記事

「お目にかかれないくらいのレベルの低さ」7payのシステムに元エンジニアが厳しい指摘


 セブン&アイ・ホールディングスが満を持してスタートしたバーコード決済サービスの7pay。しかしサービス開始早々、第三者による不正利用が発覚、通常では決済アプリに導入されている2段階認証が導入されていなかったことなど、セキュリティ面に問題があったことが浮き彫りになってきた。


 業界全体の不信感にもつながりかねないトラブルに、楽天ペイを展開する楽天の三木谷浩史会長兼社長は「他社さんのサービスについてはなかなかコメントしづらいところが正直あるが、基本的に今後、業界全体として、やはりセキュリティの問題についてはレベルをしっかりと上げていくことが必要だと思っている」と話している。


 元エンジニアで株式会社アクシア代表の米村歩氏は、「セキュリティの問題はハッカーなどによる侵入で情報が漏洩したといった高度なレベルの話が多いが、今回の話はもっと初歩的な話で、パスワード変更部分の作り方が問題視されている。会員ID・メールアドレスと電話番号と生年月日のうち、生年月日の入力が必須ではなかったため、メールアドレスと電話番号がセットになっている名簿を元に"総当たり"されてしまうと、結構な確率でログイン・リセットができてしまう。正直、めったにお目にかかれないようなケースだし、初心者用のプログラミングのテキストに載っているようなサンプルコードの方がまだましだというレベルの低さだ」と厳しく指摘する。

 さらに米村氏は、注目を集めている「2段階認証」が導入されていなかったことについても「2段階認証は様々システムやウェブサイトに導入されているし、一般の人でも聞いたことがあるくらいのものだ。手間を省きたくてセキュリティのレベルを落とすということもないわけではないが、7payの場合はお金を扱うシステム。競合・類似サービスも普通に実装しているものなので、あえて機能を落とすというのはあり得ない。競合他社が類似サービスをどんどん展開している状況だったので、時間が足りず、プロジェクトが"炎上"して、本来やるべきことができなかった、といった理由があったのではないか。本当は8月いっぱい、あるいは9月いっぱいかかるようなシステム開発なのに、7月1日の稼働開始に無理に合わせて進めていた可能性がある。おそらく、こうした脆弱性について気づいていたエンジニアもいたと思う」と推測した。


 システム開発のプロジェクトにおいては、受注した元請けの下に2次請、3次請…下請けが連なっていくケースも多いといい、エンジニアでもある池澤あやかは「7payの件は後から実装みたらやばみがつらみだからわかるけど、いざ自分が巨大開発チームの一員でこの大穴があくのを防げたのかと言えばわからないのでただただお腹が痛い」とツイートしている。

 米村氏も「確かに、いわゆるSIer、SI(システムインテグレーション)企業の開発スタイルは多重下請けの形になっていることが多い。末端になるとどこの企業なのか分からない、プロジェクトメンバーとして来ている人たちがどこの会社に所属しているのか、元請企業が把握していないということも当たり前のように起きている。ただ、それでも作られたものをレビューする担当者が社内やプロジェクトメンバーに一人はいて、その過程でストップがかかっていたはずだ。今回、それが機能していなかったということだと思う。これから再度オープンしようとしていると思うが、でき上がってきたもののレベルの低さやその後の対応の悪さを見ていると、現状のプロジェクトメンバーで解決できるか怪しいと私は感じている」との見方を示した。(AbemaTV/『AbemaPrime』より)

▶放送済み『AbemaPrime』は期間限定で無料配信中

あわせて読みたい

「7pay」の記事一覧へ

トピックス

ランキング

  1. 1

    韓国が対日想定した空母を建造か

    木走正水(きばしりまさみず)

  2. 2

    テレビ見ぬ若者のN国支持は当然

    日比嘉高

  3. 3

    対韓規制で安すぎサムスンに打撃

    tenten99

  4. 4

    吉本トップ 行政責任で辞任せず?

    渡邉裕二

  5. 5

    韓国に反日の損失知らしめるべき

    安倍宏行

  6. 6

    法に背く吉本 政府は取引やめよ

    郷原信郎

  7. 7

    韓国の対日手段に米国がストップ

    高英起

  8. 8

    れいわ山本氏落選は恐るべき戦略

    かさこ

  9. 9

    日本財団会長 元SMAPをTVに出せ

    笹川陽平

  10. 10

    映画「天気の子」が描く汚い東京

    シロクマ(はてなid;p_shirokuma)

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。