7pay問題、本質は「船頭不在」にあり　セキュリティ専門家「最初から印象は変わらない」

   スタートからわずか3か月で廃止することになったコード決済サービス「7pay」は、なぜ失敗したのか。1つの原因は、セブン＆アイ・ホールディングス（HD）も2019年8月1日の会見で言及していた「ガバナンス」の問題にあると言える。

   情報セキュリティの専門家は、7payがセブン＆アイグループ共通のユーザーアカウント「7iD」に紐付いていることを踏まえ「本来やるべきリスク管理ができていなかった」と話す。さらにその背景として「判断できる船頭がいなかったのではないか」としてガバナンスの欠如を指摘する。

「新たに発生するリスクを検討しないといけなかった」

   鳴り物入りで7月1日に始まった7payだが、翌2日に不正アクセス被害が発覚し、セブン＆アイHDは対応に追われた。結局8月1日の会見で、9月末をもってサービスを廃止することが発表された。なぜこれほどあっけなく終わってしまったのか。

   情報セキュリティなどを専門とする立命館大学情報工学部情報工学科の上原哲太郎教授は8月2日、J-CASTニュースの取材に「最初から私の印象は変わりません。7payという『財布』の開け閉めをするためのIDとパスワードの扱いをするにあたって、判断が甘かった」と話す。

「7payのユーザ認証には『オムニ7』（セブン＆アイの通販サイト）の利用にも使う『7iD』が流用されています。しかし一般にIDというものは、何に紐付くかによって管理の仕方を変えないといけません。金庫のカギのように扱わなければいけないIDもあれば、そんなに大切ではないものもある。そうした違いがあることを十分考慮せずに、7iDを使って7payのサービスを組み上げてしまったように見えます」

   IDを悪用する手口は、利用できるサービスのタイプによって異なる。上原氏によれば、オムニ7のような通販サービスに紐付いたIDであれば、盗んだID・パスワードで高額な商品を買い、ワンルームアパートなどに一時的に人を住ませて受け取らせ、すぐ転売して換金する。「手間も金もかかるし、受取人住所から実行犯の身元が割れないような工夫もいる。いずれにせよ準備が必要」という。

   一方、店舗で直接決済して商品も受け取れる7payの場合、悪用する側にとってはこうした手間が省ける。利用者にとっては標的にされるおそれも増す。上原氏は「オムニ7と7payを同じ7iDに紐付けて管理していた。そこで新たに発生するリスクを検討しないといけなかったのに、できていなかったのではないか」と指摘する。

「たとえば1つのIDにシステムAとシステムBをつないだ場合、どんなリスクが新たに生じるか精査し、IDの認証を厳しくしようとか、逆に利便性重視のため簡易でいいなどの判断をしないといけません。こうした横断的なリスク管理をするにあたり、誰も船頭がいなかったかのような印象を受けます。

自社のシステムが相互に連動するとはどういうことか、そこにどういうリスクがあるか、それに対してどう対策を打つべきか、判断できる人がいなかったのではないでしょうか。その意味でガバナンスがなっていないと思います」