これからの経済
2019年07月08日 14時46分 JST

「お目にかかれないくらいのレベルの低さ」7payのシステムに元エンジニアが厳しい指摘

「結構な確率でログイン・リセットができてしまう。正直、めったにお目にかかれないようなケース」と元エンジニアの米村歩氏は語る。

ABEMATIMES

 セブン&アイ・ホールディングスが満を持してスタートしたバーコード決済サービスの7pay。しかしサービス開始早々、第三者による不正利用が発覚、通常では決済アプリに導入されている2段階認証が導入されていなかったことなど、セキュリティ面に問題があったことが浮き彫りになってきた。

ABEMATIMES

 業界全体の不信感にもつながりかねないトラブルに、楽天ペイを展開する楽天の三木谷浩史会長兼社長は「他社さんのサービスについてはなかなかコメントしづらいところが正直あるが、基本的に今後、業界全体として、やはりセキュリティの問題についてはレベルをしっかりと上げていくことが必要だと思っている」と話している。

ABEMATIMES

 元エンジニアで株式会社アクシア代表の米村歩氏は、「セキュリティの問題はハッカーなどによる侵入で情報が漏洩したといった高度なレベルの話が多いが、今回の話はもっと初歩的な話で、パスワード変更部分の作り方が問題視されている。会員ID・メールアドレスと電話番号と生年月日のうち、生年月日の入力が必須ではなかったため、メールアドレスと電話番号がセットになっている名簿を元に”総当たり”されてしまうと、結構な確率でログイン・リセットができてしまう。正直、めったにお目にかかれないようなケースだし、初心者用のプログラミングのテキストに載っているようなサンプルコードの方がまだましだというレベルの低さだ」と厳しく指摘する。

 さらに米村氏は、注目を集めている「2段階認証」が導入されていなかったことについても「2段階認証は様々システムやウェブサイトに導入されているし、一般の人でも聞いたことがあるくらいのものだ。手間を省きたくてセキュリティのレベルを落とすということもないわけではないが、7payの場合はお金を扱うシステム。競合・類似サービスも普通に実装しているものなので、あえて機能を落とすというのはあり得ない。競合他社が類似サービスをどんどん展開している状況だったので、時間が足りず、プロジェクトが”炎上”して、本来やるべきことができなかった、といった理由があったのではないか。本当は8月いっぱい、あるいは9月いっぱいかかるようなシステム開発なのに、7月1日の稼働開始に無理に合わせて進めていた可能性がある。おそらく、こうした脆弱性について気づいていたエンジニアもいたと思う」と推測した。

ABEMATIMES

 システム開発のプロジェクトにおいては、受注した元請けの下に2次請、3次請…下請けが連なっていくケースも多いといい、エンジニアでもある池澤あやかは「7payの件は後から実装みたらやばみがつらみだからわかるけど、いざ自分が巨大開発チームの一員でこの大穴があくのを防げたのかと言えばわからないのでただただお腹が痛い」とツイートしている。

 米村氏も「確かに、いわゆるSIer、SI(システムインテグレーション)企業の開発スタイルは多重下請けの形になっていることが多い。末端になるとどこの企業なのか分からない、プロジェクトメンバーとして来ている人たちがどこの会社に所属しているのか、元請企業が把握していないということも当たり前のように起きている。ただ、それでも作られたものをレビューする担当者が社内やプロジェクトメンバーに一人はいて、その過程でストップがかかっていたはずだ。今回、それが機能していなかったということだと思う。これから再度オープンしようとしていると思うが、でき上がってきたもののレベルの低さやその後の対応の悪さを見ていると、現状のプロジェクトメンバーで解決できるか怪しいと私は感じている」との見方を示した。(AbemaTV/『AbemaPrime』より)
 

▶放送済み『AbemaPrime』は期間限定で無料配信中