記事

セブンペイ“リスト型攻撃”に疑問符? ITジャーナリスト・石川温氏「腑に落ちない」


 「お客様から見た安心感が我々の強み。(自信は)あります」

 サービス開始からわずか1カ月。セブン&アイ・ホールディングスは1日、スマートフォン決済サービス「セブンペイ」を9月末で廃止すると発表した。

 サービス開始から150万人が登録したものの、不正アクセスを受けて被害は808人、約3860万円。セキュリティーの強化案を発表するなど再起に向けた取り組みも行っていたが、最終的な結論は9月末でのサービス廃止だった。

 セブンペイは「2段階認証」を導入していないなど、セキュリティーの甘さが指摘されていた。1日の会見では、攻撃方法について「攻撃者が不正に入手したID・パスワードのリストを用い、セブンペイ利用者になりすまして不正アクセスを試みる、いわゆる“リスト型のアカウントハッキング”である可能性が高い」と説明した。


 不正に入手したIDとパスワードで、様々なサービスへのログインを試みる「リスト型アカウントハッキング」。複数のサービスでパスワードを使い回す人も多いため、長い間攻撃手段として使われてきたものだ。セブンペイは登録されていないIDでログインしようとする形跡が多くあったため、この攻撃手段が用いられたと分析している。

 しかし、この説明だとそのような古典的な手法すら防げないセキュリティーだったということなのか。この問題を取材するITジャーナリストの石川温氏は、会社側の説明は「腑に落ちない」としている。

 「色々なTwitter上でのやり取りを拾っていくと、『今回初めて作ったセブンペイパスワードを使っていた』とか、『パスワードを自動的に作るような仕組みでパスワードを作ってログインした』という話をしていて、必ずしもリスト型に当てはまらないケースもあるので、セブンペイ側の説明には腑に落ちない部分も多々ある」


 石川氏は「他の攻撃方法の可能性もある」としたうえで、サービスの構造自体に問題があったのではと指摘している。

 「セブンペイ単体のサービスであれば2段階認証も入れられただろうし、セキュリティーに対して充実したものができたと思う。セブンペイの場合は、セブン&アイHD全体のサービスとの連携を図ったうえでのサービス展開だったというところだと、他のセキュリティーの甘いサービスと組み合わせてしまったことによって、結果としてセブンペイのセキュリティーが甘くなってしまった」

(AbemaTV/『けやきヒルズ』より)

「メルペイ」が“最大70%還元”キャンペーンを開始

あわせて読みたい

「7pay」の記事一覧へ

トピックス

ランキング

  1. 1

    あおり殴打 投稿なければ野放し?

    かさこ

  2. 2

    性の悩みを真剣に語る場ない男性

    駒崎弘樹

  3. 3

    あおり殴打 女はクレーマー体質

    文春オンライン

  4. 4

    還暦AV女優が明かすやりがいとは

    PRESIDENT Online

  5. 5

    よしのり氏 Nスペで衝撃的な内容

    小林よしのり

  6. 6

    韓国は歴史観とズレる事実を排除

    舛添要一

  7. 7

    「ネトウヨ」批判に逃げる知識人

    篠田 英朗

  8. 8

    韓国で人気「反日は迷信」謳う本

    NEWSポストセブン

  9. 9

    煽り殴打容疑者「車と女」に執着

    文春オンライン

  10. 10

    韓国は自滅の道を歩む 北が予言

    高英起

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。