7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱

　7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。

決済業界の中の人・めるかば氏も被害

　7payの事件では、多くの被害者が経緯をTwitterでリポートしています。そのなかでもっとも信頼できる情報を発信されているのが、めるかば氏です。めるかば氏は、ある企業で決済の仕事をされており、まさに今回の事件が起きた同じ業界にいらっしゃる方です。めるかば氏に伺った話から、被害の経緯をまとめます。

めるかば氏の被害経緯

・7月１日：7payサービス開始にともない登録。5,000円チャージし、1度決済

・7月3日朝：7payを利用。なぜかログアウトされており不審に思ったが、ログインして決済（通算2度めの決済）

・同日12時過ぎ：クレジットカードチャージのメールが届く。3万円のチャージが10回行われ、30万円のチャージ被害。8～9万円ずつセブンイレブンで不正決済被害

・同日メール到着30分後：メールに気づく。セブンイレブンアプリを起動するもログアウトされていた。パスワードは変更されていなかったのでログインし、画面上の履歴から不正チャージ・利用があったことを確認。アプリの操作がうまくいかない（犯人とのログイン合戦になっていた可能性もあるとのこと）

・同日午後：コールセンター電話がずっとつながらず。先にクレジットカードを止める。7payのウェブから問い合わせるも、「不正利用があった可能性があるのでコールセンターへ電話」というコメントが返信される

・7月4日午後：ようやくコールセンターにつながる。不正利用があった旨を伝え、折り返し連絡待ちとなる。

使用していたパスワードについて

・クレジットカードの登録にあたっては、3Dセキュアでの登録認証を行っている

・セブンイレブンアプリへのログインパスワードは16桁

・チャージ用の認証パスワードも16桁

・ふたつのパスワードは同一ではなく、いずれも使い回しなし

　被害の直接的な原因はまだわかっていませんが、めるかば氏の経緯から推測できることがいくつかあります。

不正利用には2つのパスワードが必要

　7payで犯人が不正利用するには2つの関門があります。セブンイレブンアプリのログインID・パスワードと、クレジットカードチャージのための認証パスワードです。簡単に図にまとめました。

　このように2つの認証要素がないと不正利用はできません。2つのパスワードは異なるものでアプリのログインパスワード（7iD）は8桁、チャージ用の認証パスワードは6桁で、なぜか英語の大文字を使えない仕様となっています。

　犯人はこの2つの認証要素を知っていたことになります、どうやって入手したのでしょうか。めるかば氏の被害実態とパスワードを元に考えてみます。

パスワードリスト攻撃は考えにくい

　まずセブンイレブンアプリのパスワードですが、めるかば氏は16桁で使い回しをしていません。パスワードリスト攻撃は「ユーザーが他のサイトと同じパスワードを使い回す」ことが原因です。使い回しをしていなかったのであれば、それ以外の原因を考えるべきでしょう。

　そして問題はクレジットカードチャージ用の認証パスワードです。これは7月1日の7payスタート時に、ユーザーが登録時につくるものです。つまり事前に犯人が知ることはできません。そのため犯人による総当たり攻撃・辞書攻撃は時間的に間に合わないでしょう。また、めるかば氏は16桁で使い回しなしの認証パスワードを使っています。パスワードリスト攻撃はあり得ないでしょう。

　なお、めるかば氏によると、パスワードはリセットされていないとのこと。不正利用被害後もめるかば氏はログインできていますから、セブンイレブンアプリのログインパスワード、チャージの認証パスワードのどちらでもリセットによる乗っ取りではありません。

セブンイレブンからの漏えい可能性

　不正利用の原因は大きく分けると、ユーザーが原因のもの（パスワードが単純・使い回し・ウイルス感染など）と、運営側の原因（侵入されての漏えい、内部不正など）の2つがあります。めるかば氏の状況やTwitterの声を見る限り、現時点ではユーザーが原因とは思えない状況です。セブンイレブン側の問題だと疑ったほうが自然です。

　セブンイレブンでのセキュリティの甘さ・脆弱性については、さまざまな指摘がされています。高木浩光氏は、サポートチャットで認証パスワードをリセットできてしまうなど多数の問題点・脆弱性を指摘しています。また、筆者が別記事にまとめたように、生年月日・電話番号でセブンイレブンアプリのログインパスワードがリセットできてしまう・二段階認証がないという問題があります。

『7payクレジットカード不正利用：第三者乗っ取りがあり得る致命的な2つの弱点』(Yahoo!ニュース個人)

　そしてセブンイレブン通販サイト・オムニ7では以前もトラブルが起きていました。

【7pay セブンペイ】不正利用の個人的な背景予想　2013年系列15万件流出事件→オムニ7→7pay（ぺぺぺ！ペイランド）

　これらの状況を見ると、セブンイレブン側のセキュリティは信頼できるとはいえません。不正利用の原因は、状況から見てセブンイレブンから情報漏えいを疑うべきでしょう。

どうか情報公開をして信頼を回復してほしい

　セブンイレブン側の問題が原因だったとして、怖いのは「被害を拡大させないため、手口は発表しない」となることです。大企業でのインシデントではあり得ることです。

　しかし今回のトラブルは、一企業だけの問題ではありません。経産省がガイドライン遵守とセキュリティレベル向上の要請を出していることからわかる通り、スマホ決済・コード決済全般の信頼を失わせるものです。このままでは「スマホ決済は怖いもの」と思う人が増えます。キャッシュレス決済の普及にブレーキをかけてしまうのです。

　セブンイレブンは徹底した原因究明をした上で、情報を公開することを望みます。問題点と対策を共有することで、スマホ決済全体のセキュリティを向上させ、信頼を回復することに繋がります。「二次被害防止のため」などの理由でうやむやにせず、きちんとした情報公開をしてほしいと願っています。