「7pay(セブンペイ)」が不正利用に見舞われた問題で、セブン&アイ・ホールディングス(HD)は2019年7月16日、被害を確認できた利用者が1574人、被害金額が約3240万円に上ると明らかにした。いったい何が起きたのか。専門家2人に話を聞き、この問題から分かるサイバーセキュリティーの重要性を読み解く。

7Payは、サービス開始前の期待の大きさを裏切った格好になる
7Payは、サービス開始前の期待の大きさを裏切った格好になる

 「あくまで一般論だが、企業のシステムを攻撃して不正アクセスし、何らかの利益を得ようとする側は、ROI、つまり費用対効果を重視する。攻撃側にそれなりの経験があれば、IDやパスワードのリストを外部から購入して片っ端から試すようなリスト型攻撃よりも、Webサーバー上のプログラムの脆弱性を直接攻撃するほうが、手間もコストもかからない。まずはその可能性を探るのではないか」

 こう話すのは、アカマイ・テクノロジーズ合同会社Webセキュリティ マーケティング本部プロダクト・マーケティング・マネージャーの中西一博氏だ。

Webベースの不正アクセス攻撃の種類は主に3種類ある<br>アカマイ・テクノロジーズの図を基に編集部で作成
Webベースの不正アクセス攻撃の種類は主に3種類ある
アカマイ・テクノロジーズの図を基に編集部で作成

 スマートフォン決済サービス「7pay」の場合、運営するセブン・ペイ(東京・千代田)の小林強社長は、「システムの脆弱性テストはきちんと実施している」と2019年7月4日の記者会見で明言した。しかし、Webサーバーなどに外部からの攻撃に対して脆弱性があるかどうかを調べる脆弱性テストは、その性格上、常に実施できる性質のものではない。定期的に実施するにしても、テストとテストの間には間隔が空く。「この間に、攻撃側に新たな脆弱性を突かれる可能性はゼロとは言えない」と中西氏。脆弱性テストを実施すれば安心というわけではなく、テストとテストの間の期間は、セキュリティーの専門家によるモニタリングなどが必要になるわけだ。

 サイバーセキュリティーの専門会社スプラウト(東京・中央)の社長で『フェイクウェブ』(文春新書)などの著書もある高野聖玄氏は、「7payで何が起きているかは分からない」と前置きしたうえで、「かつてある企業からの依頼で、闇サイト上にアップされているIDやパスワードを使って、その企業のシステムにリスト型攻撃を仕掛け、システムの強度を測るテストをしたことがある。数多あるIDとパスワードを組み合わせて正規ユーザーのアカウントに成り済ませたケースは、ほとんどなかった」と話す。IDとパスワードを使い回して正規ユーザーのアカウントに成り済ますリスト型攻撃が成功する確率は、それほど高くないというわけだ。

 7payの不正利用について言えば、IDさえ分かれば攻撃側が指定したメールアドレスを使ってパスワードの更新が可能になっていた仕様や、競合他社のスマートフォン決済サービスでは当たり前だった2段階認証の備えがなかったことから、IDとパスワードを使い回して正規ユーザーに成り済ますリスト型攻撃をされた可能性が高いとされている。

 しかし、7payが実際にどのような不正アクセスを受けたのか、その内容はまだセブン&アイHDから発表されていない。サービス開始時期が既に決まっている中、システムの仕様が急きょ変更され、“突貫工事”でシステム開発を進めたため、脆弱性をカバーしきれていなかったという可能性は取り沙汰されている。また、今回の不正利用を主導したグループは、不正アクセスで成り済ましたアカウントを使ってセブンーイレブンで商品を購入する役割の人間を事前に多数用意していたとみられることから、周到な計画を練って、計画実現の可能性が高いと踏んで、コトに及んだと考えるのが自然だろう。