201bd464f726c08e9bc2b37f28a97409_m

 【コラム】7Payは何を間違えたのか

 このコラムは、速報性を意図して書いていない。

 だから、この記事が公開されるとき、スマートフォン決済サービス「7pay(セブンペイ)」の報道は一巡していて、そろそろ読者の皆さんはおなかいっぱいになっている時期だと思う。食傷気味かもしれない。

 でも書く。

 そのくらい衝撃的な事件だったのだ。

 この問題の核心部分は、たぶん技術的なあれやこれやではない。

 いや、一つ一つの、細かな技術の話もすごかった。

 例えば、社長が2要素認証に関してしどろもどろになっていた。

 ただ、最大限セブンペイを擁護するならば、日本の経営者がどのくらいそれに通じているかはかなり怪しい。某メガバンクはいまだに第1暗証番号と第2暗証番号があればお金を振り込むことができる。ひょっとしたらこれを2要素認証と考えているのかもしれないが、どちらも暗証番号(知識)を使っている時点でNGである。

 第1暗証番号が盗まれているケースでは、たいてい第2暗証番号も盗まれている。パスワードを知っている(知識の保持)+スマホを持っている(物の所有)といったふうに要素の性質を変えないと意味がないのだ。

 メールで暗号化されたファイルに続いて、パスワードが送られてくる形式のセキュリティーも同様だ。メールが盗み見られるのであれば、どちらも盗み見られていると考えるべきで、単に送信者と受信者の手間を増やしているだけでちっとも安全ではない。単に「何かやっています」というアピール、アリバイ工作にすぎない。

 生年月日と登録メールアドレスが分かれば、別のメールアドレスにパスワードの再設定ができる機能は輪をかけてすごかった。まるでブラックハッカーのために作り込んだかのようだ。だって、生年月日とメールアドレスなんて秘匿情報ではない。いくらでも分かりそうなものである。特に生年月日の方は、必須記入項目ではなく、入力しなかった人は2019年1月1日生まれと自動設定していたようなので、赤の他人でも推測が可能である。

 つまり、メールアドレスさえ分かれば、ブラックハッカーの元へとパスワードの再設定通知が舞い込む仕様だったのである。ダダ漏れである。

 外部ID連携に至っては、もはや素敵である。

 アカウントの乱立を嫌がる利用者のために、グーグルやツイッター、LINE(ライン)のアカウントと連携して、グーグルでログインできればA社でもログインできたことにする、といった仕組みが人気だ。この場合、当然グーグルとA社の間の通信は重要であるし、ブラックハッカーが手ぐすね引いて待ち構えるポイントでもある。

 セブンペイでは、この部分のIDのやり取りに(暗号化通信はしていたものの)簡単な数字列を使い、不正を行おうとする第三者が全てを試せるような状況になっていた。暗証番号は0000から9999まで1万通りを試せば、どこかで当たりを引くことになるが、同じことを想像してもらえばよい。セブンペイではIDが一致すれば使用権を付与していたのだ。

 ここまで見てきただけでも分かるように、あちこちに大穴が開いている、落ちるべくして落ちたシステムではあるのだが、これを笑うことができる経営者は決して多数派ではないと思う。

 これは2要素認証が分かるかどうかとか、アプリケーションの管理がいいか悪いかとか、そういう問題ではないのだ。日本のある一定以上の地位にいる意思決定権者のITに対するひとごとっぷり、無関心ぶりに根幹がある。

 別に経営者が技術者と対等の知識を持つ必要はない。しかし、少なくとも技術者と業務や製品について議論ができなければ、話が始まらない。技術者の側も、ビジネスに興味を持ち意思疎通をしなければならないが、それ以上に経営陣にその努力が求められるだろう。

 あの社長は、たぶん自分の会社のサービスを使ったことがなかった。議論をする以前のところで止まっているのだ。デジタルトランスフォーメーション(=DX。デジタル技術で新たな価値を生み出すこと)や、政府が打ち出し、デジタル革新によって社会的な問題解決と経済成長を両立させる「Society(ソサエティー)5.0」は、掛け声を掛けてお金を突っ込めば実現するものではない。意思決定権者がITを経営や行政に不可欠、不可分だと考え、自らの生活に組み込んでこそ進展する。潤沢な資金を注ぎ込んだであろうセブンペイに、日本のDXの寒い現実を見た。

【筆者略歴】

 岡嶋裕史(おかじま・ゆうし) 中央大学国際情報学部教授/学部長補佐。富士総合研究所、関東学院大学情報科学センター所長を経て現職。著書多数。近著に「ブロックチェーン」(講談社)など。

あなたにおススメの記事

関連記事

スポーツ

ビジネス

地域

政治・国際

株式会社共同通信社