キャッシュレス社会推進、ということで多くの電子決済サービスが誕生した。7月からは大手コンビニチェーン中心に「xxPay」なるサービスが使えるようになった。・・・となった早々だが、「7Pay」では不正チャージが発生し、5,500万円程度の被害が出たという。リリースした次の日にはすでに被害のクレームが出ていたというから、犯行組織の素早さには敬服する。
速報を聞いたときに、あまりの素早さに犯行グループはシステム内容を熟知していて、ひょっとすると内部犯行(開発委託を受けたベンダーや人材派遣会社含む)だろうと思った。しかしその後の報道によると、会員ID、生年月日、電話番号がわかれば犯行グループの好きなデバイスからパスワード再設定が出来ることがわかった。これは僕のように多少セキュリティをかじった人間から見れば、かなりひどい脆弱性である。
もちろんシステムのどこかに、人間系も含めて会員IDその他のデータを盗み見るウィルスなどの仕掛けはあるのだろう。現時点で被害者が900人に留まっているならば、これらのデータが大量に流出したとは限らない。これらのデータを別々のサーバーに収納するなどの工夫はしてあったのかもしれない。(希望的観測だが・・・)
もちろんシステムのどこかに、人間系も含めて会員IDその他のデータを盗み見るウィルスなどの仕掛けはあるのだろう。現時点で被害者が900人に留まっているならば、これらのデータが大量に流出したとは限らない。これらのデータを別々のサーバーに収納するなどの工夫はしてあったのかもしれない。(希望的観測だが・・・)
犯行グループの動きは組織的である。電子タバコを不正に購入しようとして捕まった中国人たちは、「IDとパスワードのセットが複数送られてきた」という。彼らは振り込め詐欺でいう「出し子」であろう。主犯の組織は上記データを入手、自分のデバイスでパスワードを書き換えた後、「出し子」たちにID・パスワードセットを渡したわけだ。主犯グループはすでに何らかのフィーを受け取っているかもしれない上に、ネットの闇に隠れたままでもちろん日本国内にいる公算は低い。
Suicaのチャージ上限が2万円であることを考えれば、1回のチャージの上限が30万円というのも高すぎたと思う。パスワード再設定には、生年月日などではなくもう少しハードルを上げた本人認証が必要だ。しかし「7Pay」がチャージ金額を上げ、本人認証を簡易化した理由は、利便性の追求だ。どんなシステム・サービスも使い勝手がわるければ普及しない。同じ様なサービスを競合他社もリリースするので、顧客囲い込みのためには利便性をぎりぎりまで高める必要があった。今秋の消費税上げにあたり「キャッシュレスでポイント還元」の流れに乗り遅れたくなかった気持ちはわかる。
Suicaのチャージ上限が2万円であることを考えれば、1回のチャージの上限が30万円というのも高すぎたと思う。パスワード再設定には、生年月日などではなくもう少しハードルを上げた本人認証が必要だ。しかし「7Pay」がチャージ金額を上げ、本人認証を簡易化した理由は、利便性の追求だ。どんなシステム・サービスも使い勝手がわるければ普及しない。同じ様なサービスを競合他社もリリースするので、顧客囲い込みのためには利便性をぎりぎりまで高める必要があった。今秋の消費税上げにあたり「キャッシュレスでポイント還元」の流れに乗り遅れたくなかった気持ちはわかる。
利便性を急いで追及するあまり安全性の低下を招いたという、典型的な事例となった。利便性と安全性は、デジタル社会に関わらず相反する課題。その鞍点をどこに求めるかが、システム設計の要点である。被害にあった方はお気の毒ではあるが、本件は社会全体のセキュリティ・リテラシーを高めることにつながってくれればと思います。
