠償問題は?7pay事件の教訓:セキュリティ対策の甘さが招いた不正アクセスとサービス終了
セブン&アイのスマホ決済『7pay』は、わずか1ヶ月でサービス終了。不正アクセスとセキュリティの甘さが露呈し、巨額の被害が発生。開発遅延、外部ID連携の脆弱性、そして経営陣のセキュリティ意識の低さが原因と分析。全額賠償発表も、立証の壁や真犯人の不在が課題。この事件は、企業が直面するセキュリティリスクと、その対策の重要性を浮き彫りにした。
💡 7payはサービス開始後1ヶ月で不正利用が多発し、サービスを終了。セキュリティ対策の甘さが露呈。
💡 不正アクセスの原因は、開発の遅延、セキュリティ対策の不足、経営陣の認識不足などが複合的に絡み合った。
💡 全額賠償が発表されたものの、その手続きの複雑さや、根本的なセキュリティ問題の解決には至っていない。
それでは、7pay事件の詳細を、各章に分けて掘り下げていきましょう。
7payサービス開始から終了までの経緯
7payはなぜわずか1か月でサービス終了に?
不正アクセスによる被害発生
この章では、7payがサービスを開始してから終了するまでの経緯を詳しく見ていきましょう。
✅ 2019年7月にサービス開始されたセブン&アイ・ホールディングスの「7pay」は、サービス開始からわずか1か月で不正利用による被害が相次ぎ、セキュリティ対策の甘さが露呈したため、同年9月30日にサービス終了を発表しました。
✅ 7payでは、外部からの不正アクセスによりユーザーアカウントへの不正アクセスや乗っ取りが発生し、被害総額は約3860万円に達しました。原因は、セキュリティ対策の甘さや経営陣のセキュリティに関する認識不足が挙げられています。
✅ 7payの事件は、QRコード決済の普及に伴うセキュリティ対策の重要性を改めて示すものであり、企業はサービスのセキュリティ対策を強化する必要性があることを浮き彫りにしました。
さらに読む ⇒日本のセキュリティ水準を高めるメディア出典/画像元: https://cybersecurity-info.com/news/7pay-service-end/セブン&アイ・ホールディングスによる迅速な対応が見られましたが、被害は拡大し続けました。
セキュリティ対策の強化を試みたものの、根本的な問題は解決されず、サービス終了という結果になりました。
2019年7月1日、セブン&アイ・ホールディングスはQRコード決済サービス『7pay』を開始しました。
しかし、サービス開始直後から不正アクセスと不正利用による被害が発生し、わずか1か月でサービス終了を発表せざるを得ませんでした。
7月2日には、ユーザーから「身に覚えのない利用があった」との報告が相次ぎ、SNSでも不正利用に関する情報が拡散しました。
セブン&アイ・ホールディングスは7月3日に外部からの不正アクセスによる被害が発生したことを公表し、7月4日には緊急記者会見を開きました。
会見では、被害状況や対策について説明されましたが、被害は当初発表された900人、5500万円を超え、最終的には807人、3860万5335円に達しました。
7月5日には、セキュリティ対策プロジェクトを立ち上げ、対策強化を図りました。
しかし、被害は拡大し続け、7月11日には、セブン&アイ・ホールディングス関連アプリの連携サービスを遮断するなどの対応に追われました。
7月30日には、7payと関連商品通販サイト「オムニ7」のパスワードを一斉リセットを実施。
それでも事態は改善せず、最終的には8月1日にサービス終了を発表しました。
なるほど、最初からセキュリティ意識が低かったわけではないんですね。ただ、対応が後手に回ってしまった感は否めませんね。経営陣は、もっと危機管理能力を高めるべきだったと思いますよ。
7pay不正アクセス事件の原因と影響
7pay不正アクセス、何が原因?
開発遅延とセキュリティ対策不足
今回の事件は、脆弱性、ずさんな開発体制、セキュリティ意識の低さが複合的に絡み合った結果と言えます。
公開日:2019/08/02
✅ 7payの開発は、当初の計画から大幅なスケジュール変更を余儀なくされ、特に年末年始に仕様変更と開発業者の交代が行われたことで、開発現場が混乱した状況だった。
✅ システムテストも当初予定から大幅に遅延し、1カ月を切る状態となった。これは、7payと連携するオムニ7側のシステム変更作業が遅延したことが原因と考えられる。
✅ 複数の関係者の証言から、7payの開発は無理なスケジュールで進められ、十分な事前テストや負荷テストが行われていなかった可能性が浮き彫りになった。また、攻撃者がなぜセキュリティーの穴に気づけたのか、今後の解明が待たれる。
さらに読む ⇒|ビジネスインサイダージャパン出典/画像元: https://www.businessinsider.jp/article/194302/開発スケジュールの遅延、テスト不足、そしてセキュリティ対策の甘さが、今回の事件の大きな原因だったことが分かりますね。
企業は、開発体制を見直し、セキュリティ対策を徹底する必要があると思います。
7payの不正アクセスは、リスト型攻撃と7iDのアカウント認証の脆弱性、経営陣のセキュリティへの認識不足が原因と考えられます。
この事件は、企業が提供するサービスのセキュリティ対策の重要性を改めて示すものでした。
7payの開発は、当初は単独アプリとしてリリースされる予定だったものの、2018年末にセブン-イレブンアプリへの追加機能として変更され、開発企業も変更されました。
その後、開発スケジュールが大幅に変更され、システムテストが遅延した結果、セキュリティ面で不備が残ったままリリースされたと考えられます。
開発現場では、オムニ7のシステム変更による遅延や、iOS版アプリの独自登録フローなど、複数の要因が重なり混乱が生じていたことが判明しています。
開発関係者は、特に年末年始のスケジュール変更やテスト期間の短縮によって、充分なセキュリティ対策を実施する時間がなかったと指摘しています。
7payのセキュリティ不備は、急な開発スケジュール変更と度重なる仕様変更が大きな原因と考えられます。
今後、セブン&アイHDは、7payのセキュリティ対策強化や、開発プロセスを見直す必要があるでしょう。
なんだか、最初から無理ゲーだったって感じだよね。開発側の苦労もわかるけど、リリース前にちゃんとチェックしとかないと、こんなことになるってことだね。まじで、ありえないわー。
次のページを読む ⇒
7payのセキュリティ問題。外部ID連携の脆弱性でなりすましログインが可能に!ずさんな対策が被害拡大を招き、全額賠償にも落とし穴。根本的な原因究明と対策が不可欠。