「7pay(セブンペイ)」が不正利用に見舞われた問題で、セブン&アイ・ホールディングス(HD)は2019年7月16日、被害を確認できた利用者が1574人、被害金額が約3240万円に上ると明らかにした。いったい何が起きたのか。専門家2人に話を聞き、この問題から分かるサイバーセキュリティーの重要性を読み解く。
「あくまで一般論だが、企業のシステムを攻撃して不正アクセスし、何らかの利益を得ようとする側は、ROI、つまり費用対効果を重視する。攻撃側にそれなりの経験があれば、IDやパスワードのリストを外部から購入して片っ端から試すようなリスト型攻撃よりも、Webサーバー上のプログラムの脆弱性を直接攻撃するほうが、手間もコストもかからない。まずはその可能性を探るのではないか」
こう話すのは、アカマイ・テクノロジーズ合同会社Webセキュリティ マーケティング本部プロダクト・マーケティング・マネージャーの中西一博氏だ。
スマートフォン決済サービス「7pay」の場合、運営するセブン・ペイ(東京・千代田)の小林強社長は、「システムの脆弱性テストはきちんと実施している」と2019年7月4日の記者会見で明言した。しかし、Webサーバーなどに外部からの攻撃に対して脆弱性があるかどうかを調べる脆弱性テストは、その性格上、常に実施できる性質のものではない。定期的に実施するにしても、テストとテストの間には間隔が空く。「この間に、攻撃側に新たな脆弱性を突かれる可能性はゼロとは言えない」と中西氏。脆弱性テストを実施すれば安心というわけではなく、テストとテストの間の期間は、セキュリティーの専門家によるモニタリングなどが必要になるわけだ。
サイバーセキュリティーの専門会社スプラウト(東京・中央)の社長で『フェイクウェブ』(文春新書)などの著書もある高野聖玄氏は、「7payで何が起きているかは分からない」と前置きしたうえで、「かつてある企業からの依頼で、闇サイト上にアップされているIDやパスワードを使って、その企業のシステムにリスト型攻撃を仕掛け、システムの強度を測るテストをしたことがある。数多あるIDとパスワードを組み合わせて正規ユーザーのアカウントに成り済ませたケースは、ほとんどなかった」と話す。IDとパスワードを使い回して正規ユーザーのアカウントに成り済ますリスト型攻撃が成功する確率は、それほど高くないというわけだ。
7payの不正利用について言えば、IDさえ分かれば攻撃側が指定したメールアドレスを使ってパスワードの更新が可能になっていた仕様や、競合他社のスマートフォン決済サービスでは当たり前だった2段階認証の備えがなかったことから、IDとパスワードを使い回して正規ユーザーに成り済ますリスト型攻撃をされた可能性が高いとされている。
しかし、7payが実際にどのような不正アクセスを受けたのか、その内容はまだセブン&アイHDから発表されていない。サービス開始時期が既に決まっている中、システムの仕様が急きょ変更され、“突貫工事”でシステム開発を進めたため、脆弱性をカバーしきれていなかったという可能性は取り沙汰されている。また、今回の不正利用を主導したグループは、不正アクセスで成り済ましたアカウントを使ってセブンーイレブンで商品を購入する役割の人間を事前に多数用意していたとみられることから、周到な計画を練って、計画実現の可能性が高いと踏んで、コトに及んだと考えるのが自然だろう。
仮にWeb上からアクセスできる7payのAPIサーバーの脆弱性を攻撃側に突かれ、突破されていたとしたらどうか。攻撃側はAPIサーバー内のデータにほぼアクセスできていた可能性が高く、データの大半が不正アクセスを敢行した攻撃側に流出した可能性が生じる。その場合、被害に遭った人数や金額は今後も増える可能性があり、場合によっては利用者の多くにIDの再設定(取り直し)を依頼することにもなりかねない。そうなれば、セブン&アイHDにとって、今以上に大きな痛手になることは間違いない。同社は早急に調査結果を公にする必要があるはずだ。
現場からのボトムアップができる仕組みの構築
では、企業が今回のセブン・ペイ、セブン&アイHDと同じような目に遭わないためには、どこに注意すればよいのか。当たり前のようだが、情報システムを使ってビジネスを展開する際には、セキュリティーに対する目配りと投資が必須であることを、企業の経営陣が認識することが、まず大切になる。
大企業や中規模の企業グループの場合、社内やグループ内にサイバーセキュリティーの専門家が皆無という事態は考えにくい。自社のシステムを使ってビジネスを進める場合、システム開発・運営部門の現場では、セキュリティー保持のため、どの程度の投資が必要か分かっている場合が多い。中西氏は、「こうした情報が企業やグループの中で、ボトムアップで上がってくる仕組みを作ることが大切」と話す。
ボトムアップで上がってくる情報とトップダウンで下りてくるセキュリティー重視の意識の両方がそろえば、どれくらいのコストをかけてセキュリティーを保持し、どのくらいの収益を当該のビジネスから得られるかという議論ができることになるからだ。規模が小さかったり、人材が不足していたりして、自社ではサイバーセキュリティーの専門スタッフを抱えられないという企業については、外部のセキュリティー専門会社の力を借りるという手もあるはずだ。
ところが、「ここで問題が生じている」と指摘するのは高野氏だ。「日本には、セキュリティーに詳しいIT系の人材が圧倒的に少ない。攻撃側に成り代わって実際に企業を攻撃するテストなどを実施できるセキュリティー専門会社も少ない」というのだ。実際、IT系の若手エンジニアの多くは、ソーシャルゲームの開発やFintech関連サービスの開発など、短期的に収益が期待でき、市場規模も大きくなりそうな産業分野に流れている。ある意味で当たり前のことだ。
その結果、ネット広告ビジネスの多くを米グーグルと米フェイスブックに持っていかれているように、「今後ニーズが急増しそうな日本のサイバーセキュリティー対策市場も、その大半を外資に持っていかれることになる可能性が高い」(高野氏)という。
海外では軍需産業がサイバーセキュリティーに投資
依頼する側の企業にとって、セキュリティーサービスを提供してくれる会社が日本の会社か外資かは、それほど重要ではないかもしれない。しかし、「今後、サイバー上の戦いがますます頻繁に発生し、企業を標的にするようなケースが増えた場合、現状は日本企業にとってマイナスでしかない」と高野氏は指摘する。
GAFAに個人情報が集中するのを避けるために、欧州ではGDPR(一般データ保護規則)を制定し、日本では情報銀行というビジネススキームをスタートさせた。放っておけばサイバーセキュリティーの分野でも、個人情報を巡って起きた「米国の少数の企業にすべてが集中する事態」が起きかねない。そうさせないためには、日本でもサイバーセキュリティーに詳しい人材を育成しなければならないというわけだ。
海外、特に米国やイスラエルでは、サイバーセキュリティーの技術開発に最も投資し、人材育成にも力を入れているのは軍需産業だ。日本の産業からは、このピースがすっぽり抜け落ちている。その現実を踏まえつつ、今後、日本の企業はサイバーセキュリティーの在り方について、考えていく必要がありそうだ。
(写真提供/Shutterstock)
