2019年7月1日、鳴り物入りでデビューしたセブンイレブンの7payですが、翌2日には不正利用が発覚し大騒ぎになりました。何が起こったのかは「7payの不正利用についてまとめてみた」をご覧頂くとして、記者会見を見ていて思った事を記しておきます。

  1. 個人情報の流出の可能性について
    不正利用のためにはセブンイレブンアプリにログインする必要があり、当然の事ながら登録情報が閲覧可能になります。最低限入力されているのはメールアドレスになります。他に都道府県名、生年月日、性別が登録情報として閲覧可能ですが、コレについてはデフォルトで東京都・2019年1月1日・女性が入るそうなので、マメに設定していない人は対象外になります。それ以外にも、獲得バッジ情報として訪問した店舗の名称や購買した店舗の情報が閲覧できますので、個人情報としては多岐に渡るものが取得可能です。しかしながら、個人情報漏洩の可能性について質問された時、登録情報にのみ言及し履歴情報に言及しなかったのは認識が甘いと言わざるを得ません。また、質問を受けて「各種個人情報の漏洩の可能性は否定できないため調査致します」と回答すれば丸く収まったと思うのですが、何やらグチャグチャ言い訳めいたことを回答したのは全くもって頂けない回答です。危機管理がなっていません。
  2. 脆弱性診断したから問題ないのか?
    脆弱性診断は基本的に「仕様にない動きをして危険な状態になること」を診断します。「仕様通りの動きをして危険な状態になること」は脆弱性とは言いませんので。なので、リリースまでにキチンとチェックしたのかとの質問に対して「脆弱性診断したから問題ないとの認識」という回答には全く意味がありません。何故なら、パスワードの初期化時に「登録されている以外のメールアドレスにも送信できる機能」は仕様通りなので脆弱性でも何でもなく、設計ミスだからです。IPAに脆弱性情報の届出したことがある人なら判るでしょうが、IPAでも「仕様は脆弱性とはみなさない」と判断します。例えば、私が届け出た例で言うと…

    • Joeアカウントが設定できてしまう「脆弱性」があった、北海道の老舗百貨店の通販サイトはIPAから「仕様なので仕方がない」との回答を得ています。
    • Instagramの非公開アカウントが投稿したものについて、外部にリンクが貼ってあるとアクセス制御されずに誰でも閲覧可能な「脆弱性」がある問題も「仕様としてFAQに書かれているので仕方がない」との回答を得ています。
  3. 二要素認証を知らなかったことについて
    これは、ここ数年の傾向から当然質問されることではあるのに、そういった知識を持たない人間のみで記者会見をしたのは「事情説明で終わる」と舐めてかかったセブン&アイ・ホールディングスの判断ミスと言わざるを得ません。当然の事ながら、この手の情報セキュリティに関わる事件についての記者会見にはCISO(最高情報セキュリティ責任者)もしくはCIO(最高情報システム責任者)に相当する人物が同席すべきと考えます。そういう立場の人物を同席させなかったのは経営陣の判断ミスとしか言いようがありません。体裁を整えるだけの記者会見には何の意味もありません。

特に気になったのは以上の三点になります。

記者会見以外で気になったのは「サービスを全停止する判断が大幅に遅れているのは何故か?」って事ですね。情報システム担当としては当然の事ながらサービス全停止という選択肢が出てきます。ただ、業務影響と影響範囲について特定した上で役員に対して判断を仰ぎますので、この段階で「止めない」という判断もあり得るわけです。ここら辺、情報システム担当から「全停止という選択肢は出たのか」と「止めないという判断をしたのは誰か」については質問して欲しかったなあと思うところであります。

取り急ぎ、以上になります。