ブログ

Blog

7ペイ事件の本質

今回の7ペイ事件、問題の本質は7ペイというスマホ決済を独自に作ったのではなく、既存のomni7というECサイトをベースに7ペイの機能を建て増ししたところにあるのではないか。omni7は単なる通販サイトであり、決済機能を担うプラットフォームとしてはかなり手を抜いた仕組みのようだ。例えば、現時点ですら、omni7にログインした状態からIDやメールアドレスはパスワードなしで変更可能だし、その結果通知も、何を変えても同一内容で、確認のしようがない。そのIDやパスワードやメールアドレスが7ペイと共用されているのだから、セキュリティが弱くなるのは当然といえる。既存の建て増しで急いで構築した構想に無理があったのではないか。

150万人の7ペイ利用者のほとんどは、スマホから新規に会員登録したと思われるので、そもそもomni7と認証情報が共有されていることすら知らないだろう。記者会見で「海外からの不正アクセスを止めた」とあったが、理解できない人も多かったはずだ。omni7のセキュリティ要件は、ネットバンクのそれとは比較にならないくらい緩いが、ECサイトで決済機能が別建てであれば、たいして悪いことはできないから、問題にならなかったのだろう。

今回の攻撃は、アプリの利用開始の翌日に、かなり大規模に行われている。多分、攻撃したグループは、omni7に7ペイが建て増しされることを事前に察知して、omni7への攻撃方法を周到に準備していたのではないか。だとすれば、店頭でタバコなどを買った実行犯は「出し子」に過ぎず、全容解明は容易ではないかもしれない。