「７pay」不正利⽤被害総額は約5,500万円

2019年7⽉1⽇、セブン&アイ ホールディングス関連⼦会社の「株式会社セブン・ペ イ」がモバイル決済サービス「7pay(セブンペイ)」を開始しました。セブン-イレブンア プリを使い全国のセブンイレブン店舗にて⽀払いが可能な、そして、クレジットカード、 デビットカード、現⾦で⼊⾦が出来るチャージ式のサービスです。 しかし、サービス開始２⽇後にクレジットカード、デビットカードによるチャージ機能、 ３⽇後には新登録と現⾦チャージが利⽤停⽌になり、7payは利⽤出来なくなりました。 その原因は、驚くほどセキュリティの脆弱性があるパスワードリセット機能を第三者が悪 ⽤して利⽤者のアカウントに不正アクセスしたことが発覚したのです。 ここではその原因、その反響について、そしてGDPR対策でどのように似たような攻撃 を防ぐことが出来るか解説します。 

事件発⽣の経緯

サービス開始後、ツイッターに不思議なメール、アカウントのログアウト、クレジットカード不 正利⽤があると利⽤者は投稿しました。ジャーナリストとツイッターユーザーの最初の調査によ ると、パスワードリセット機能でセキュリティリスクが発⾒されました。 通常パスワードをリセットする場合、アカウント登録されているメールアドレスにリセットリン クが送信され、そのリンクをクリックすると新たなパスワードが作れます。 7payの場合、ID番号、⽣年⽉⽇、電話番号が分かれば、どのメールアドレスにもそのリセットリ ンクを送付することが出来たのです。第三者が「送付先メールアドレス」のフィールドに⾃分の メールアドレスを⼊⼒すれば、簡単にパスワードを変更することができました。つまり、ログイ ンしてアカウントの情報にアクセスし、不正利⽤も容易でした。
 
過去に起こった数千のデータ侵害で盗まれたデータから、第三者が該当者のメールアドレスと電 話番号を⾒つけることは簡単です。更に、⽣年⽉⽇は必ずしも⼊⼒しなくともよく、デフォルト は2019年1⽉1⽇に設定してあることを公開しています。多くのユーザーが変更していない可 能性が⾼いので、多くのアカウントに簡単にアクセスできたのです。 そうでなくても、第三者はフィッシング攻撃等で、⽣年⽉⽇、電話番号を⼊⼿することが可能で す。更に、⼆段階認証の機能もありません。 このパスワードリセット機能が原因であったかはまだ判明していませんが、2⽇以内（7⽉3⽇ま で）に被害者約900⼈で被害総額は約5,500万円に上ります。

反響

アプリ試験、監査不⾜であることは明らかです。その為、以下のダメージが発⽣しました。 

• 社会的な物議になる。「セブンイレブンを信⽤できない」、「すぐに7payの利⽤をやめること を勧めざるを得ません。」とヤフーのITジャーナリスト。
• 7pay 以外のセブンイレブンアプリに信⽤に⼤きなダメージ。会社内で他の部からの怒り。
• 総モバイルペイの信⽤ダメージ。「ファミペイを使っている⽅は多くないですね。7payと関係 あると想像できます。」とファミリーマートの従業員。
• 勿論、5,500万円の返済。
• 早速に具体的なアプリの全体監査の発表。これも⼤きな費⽤の負担になる。
• 顧客の不快感。個⼈情報である名前、⽣年⽉⽇、アプリの取引、クレジットカード情報等が第 三者に⾒られたのか不明なため。

 
GDPR対策で防⽌

今回はGDPR対応域外での事件でしたが、GDPRのデータ管理、データセキュリティに関しての ３つのコンセプトをご紹介します。 １つ⽬は「データ保護・バイ・デザイン」、２つ⽬は「データ保護影響評価」、３つ⽬は「デー タ保護オフィサー」です。 この３つのコンセプトを遵守することで7payのようなデータ侵害は阻⽌出来るでしょう。  

1．データ保護・バイ・デザイン （Data Protection by design）  

GDPR第25条で定めているこのコンセプトは最新のリスクがある処理、製品を設計する際、企業 は技術標準を考慮しなければならないというものです。これには、専⾨家からの推奨、広く受け ⼊れられているベストプラクティスも含まれます。サービスを開発する際には、技術標準を考慮 し、最善の措置をとることが必要です。
 
セキュリティを強化するための対策は第３２条に記載されています。例えば、「安全を確実にす るため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス。」 7payのように多くの⼈々の個⼈情報を含む、第三者がデータ侵害を狙うようなサービスを開始す る前に、セキュリティ監査を⾏うことで、問題点を発⾒し、⽐較的に低コストで修正することが 可能です。これは、事件後の監査のために⽀払わなければならない費⽤のほんの⼀部にすぎない でしょう。
 
今回の事件の場合、「登録されたメールアドレスにのみパスワードリセットリンクを送付する」 という最善の措置をしていれば、全く問題にならない可能性が⾼いでしょう。  

2．データ保護影響評価 （Data Protection Impact Assessment / DPIA）

GDPR第35条はアプリ、サービスに関して効率的なワークフローを設計するための、企業に有益 なツールの⼀つです。 DPIAの間、関連するチーム（マーケティングも含む）は最悪のシナリオを想像し、それらを防⽌ する対策を⾒つけ、リスクを評価する必要があります。 したがって、DPIAは、データ侵害または関連する問題が早い段階でもたらす可能性のあるすべて のリスク⼀覧を作成し、対策を考慮するための効率的なワークフローを提供します。
 
リスクが早期に特定されれば、急がず解決策を⾒つけ実⾏することが可能になります。コスト削 減等のメリットもある⾮常に有効な⼿段であるとされています。  

3．データ保護オフィサー 

データ保護オフィサーは社内コンプライアンスを監視するだけでなく、GDPR、ITの専⾨家とし て、サービス、製品、アプリの開発の各段階において重要な洞察することが可能です。計画中に は、潜在的な問題を早期に察知し、開発中には、定期的なコンタクトでユーザーエクスペリエン ス、または安全性に関する決定を導き、リスクを軽減することが出来ます。 その後、最終段階の点検の際、その分野の専⾨家として該当する規制の遵守の確認する 際、重要なISO 27001等の国際規格、またはNIST  （アメリカ国⽴標準技術研究所） や BSI （ドイツ連邦政府においてコンピュータと通信のセキュリティ担当部⾨）NCSC（国 ⽴コンピュータ保安センター）等の機関の推奨事項を遵守します。
 
データ保護オフィサーを指定する際、GDPRについての知識だけではなく、ITセキュリティとベ ストプラクティスにも深く精通してることを確認してください。 Enobyteでは各ステップに沿って専⾨知識を提供し、⽀援いたします。

 

人事は「勘と経験」からデータ主義へ　HRテクノロジーの世界、新サービス次々 (朝日新聞 Globe+; 株式会社Enobyte インタビュー)。