- Published on
セブンペイの不祥事について僕はこう思う
- Authors
- Name
- yuku_tas
- @yuku_tas
「セブンペイ」の不正利用についてのニュースがネット上を賑わしている。
こういう大手のITに関するニュースには(ベンチャーの人間であるからこそ) 常にアンテナを張っているつもりだが、 今回の件は
話題になっているフィンテックの領域のトラブルである
昨今ニーズが高いセキュリティに関するトラブルである
という点でとても感慨深い(?)
このニュースについてのまとめと、自分の意見を述べさせてもらう。
経緯と詳細
セブンペイ、アプリにあっさり不正アクセス許す 5500万円被害
によると、被害人数は900人、被害総額は5,500万円とのこと。 どうも、
パスワード再発行メールは誰にでも送れた
生年月日、メールアドレスor電話番号が一致すれば認証が突破できた
二段階認証がそもそも存在しなかった
ようである。今どきこのジャンル(フィンテック)の認証方法として、 二段階認証がないとは耳を疑ってしまった。
本人確認に投資するコストが、今回のような問題を回避する先行投資として無駄とは到底思えない。
社内でどのような議論があったかわからないが、セキュリティに対して意識が高い人間が決定権を持つ人間(プロダクトオーナー)ではなく、かつ設計を行う立場の人間もそうでなかったことは確実と言えるのではないか。
通常のIT現場では、この危険性を指摘すれば確実に待ったがかかるようなザルさである。
火に油を注ぐ会見
さらに、火に油を注いだのは会見でのセブンペイの経営陣の姿勢だ。
どうも、「新規登録を停止したが、サービスは継続」と宣言したらしいのだ。。 典型的な臭いものに蓋をする姿勢である。
今回のセキュリティホールは、既会員ユーザーを対象とするものであり、 「これ以上被害を増やさない」という観点では、まあマイナスではないかもしれないが、
既存の会員ユーザーがこれ以上被害を増やすことを、新規登録の停止だけでは
止められるわけではない
からだ。
ここまで不祥事に対しての姿勢が問われる世の中で、論理的に証跡が積み上げられていくIT業界で、なぜこれほどまでに不十分となる対応をしたのか。理解に苦しんでしまう。
既に、会見の時点でサービスそのものの信頼性が問われている
状況であろう。 一時的にせよ、閉鎖は避けられないというのが常識的な判断であるように思う。
組織的に突破が行われている?
経営陣の対応はおいておくとして。
設計側からすれば初歩的なミスとはいえ、まあ逆によく気づくものだと感心した反面、 今回不正利用した側はどのような属性の人物かが気になった。
すると続報がはいってきた。
「名義7、8人分使った」と供述 セブンペイ不正容疑者
上記のニュースによれば、中国籍の容疑者が「SNS上で指示されて購入した」 とのこと。つまり、こういった大手のサービスのセキュリティホールがないかを 常にチェックし、
見つかったら全く手加減なしに全力で詐取しようとする勢力が
世界のどこかにいるということである。
性善説を取る立場の人間からは恐ろしいことだ。
そして、
お金を扱うということは、商売や人の流れを握れるというとてつもない
強みを持っているが、その利点だけ、リスキーでもある
と感じた。
まとめ
今回のニュースを他山の石としてこうしたジャンルのビジネスを手がける場合は 最大限セキュリティホールが内容注意しなければいけない。 そして、誰かのせいにするのではなく、組織的に対処しなければいけない。 と感じた。
例えば今回のケースで言うと、社内システムの監査を行うようなセキュリティ専門の 部署があってもよいのではないだろうか。(もしそのような部署があったのであれば 残念だが責任を問われなくてはいけない…かもしれない)