7pay「組織的攻撃の可能性」専用パスワードでも被害

7pay「組織的攻撃の可能性」専用パスワードでも被害
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。
「7pay」をめぐっては、サービスを開始してまもない先週、不正利用が相次ぎ、これまで、利用者になりすましてたばこを買おうとしたとして中国人合わせて3人が逮捕されています。
こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がNHKの取材に応じました。

「7pay」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。
男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたということです。

不正アクセス事件では、過去に流出したパスワードから手当たりしだいに不正なログインを試みるいわゆる「リスト型攻撃」の被害が深刻になっていますが、専門家によりますと、男性の状況からはリスト型攻撃の可能性は低く、システムの弱点を悪用したり、「7pay」のシステムを攻撃したりしてIDやパスワードなどの情報が抜き出された可能性があるということです。

一方、「7pay」のシステムでは、第三者がパスワードを変更できた可能性が指摘されていますが、男性の場合、パスワードは変更されていませんでした。

「何者かがサーバーに侵入か」

アプリの分析を行ったインターネットプラス研究所の澤田翔さんによりますと、「7pay」では、クレジットカードからチャージする際に使われるシステムに、インターネットバンキングなどでも使われる強固な防御用のソフトが導入されているということです。チャージする際には、専用のパスワードが必要で、今回、何らかの方法で内部のサーバーから情報が抜き出されたと考えられるということです。

澤田さんは「大勢いる会員の中からクレジットカードを登録している人を絞り込むにはサーバーに保管された情報が必要で、何者かが内部に侵入したと考えるのが自然だ。高度で組織的なサイバー攻撃が行われた可能性がある」と話しています。

仕組みと問題点

スマホ決済サービスの「7pay」では、店頭で現金を支払うかクレジットカードを使うなどして、事前にアプリにお金をチャージする必要があります。

商品を購入する際には、アプリ画面に表示されたバーコードをレジで示せば、チャージされた中から支払いができます。
アプリはIDとパスワードを知っていれば、どのスマートフォンからでも使うことができます。

一方で、クレジットカードからチャージを行う場合には、別にセキュリティー対策が施されているため、アプリにログインしたうえで、さらに別のパスワードを入力する必要があります。
この別のパスワードを設定していれば、あらかじめクレジットカードを登録していてもチャージすることはできません。

今回、「7pay」ではアプリへの不正なログインを難しくする「2段階認証」が導入されていなかったり、アプリのパスワードを第三者がリセットできてしまったりなどのセキュリティー上の問題点が指摘されています。

ただ、専門家によりますと、こうした問題点を悪用してもクレジットカードからの無断でチャージするのは難しいということです。

「調査中で申し上げられない」

「7pay」の不正利用の原因について「セブン&アイ・ホールディングス」は「現在調査中で申し上げられることはありません」とコメントしています。