7pay不正利用を個人的な憶測だが、システム開発における事前の情報漏えいがあったと思える。
そして、漏洩元は、オフィシエア依頼先若しくは人材派遣された海外の開発要員。

そして根本には丸投げ体質によるコスト管理のあり方と業界の体質があると思える。

警視庁は、国際的な犯罪組織が関与したとみて捜査を進めているようだ。
事件が公となったのは3日で、その後不正利用件数は約900件、被害総額は約5500万円との続報も公表されるなど、現状では少額決済が主体であるコンビニ専用のQRコード決済とは思えないほどの被害総額の大きさ

容疑者は、中国の無料通信アプリ「微信（ウィーチャット）」で「銀座にいる人いますか？　買い物すれば報酬がもらえます」との書き込みを閲覧。書き込んだ中国人とみられる指示役とアプリ上でつながりを持ったところ、電子たばこ購入の指示を受けた。

その呼びかけは、サービスイン前に行われ、犯行は直後に行われているところを見ると、事前から準備されていたと思える。

7payとPayPay、2つのQRコード決済で起きた不正利用事件は、不正の手法こそ違うものの「クレジットカード情報を登録できるアカウントを簡単に作成もしくは乗っ取れる」というシステムの脆弱性を突いている点では同じである

単に悪意ある第三者が直接被害者を狙うといった犯罪ではなく、すでに広く出回ってしまっているクレジットカード情報やメールアドレスなどの個人情報を悪用するための「踏み台探し」が行われているという証拠

犯罪のターゲットはユーザーではなくセキュリティ意識の薄い企業。

ファミペイではなく7payがターゲットになったのは、その仕様に不備があったためだが、その仕様をサービスイン前に知り得たのは、開発情報の事前漏洩があればであろう。

現在、システム開発の構図は以下のようなものだ。

エンドユーザ

元請け
大手SIerだが、更に下に、
↓
2次請
独立系SIerまたは中小規模の国内開発請負
↓
3?n次請
SIerのパートナー等でシステム開発を行っており、実際の作業の大半は、ここの3?n次請が行う

大手SIerのグループ会社
↓
独立系SIer中規模企業（数百名規模）
↓
独立系SIerグループ企業
↓
独立系SIer小規模企業（数十名規模）
↓
人材派遣
↓
海外人材派遣斡旋会社
↓
海外の開発部隊

または、
大手、独立系ともに海外に子会社を持ち、
システムの開発コストを抑える目的で、オフショア開発という手法を採用する。

開発作業の工程である製造工程、テスト工程を切り出し、それらの工程を海外のベンダーに任せる。
海外のベンダーに作業依頼を行うことで、人件費の兼ね合いからコストを抑えることが可能です。
オフショア開発の人気国として有名なのは、中国やインド、ベトナムがあげられます。

特に中国が日本語可能な人材が多く、さきがけとなってきたが近年は人件費が上がりかつ非常に人材流動性が高い。国営企業以外では特に能力重視かつ膨大な人的リソースによる個人間での競争社会は帰属組織に対するロイヤルティは希薄だ。

人件費がシステムの開発コストの大半であるため、発注者からコスト削減のプレッシャーやSIer間での競合は、人件費削減がコストを抑えるまたは利益率を確保することが最重要事項

結果として、開発の現場に中国人リソースがあると思えてしまう。
犯罪組織が現地でアクセスすることは容易。人材流動性が高いということは、離職及び転職が頻繁であり、必ずしも開発環境にアクセスする必要もなく入手が可能。

さらにいえば、組織的ではなく、仕様を知りえた個人が行うことも十分可能に思える。
SNSを使えば、実行犯は観光目当てな一般人に呼びかけて可能。
盗品の現金化は、フリマアプリまたは、ECサイトへの出品を海外で行えば足もつかない。

www.businessinsider.jp

 

問題1. 登録メールアドレスの問題
まず、会員登録時にIDとしてメールアドレスを登録させるが、その有効性や本人確認をしておらず、｢他人のメールアドレスでも登録｣できた。

問題2. 本人確認の問題

登録するスマートフォンが本人のものか考慮されていなかった。
海外IPアドレスからのアクセスはブロックするなどの対策は、そもそもしておくべきだった。実際、攻撃が海外IPから行われたことが明らかにされている。事前対策の不備が明らかになった形だ。

問題3. パスワードリセットにまつわる複数の不備

7payでは登録メールアドレスとは別のメールアドレスも指定できた

パスワードリセットのための本人確認として｢生年月日｣が要求されたことだ。
さらに、会員登録時に生年月日を設定しない場合、｢自動的に指定の年月日で設定される｣という問題もあった。これではメールアドレスが分かれば誰でもパスワードリセットをして好きなパスワードに設定できてしまう。

なぜ脆弱な状態でサービスインしてしまったのか

7payのクレジットカード登録では、本人確認のための認証である｢3Dセキュア｣が必須となっており、本人確認をする必要性は認識していたはずだ。それにも関わらず、7pay自体は本人確認の手段が脆弱で、設計が中途半端になっている。

根本的な再設計が必要ではないか？

business.nikkei.com

 

原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。

　セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イレブンアプリで使われていた7iDは、メールアドレスと電話番号などが分かればパスワードのリセットが可能で、かつ第三者が別の端末で乗っ取ることが可能な状態になっていた。また、パスワードの漏洩時でも第三者が悪用できないようにする2段階認証の仕組みが備わっていなかった。

　7iDはもともと2015年11月に開始したセブン＆アイグループの総合通販サイト「オムニ7」用の「オムニ7会員」が名称変更したものだ。これまでは、乗っ取ったとしても割引クーポン程度しか入手できなかったため、悪意ある利用者が攻撃する価値はなかった。

　しかし、セブンペイが始まり、7iDとのひも付けが始まった瞬間に「名義書き換えが可能なお財布」へと変わってしまった。オムニ7時代から抱えてきた「不発弾」が、ここにきて突然爆発した形だ。

news.livedoor.com

 

◆ネットでは、社内体制が透けて見えるとの意見が

　情報技術が分かっていないトップに、下からの意見がくみ上げられない社内の空気。

「さすがに現場の技術者は、この仕様のやばさを理解していたはず」「上司に握りつぶされた」「言っても理解されなかった」「言えない空気が現場にあった」そうした数々の推測がネットに上がっていた。

　開発は、外部の業者に出しているはずだ。そこからの意見を受け付けない社内体制があったのではないか。

元々、セブンイレブンが使っていた会員システム「7iD」は、割引クーポンぐらいしか盗むものがなく、攻撃対象になっていなかった。その低セキュリティだった共通基盤に決済機能を載せたために、誰でも振れる打ち出の小づちが誕生してしまった。

　今回の件は、単なるセキュリティ的な問題ではなく、大企業の経営陣の情報技術への感度の低さの問題に見える。

　IT系企業では昨今「心理的安全性」という言葉が注目されている。この言葉は、アメリカの Google が、2015年に発表したレポートにある。チームを成功へと導く5つの鍵の1つ、そして全ての土台になるものだ（Google re:Work）。

　昔からある日本語で置き換えるなら、社内の風通しのよさといったところか。上下の別なく意見を言え、それで咎められず、社内での立場も悪くならない。チームを成功に導くには、そうした環境が必要だというものだ。

diamond.jp

 

コンビニ創業の成功体験に自信
IT人材が払底
　セブンの今回の失態は、長くこだわってきた「自前主義」が、専門外のITの世界で通用しなかったことが大きい。

　なぜ、セブンはそこまで自前主義にこだわるのか。総合スーパーのイトーヨーカ堂などを擁するグループ内で圧倒的な力を持つのは、国内コンビニを展開するセブン-イレブン・ジャパンだ。日本独自のコンビニというビジネスモデルを創り上げたのが彼らであることは間違いない。

www.itmedia.co.jp

 

警視庁新宿署に詐欺未遂容疑で逮捕された中国籍の容疑者（22）＝住所、職業不詳＝が「7、8人の名義のIDとパスワードを使った」と供述していることが5日、同署への取材で分かった。

逮捕容疑となった電子たばこカートリッジ40カートン（計20万円）を含め、146カートン（計73万円）を不正決済していたことも判明。運転手役だったワン容疑者の車からは19カートンが見つかっており、別店舗で詐取した可能性があるという。

容疑者は、中国の無料通信アプリ「微信（ウィーチャット）」で「銀座にいる人いますか？　買い物すれば報酬がもらえます」との書き込みを閲覧。書き込んだ中国人とみられる指示役とアプリ上でつながりを持ったところ、電子たばこ購入の指示を受けた。ワン容疑者は別の人物から指示役を紹介されたという。

　逮捕された2人に面識はなく、犯行直前に合流。報酬は張容疑者が1カートン当たり300円、ワン容疑者が日当1万5千円を受け取る予定だった。警視庁は、国際的な犯罪組織が関与したとみて捜査を進める。

blogos.com

 

個人認証（本人確認）という観点から着目すべきポイントは3点あります。
・本人登録の際、iPhoneなどiOS端末向けのアプリでは生年月日や性別などの入力が任意であり、入力しなかった場合「2019年1月1日・女性・東京都」というデフォルト値が自動設定されていた

・パスワードを忘れた際などに用いられるパスワードリセットメールを、任意のメールアドレスへ送信できる仕様だった

・本人登録の際、SMSやメールなどによる2段階認証が設定されていなかった

お粗末さですが、このシステムがこれまで同社のnanacoカードやオンライン通販サイト「オムニ7」などでも数年にわたり採用されていた

以下のような犯罪プロセスであったと推察されます。
1. 悪意ある第三者が、何らかの方法で事前に7payのログインID（7iD）として利用可能なメールアドレスと電話番号を取得（実際に7payを利用しているかどうかはこの時点では問題外）

2. 悪意ある第三者が取得したメールアドレスと電話番号、さらに生年月日を「2019年1月1日」と設定して無作為にパスワードリセットメールを自分のメールアドレス向けに送信

3. 応答のあった7iDのパスワードリセットを行い、アカウントを乗っ取って不正に利用

別端末からアクセスが行われた際の2段階認証の仕組みが存在しないため、過去の個人情報漏洩などでパスワードも流出していた場合、パスワードリセットなどを必要とすることなく簡単に第三者の端末からアクセスできてしまう状態だったこともまた、被害を大きくした要因の1つ

事件が公となったのは3日で、その後不正利用件数は約900件、被害総額は約5500万円との続報も公表されるなど、現状では少額決済が主体であるコンビニ専用のQRコード決済とは思えないほどの被害総額の大きさ

犯罪者はリターンに見合わないリスクを取ろうとはしません。犯罪の方法や手段は違うものの、こういった「犯罪の手間を増やす」、「犯罪のメリット（リターン）を減らす」というのは、非常に大きな犯罪抑止効果となります。

headlines.yahoo.co.jp

 

使いやすさを優先しすぎた？
そもそも、一般的な通販サイトで、再設定パスワードの送付先を、登録メールアドレス以外に送れるものはほぼありません。知らない間に他人のメールに送られる可能性があるからです。

さらに近年、多くのサイトでは、パスワード再設定で登録携帯番号を入力し、携帯のショートメッセージに届いた数桁の番号をする「二段階認証」という手法を採用しています。また、本人しか知らない「秘密の質問」を設定するというやり方もあります。

7iDでは、このような標準的なセキュリティ対策が取られていませんでした。さらにiOS版のアプリでは生年月日の設定すら必須ではなく、未設定の場合は「2019/01/01」という初期値を入れれば、誰でもパスワードの変更ができるという状態でした。

前出のエンジニアは「オムニ7のユーザーは主婦が多い。使いやすさを求めるあまり、セキュリティを担保できなくなったのではないか。この脆弱性には以前から目をつけられていたはず。7payと連携されたことで換金性が高まり、このような犯罪が起きたのでは」と推測します。