出典:FNN
セブンイレブンやセブン&アイ・ホールディングスで使用できるバーコード決済アプリ、セブン・ペイの不正利用問題で4日、株式会社セブン・ペイの小林強社長が記者会見を開き、二段階認証を知らなかったとして物議を醸しております。
今回は、小林強社長のwiki経歴や、不正利用の原因などについて迫ってみたいと思います。
セブンペイで不正利用相次ぐ
マイナビニュース他、メディア各局が以下のようなニュースを報じ、話題となっています。
セブン&アイ・ホールディングスがセブン-イレブン店舗で利用できるコード決済7payを7月1日にスタート。しかし、わずか2日で、不正利用によって多額の被害を被った被害者が続出している。
セブン&アイではクレジットカード・デビットカード経由でのチャージを停止したが、対策が後手に回っていることは否めない。
7payは、セブン-イレブンアプリにログインして、さらに7pay利用登録をすれば利用可能になるコード決済。クレジットカードやデビットカードでのチャージに対応しており、同日開始されたファミリーマートのFamiPayとあわせ、流通大手の参入で注目されていた。
7payは、1アカウントにつき1端末でしか使えず、別端末でログインをすると、元の端末ではログアウト状態になる。これ自体は決済サービスでは一般的だが、通常はSMS認証などで本人かどうかを確認するところを、7payではそうした仕組みがなく、そこを狙われたとみられる。
(ー中略ー)
出典:マイナビニュース
セブンペイについて
セブンペイについては、利用方法やログインの仕方などについてこちらの記事で詳しく解説をしておりますので、よろしければご覧下さい。
不正アクセスの原因はセブンペイの脆弱性にある
このトラブルの主な原因としてあげられるのが、登録していないアドレスにもパスワード再発行アドレスが送れてしまうという点で、この方法を利用して第三者がパスワードを変更したことが原因であると言われております。
基本的にスマホ決済アプリというのは、1アカウントにつき1端末でしか使えず、別端末でログインをすると、元の端末ではログアウト状態となるのが普通であり、セブンペイでもこのようなシステムを導入していたのですが、一般的な場合は二段階認証と呼ばれるSMSへ送られてくるパスワードを入力する認証方法を駆使して認証を行うのに対し、セブンペイではそうした仕組み作りがされておらず、二段階認証をしていなかったために、このような不正利用が多発したのだと言われております。
ちなみにですが、セブン・ペイのシステムそのものはNTTデータ、NEC、NRI、OracleというIT企業でも大手の会社がシステムの開発に関わっているということです。
同社のオムニシステム開発プロジェクトは、2013年8月にスタート。業務検討で10カ月、システム開発で15カ月を要したという。
システム開発にあたっての課題は、さまざまな業態が混在するマルチカンパニーである点と、各システムが13社のマルチベンダー化しており、
これらの環境をまとめることが大変な点だった点だという。これに対し同社では、チームITの考えで、NTTデータ、NEC、NRI、Oracleの4社のITベンダーのチームで開発し、成功したという。
出典:マイナビニュース
記者会見で露呈した小林強社長の無知さ加減
セブン・ペイの不正アクセス問題に関して、株式会社セブン・ペイの小林強社長が2019年7月4日に記者会見を開いたのですが、記者からの質問に対して二段階認証に言葉を詰まらせており、大きな波紋が広がっております。
その動画がこちらです。(※30:50〜あたりから問題のシーン)
朝日新聞の女性記者が「ユーザー登録時に二段階認証をされているサービスがほとんどだと思うんですけど、7payさんでそれをされなかった理由について教えてください」という質問に対して「二段階認証…?」と、小林強社長が言葉を反芻していることが見受けられると思います。
反芻とは言葉を繰り返してよく考えるという意味であり、二段階認証について小林社長は無知であったという最大の証拠であるとみていいでしょう。
反芻をした後、朝日新聞の女性記者が二段階認証について「SMSに来る」などと説明をしていたのですが、それに対してTwitter上では「SMS認証?SMSってツイッターのことですよね、みなさんがツイッターされてるとは限らないですし」と小林強社長は答えていると言われております。(※こちらはデマの可能性もあるということです。)
セブンペイ社長緊急会見要約
「事前のセキュリティ審査で問題なかった」(キリッ)
「2段階…認証…?」
「SMS認証?SMSってツイッターのことですよね、みなさんがツイッターされてるとは限らないですし」— たくと (@takuto_msd) 2019年7月4日
出典:Twitter
SMSとSNSの区別がついていない
このような返答をしたということはつまり、SMSとSNSの区別がついていないとみて間違いないでしょう。
SMSとはShort・Message・Service(ショート・メッセージ・サービス)の略で、携帯電話同士で電話番号を宛先にしてメッセージをやり取りするサービスのことを指しております。
iPhoneですとこのようなアイコンでお馴染みであるでしょう。
対する SNSはSocial・Network・Service(ソーシャル・ネットワーキング・サービス)の略で、人のつながりをインターネットを通じて構築するサービスのことです。
主に、小林社長が指摘したTwitterや他にもInstagram、Facebook、mixi、Tumblrなどがあります。
「SMSってTwitterのことですよね?」と朝日新聞の女性記者に問いただしているということは、完全に聞き間違えたか、そもそもSMSを知らなかかった可能性があります。
二段階認証を反芻している時点で十中八九後者であると推測されますが…。
小林強社長のプロフィールと経歴が豪華
そんな小林強社長の経歴は一体どのようになっているのでしょうか?
こちらにWikipedia風に小林社長の経歴とプロフィールをまとめてみました。
出典:FNN
名前:小林強(こばやし つよし)
生年月日:1957年8月12日
年齢:61歳(※2019年7月現在)
経歴:
| 2004年2月 | 株式会社セブン-イレブン・ジャパン入社 |
| 2005年9月 | 当社執行役員(現任) 当社経営企画部シニアオフィサー(現任) |
| 2009年5月 | 当社取締役(現任) 当社海外企画部シニアオフィサー |
| 2012年5月 | 当社事業推進部シニアオフィサー |
| 2014年3月 | 当社オムニチャネル推進室長(現任) |
| 2018年6月 | 株式会社セブン・ペイ代表取締役社長就任 (株式会社セブン・フィナンシャルサービス取締役専務執行役員兼務) 個人情報保護管理責任者 管理部 |
小林強社長は、2004年46歳の時にセブン-イレブン・ジャパン入社に入社している人物で、翌年から執行役員などを歴任したのち、2018年からは同年に設立された株式会社セブン・ペイの社長を務める人物として知られております。
45歳でセブンに入社ということは、ヘッドハンティングされた可能性も高く、小売業界の経営においてはスペシャリストであった可能性もあります。
そして、定年後の役員ポストして65歳までの期間与えられたのが株式会社セブン・ペイの代表取締役だったのでしょう。
もともと別事業におり、ITとは全く無縁で疎かったためにSMSとSNSの区別がつかなかったのだとも思われます。
PayPayでも不正利用があり、事前に対策をするべきだった
2019年1月中にセブンペイと同様のスマホ決済アプリ、PayPayでもクレジットカード登録時の本人認証サービスの不具合によって不正利用が認められました。
PayPayはサービス開始時に、クレジットカードの裏面に記載されている3桁のセキュリティコードの入力の試行回数を無制限に設定していたため、クレジットカード番号と有効期限を何らかの方法で手に入れた犯人が、1000通り(10×10×10)を試せば簡単にアクセス出来てしまったのです。
こうした不正利用が直近でも確認されてにも関わらず、再発してしまったということで、セブンペイももうすこし慎重になり、事前にしっかりと対策を取らなければ行けなかったのではないでしょうか?
あなたにおすすめの記事
コメント