font-weight: bold; 事件番号・通称事件名 : 中労委平成26 年(不再)第21号 セブン-イレブン・ジャパン不当労働行為再審査事件 再審査申立人 : y会社 : 再審査被申立人 : x組合 : 命令年月日 : 平成31年2月6日 : 命令区分 : 取消、棄却 : 重要度 : 事件概要 font-weight: bold;
セブンペイ事件から読み解く、 キャッシュレスビジネスのセキュリティ対策とは 現在、政府の推進策と共に、2020年東京五輪・パラリンピックに向け急増する訪日客を取り込む動きが活発化したことで、キャッシュレス決済手段の推進が日本でも猛烈に取り組まれています。 border-bottom: 3px solid #b2b2b2;
現在、政府の推進策と共に、2020年東京五輪・パラリンピックに向け急増する訪日客を取り込む動きが活発化したことで、キャッシュレス決済手段の推進が日本でも猛烈に取り組まれています。様々な〇〇ペイが乱立する中、7月1日に新規にキャッシュレス決済市場に乗り込んできたセブンペイですが、翌2日には利用者からの問い合わせが相次ぎ調査の結果3日に不正利用が発覚しました。そして9月30 日をもってサービスの終了が早々と決定してしまいました。今回はセブンペイ事件を元に、キャッシュレスビジネスのセキュリティ事情に切り込み、そのリスクや対策などを見ていきたいと思います。, 引用:https://www.7pay.co.jp/news/news_20190701_01.pdf, セブンペイはセブン&アイ・ホールディングスが開始したバーコード決済サービスです。大々的にキャンペーンも打たれましたが、開始からわずか一ヵ月でサービス終了決定となりました。その経緯を時系列的にみてみましょう。, 7 月 2 日(火) お客様より「身に覚えのない取引があった」旨のお問合せをいただく, 7 月 3 日(水) 各社ホームページへ「重要なお知らせ」を掲載 海外 IP からのアクセスを遮断 クレジット/デビットカードからのチャージ利用を停止, 7 月 4 日(木) 店舗レジ/セブン銀行 ATM からの現金チャージ利用を停止 新規会員登録を停止, 7 月 5 日(金) 「セキュリティ対策プロジェクト」の設置 7月6 日(土) モニタリング体制の強化, セブン&アイ・ホールディングス(HD)のスマートフォン決済サービス「セブンペイ」が不正利用された事件で、同社は16日、11日時点で1574人計約3240万円の被害を認定したことを明らかにした。, 引用:https://www.nikkei.com/article/DGXMZO47387280W9A710C1TJ2000/, 7月4日の午前6時時点の試算でおよそ900人のIDが乗っ取られたと発表していましたが、その後の調査で1574人に拡大したとのことです。, セブン&アイ・ホールディングスの小林社長は記者会見で、セブンペイのシステムに「脆弱性は見つからなかった」と応えましたが、そもそも脆弱性が存在しなければ、今回の問題は引き起こされていません。それではどういった原因で今回の問題が起こったのか次項でみてみましょう。, 今回の不正アクセス事件について、セブン&アイ・ホールディングスは次のように原因について公式サイトで説明しています。, 「セキュリティ対策プロジェクト」の調査では、今回の原因について、「攻撃者が どこかで不正に入手した ID・パスワードのリストを用い、7pay の利用者になりすましつつ、 不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」との 結論に至りました。, ”直接の原因”としては、『リスト型アカウントハッキング』、つまり攻撃対象のサイトとは別のサイトで漏えいしたIDとパスワードのリストを使い、攻撃対象のサイトへログインを試みる手法が取られたとの調査結果を公表しています。リスト攻撃、リスト型攻撃、パスワードリスト攻撃とも呼ばれるこの攻撃手法は、ユーザーが様々なサイトで同じパスワードを使いまわしていると、暗号化対策や、ID・パスワードの適切な管理をしていないサイトから情報漏えいが起こり、今回のような第2のサイトやサービスで不正使用されてしまうことにつながります。, セブンペイのように直接情報漏えいが起こっていなくても、このような手法で攻撃されてしまった場合、適切な防御をしいていなければ被害が生じてしまいます。セブン&アイ・ホールディングスではその後の公式見解で”自社の対策不備”として, 「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、『リスト型アカウント ハッキング』に対する防御力を弱めた。, とも原因を説明しています。二要素認証等の追加認証とは、一般的に「2段階認証」とも言われているセキュリティ対策です。つまり今回のセブンペイ事件では、1.『リスト型アカウントハッキング』による情報漏えい(他社)と、2.『リスト型アカウントハッキング』への対策を怠ったこと(セブン&アイ・ホールディングス)の2つが原因としてあげられます。, 当初セブン&アイ・ホールディングス側も自社には脆弱性はないと言い切るなどしていましたが、実際は2つの要因があり、『リスト型アカウント ハッキング』に対する防御力を怠ったセブンペイ側のセキュリティ管理がその後明らかになっています。, 報道等では、セブンペイのセキュリティ脆弱性の問題が今回の事件の要因として連日報道されていました。元々『リスト型アカウントハッキング』を受けた会社やサービスは別にあっても、その上で、セブンペイ側が述べているように「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」など、きちんと対策と防御を講じていれば、このような被害に発展しなかったからです。それぞれどのような対策なのか簡単に説明します。, 複数端末からのログインに対する対策では、ログインできる端末を限定したり、2重でログインしたりした場合は通知が届く仕組みを作るなどの対策です。今回のセブンペイ事件では、当初サービスが利用される可能性が低い海外IPからのアクセスも大量にあり、無制限でアクセスされていました。, 他社の対策をみてみると、多くの人がサービスを利用する『LINE』では、同じLINEアカウントは複数端末で同時ログインができません。そのため、ほかのスマートフォンが自分のLINEアカウントへのログインを試みると、LINE公式アカウントから”他の端末で、LINEにログインしたことを通知するメッセージです”といったメッセージが届く仕組みになっています。LINEも既にQRコード決済『LINEペイ』を開始していますが、これまでのところ大きく報道されるような被害は発生していません。, スマホ決済では常識となっている「2段階認証」と呼ばれる手法が、セブンペイでは施されていなかったという指摘がされています。株式会社セブン・ペイの奥田裕康氏(取締役営業部長)によると、「コストや客の利便性を勘案した」結果であり、「怪しい取引に関しては、決済を停止するといったモニタリング体制の強化で守れると判断していたことから導入を見送った」としています。しかし今回の結果をみてみると、そうしたモニタリングは無効だったことが分かります。ワンタイムパスワードを使いログインを2段階認証に変更する等の厳しいセキュリティ対策がやはり必要だったと言えるでしょう。, SNS、ブログサービス、動画共有サービス、企業サイトなど複数のWebサービスに登録することが珍しくなくなった今、IDやパスワード管理の煩わしさを軽減するために、どのWebサービスにも同じID、パスワードを使い回しているユーザーは少なくありません。『リスト型アカウントハッキング』はそういったユーザーをターゲットにしています。, ユーザーにパスワードを使いまわししないように求めても、なんの対策にもなりません。セブンペイに限らず、ユーザーにIDとパスワードでログインを促し、決済サービスやネットショッピングを提供する企業は、そうした攻撃があることを前提とした対策を取ることが求められています。, 今回のセブンペイ事件はキャッシュレス決済事業者の急拡大による安全面のリスクを改めて浮き彫りにしたものといえます。今後セブン&アイ・ホールディングスは企業としての信頼回復が求められていきますが、こうしたミスを引き起こして大々的な問題になってしまうと、その道のりは険しくなります。顧客情報を扱う企業は、この事件を教訓として、セキュリティに対するガバナンスの徹底、設計面からのリスク想定など対策を怠らないようにしていきましょう。, .hatena-module-title {
position: relative; margin-bottom: 10px; border-bottom: 3px solid #b2b2b2; font-size: 18px; }, .hatena-module-title { (C) Penta Security Systems Inc. All Rights Reserved.
}. line-height: 30px; margin-bottom: 10px; position: relative; 2010年頃から時代は「クラウドコンピューティング」期を迎え、今や右肩上がりで、世界中で活用されています。インターネット上で超大容量のデータを保管するデータサーバーを集めたデータセンターと、そこへアクセスするためのサービス展開を軸にしたサービス技術です。企業がクラウド上の仮想サーバーを利用して自由な拡…, 2020年第3四半期のWeb脆弱性トレンドは、全体的に第1四半期に比べ減少傾向にありました。 インフォグラフィックにて、第3四半期のWeb脆弱性トレンドをご確認ください。 なお、EDB/CVE-Reportの詳細は、こちらから確認いただけます。 つける, 警察庁は10月1日、2020年上半期におけるサイバー空間の脅威情勢について発表しました。それによると、警察によるサイバー犯罪の検挙件数は、年間の検挙件数が最多となった前年の同期と同水準となっていて、サイバー空間における脅威は、引き続き深刻な情勢にあると警告されています。特に注視されるのが、新型コロナウイル…, 10月1日よりヤフーが全社1万人規模の無制限テレワーク制度に踏み切ったことが話題になりました。時代は働く場所を選ばない「新しい働き方」へと確実に切り替わっていっています。一方で、コロナ禍で在宅勤務・テレワークを実施していましたが、すでに取りやめた企業は26.7%という調査結果もでています。テレワークの実施…, https://www.7pay.co.jp/news/news_20190701_01.pdf, https://www.nikkei.com/article/DGXMZO47387280W9A710C1TJ2000/, クラウドコンピューティング時代に求められる真に質の高いサービスとサポートを受けるならどのソリューションを選択すべきか, 新型コロナに関係したサイバー犯罪が増加!警察庁が2020年上半期におけるサイバー空間の脅威情勢を発表, 新しい働き方改革に必要なテレワークを導入するために今考えなければいけないセキュリティ対策とは. font-size: 18px;