2019年07月07日、スマートフォンの画面一つで買い物を可能にする便利な決済サービス「セブンペイ」を揺るがしている不正利用事件について、驚くべき新たな事実が浮かび上がってきました。今回、被害に遭った利用者のアカウントに対して、中国をはじめとする海外拠点から不当なアクセスが行われていたことが2019年07月06日までの調査で判明したのです。
事件の背後には、国境を越えた組織的な犯罪の影が色濃く漂っています。海外の犯罪グループがいわゆる「リスト型攻撃」などの手法で不正に取得したIDやパスワードを使い、まずはログインが可能かどうかを密かに試行していたと考えられます。これは、システムに侵入できる「有効な鍵」を選別する、いわば下準備のような工程だと言えるでしょう。
海外拠点からの「試しログイン」と国内での組織的犯行
準備が整った段階で、日本国内に潜伏する実行役がそのアカウントを乗っ取り、勝手にチャージ(入金)を行うという巧妙な連携プレーが取られていた模様です。SNS上では「セキュリティが甘すぎるのではないか」「安心して二度と使えない」といった厳しい批判の声が相次いでおり、サービスの信頼性は大きく揺らいでいるのが現状でしょう。
警視庁は今回の事態を重く見て、他人の識別符号を無断で使用してコンピュータを利用する「不正アクセス禁止法違反」の疑いも視野に入れ、捜査を本格化させています。キャッシュレス決済が普及する過渡期において、このような基本的な認証プロセスの脆弱性が露呈したことは、業界全体にとっても非常に深刻な教訓となるはずです。
利便性を追求するあまり、本来最も優先されるべき安全対策が疎かになっていた印象を拭い去ることができません。二段階認証などの強固な仕組みが導入されていれば、防げた可能性が高いだけに、企業の責任は極めて重大です。今後、私たちはサービスを選ぶ際、単なるお得さだけでなく、その裏側にある防衛策の質を厳しく見極める必要があるでしょう。
コメント