IDコラム

【エバンジェリスト・ボイス】トップダウンセキュリティデザイン 2019/08/08 (木)

サイバー・セキュリティ・ソリューション（CSS）部
エバンジェリスト　フェロー　関原　弘樹    

ようやく梅雨も明け、日差しも気温も夏本番という毎日です。お盆にお休みをとる方はもう気分は夏休みというところでしょうか。
せっかくのお休みなので内でも外でもこまめに水分やエネルギーを補給するなどして体調管理には気を付けたいですね。

ちなみに普段は昼食は外食派の私ですが、この猛暑ではさすがに外出する気力もなく本稿執筆中の3日間で昼食の買い出しを含め朝夕計6回も会社近くのコンビニエンスストアに寄っていました。

ちなみに利用したコンビニはすべてセブンイレブンで支払いはキャッシュレスです。


さて、セブンイレブンといえば先月の初めから現在進行形で7月1日より展開中のスマートフォン決済サービスの7pay（セブンペイ）の不正利用が大きな話題となっています。

今回のコラムではセブン＆アイ・ホールディングスのリリースから7payのインシデントについてみていきます。

外部サイト：「7pay（セブンペイ）」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について」

■経緯
今年の7月1日に開始されたスマートフォン決済サービスの「7pay」が9月30日をもって終了することが先週8月1日にサービス提供会社の株式会社セブンペイを傘下に置くセブン＆アイ・ホールディングスから発表されました。

サービス開始の翌日から不正利用が発生した模様で不正利用に関する問い合わせが相次ぎ、早くも7月3日にはサービス制限を余儀なくされました。翌4日には新規会員登録を停止するなど開始直後からほぼサービスが機能していない状態となっており、この決断もやむを得ないところでしょう。

しかし、脆弱性があったとしてもサービスインからわずか1日でここまで攻撃されてしまうのは驚きですね。何らかの手段で6月中に脆弱性についての情報を入手していた可能性はあるのでしょうか？

■被害額
リリースによれば7payユーザの被害額は公式発表で808人に対し38,615,473円（7月31日17：00現在）ということですがもちろんセブン＆アイ・ホールディングスの被害はトータルで考えるとこれだけではありません。

PJ立ち上げに係る調査費用、10月からはもう使われることのないシステム開発費用と廃棄費用、さまざまなプロモーション費用、インシデント調査・対応費用、最も重要なブランドイメージの毀損（株価の下落は年初来から続いていましたが7月1日の\3,746に比べ8月1日は\3,695ですから株価に関しては現時点ではさほど見えていないかもしれません）等々と支払チャネルが立ち上がらないことによる機会損失と時間がありますので、6.8兆円を売り上げるセブン＆アイ・ホールディングスとしてもそれなりのダメージを受けたといっていいでしょう。

なお、今回被害に遭われたお客様への対応として「不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償いたします」というアナウンスがされておりますので、被害にあわれた方（被害があったとして認定された方？）も多少は安心できるのではないでしょうか。



■不正アクセスの手口
8月1日の会見では不正アクセスの手口について確定させられないとしながらも、「攻撃者がどこかで不正に入手したID・パスワードのリストを用い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」としています。

『リスト型アカウントハッキング』すなわち、最近知られるパスワードリスト型攻撃ですが、これはご存知のようにユーザが複数のサイトで同じ組み合わせの「ユーザID」と「パスワード」を使いまわしている場合に発生します。

--パスワードリスト型攻撃の流れ
1)まず一部の脆弱な設計のサイト、または最初から悪意のあるサイトから「ユーザID」と「パスワード」のペアが流出します。

2)悪意のあるものはそれらのペアを使用して、他の脆弱性が少ないサイトでツールによる短時間/大量のログインを試行します。

3)前述のように流出元のサイトと同じ組み合わせの「ユーザID」と「パスワード」を使いまわしているユーザは「ユーザID」と「パスワード」が合致してしまいますので、結果なりすましによる不正アクセスが成功します。
--

この流れを見るとユーザの情報を流出させたのは一部の脆弱な設計のサイトまたは最初から悪意のあるサイトで、そのサイトと同じ組み合わせの「ユーザID」と「パスワード」を設定したのはユーザ本人ですので、実際に不正アクセスを受けた脆弱性が少ないサイトとしては自身の責任とは受け入れがたい形でインシデントが発生してしまいますね。

#「脆弱性が少ないサイト」とわざわざ表現しているのは、このような攻撃に対してのリスク低減策として弊社コラムの読者にはおなじみの2要素認証や「CAPTCHA」※等が現在広く知られおり、パスワードリスト型攻撃を受けて不正アクセスを受けた側の責任もゼロではないからです。

#混同される場合もありますが言葉の意味としては2要素認証（知識/持ち物/本人のうち異なる要素での認証が必要）と2段階認証（同じ要素でもいいが認証が2回必要）は異なります。

外部サイト：※CAPTCHA

ただ、不正アクセスの手口がパスワードリスト型攻撃だった場合に実際には不正アクセスを受けたサイトの責任が多少軽減されるような空気となるのはコラムをお読みのみなさまも感じているかもしれません。


またリリースでは一部メディア等で話題になった以下の経路については明確に否定しています。

「現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」

7月11日に外部IDによるログインの停止をしているということは外部ID連携の機能について脆弱性があったことを認めているようにも見えますが、そこには触れていません。

パスワードリマインダーについても同様です

「事例は見つかっておらず」「痕跡は確認できない」とは「そのような事象はなかった」とイコールでしょうか？

このようなWeb上の情報の真偽を含め、最終的な報告を待ちたいと思います。

■インシデントの原因について
リリースを読み進めていて、ちょっと違和感があるのはこの部分です。
手口の全容が必ずしも明らかになっていないこの時点でセブン＆アイ・ホールディングスは以下の3項目を順に提示しています。

「～当社は、こうした手口による犯行を防ぐことができなかった理由として大きく3つの要因があると考えております～」
①7payに関わるシステム上の認証レベル
②7payの開発体制
③7payにおけるシステムリスク管理体制
--
通常連番で項を書き出す場合、若番から重要な項を書き出すと思います。

セキュリティに関して（限らずともいえますが）は上流工程で欠陥が発生すると後続に大きな影響がある。逆に上流工程で欠陥を修正できれば問題は拡がらないということから上流工程で欠陥を作らないことが重要とされます。
そこを踏まえて考えるとセキュリティ対策の重要性を列挙する場合には自ずと上流の対策から列挙されるでしょう。また、通常のPJサイクルに当てはめると上流=組織上位層のタスクとなります。

それを念頭にこの3つを上流⇒下流の観点で見てみるとどう見ても「プロジェクト全体の管理」⇒「開発の管理」⇒「開発現場での要件定義・開発」となるので、当然重要な項目は③⇒②⇒①という順番になります。
つまり
①7payにおけるシステムリスク管理体制
②7payの開発体制
③7payに関わるシステム上の認証レベル
という流れが自然ではないでしょうか。

①が担保するレベルで②のレベルでできることが明確になり、②のレベルが③の設計、承認、実装に影響します。
例えば「開発当初より様々な観点から議論、検証を進めたものの、最終的に～」というところで観点や基準を決めるのはその上流の責務でしょう。上流=組織上位層なのでトップダウンのデザインですね。

--
にもかかわらず「7payに関わるシステム上の認証レベル」を原因の①に据えた意図は何か？
ここで考えたいのは①のフェーズを主に担ったのはだれかということですね。



それはつまり現場。実行する現場側に問題と責任があったということのアピールです。



「今回の件で上流の立ち上げ・計画フェーズに起因する問題は実行フェーズが引き起こした問題に比べれば少ない」


このリリースからはそのように読み取れます…

■今後について
セブン-イレブンには7payの展開にグループ共通のIDである7iDをプラットフォームとしています。
データをつかむものが勝利をつかむといわれる現在のビジネス展開のセオリーに従えば当然ともいえるグループを挙げたトップダウン施策である囲い込み/連携アプローチですね。

今回のリリースでは「セブン-イレブンアプリや7payを利用するためのグループ共通のIDである7iDに関連する個人情報については、明確な漏洩の痕跡は認められない」と発表していますが、念のためという体で7月30日（火）に7iDのパスワードリセットを一斉に実施したとのことです。

認証部分はセキュリティサービスの根幹ともなるものなので、念のためというのは理解できますが、他社の事例のようにあとから「実は…で新たな事実が発表され、前提がひっくり返った」ということはリスク管理上ダメージが大きいので、そうでないことを祈りたいと思います。

■おわりに

セブンイレブンはおにぎりをはじめとする食品やプライベートブランド商品の開発能力が同業他社と比べ高いことと、チケットの発券サービス、ネット印刷サービス、ATMサービス等のオンライン/オフライン連携サービスの便利さから特にここ10年ほどは愛用しています。

今回の件を機に今後は全国47都道府県のセブンイレブンユーザが納得できるリスクマネジメント体制とセキュアなシステム開発体制で業界をリードしていっていただきたいものです。


ではまた、次回のエントリーでお会いしましょう。

Hiroki Sekihara, CRISC, CISSP, CCSP, CEH, PMP, CCIE #14607 Emeritus,
AWS Certified Solutions Architect – Professional,

コラムの感想やリクエスト、セキュリティに関するお悩みも受付中！
問い合わせよりご連絡下さい。