ブログ

Blogs

7payを巡る記者会見の概要

8月1日、7&iホールディングスの決定として、7payを9月末で廃止するとの報道が流れた。同日午後、同社の後藤副社長らが記者会見した。以下は、その際のやりとりを岩下が要約したものである。聞き取れなかった部分、特に記者の氏名等は省略させていただいた部分もある。また、聞き取りのミスや表現の間違いなどもありうるが、取り急ぎ、webに掲載することにした。

内容については色々とコメントしたいところもあるが、それは次の作業として、情報をシェアすることを優先した。間違い等の指摘があれば、是非、私のFacebookのページにコメントを寄せてほしい。

質疑応答開始。一人一回2問の制限。

ITジャーナリスト三上氏:ID とpasswordだけでなくてチャージ用パスワードも漏洩していることから、リスト型アカウントではないだろうと言われているが。

田口氏:複数のIDエラーが起きて、パスワードエラーが起きた。800のIDについてログの追跡をしている。チャージ用パスワードが7iDのパスワードと一緒の人もいる。これらのことからリスト型と判断した。

読売新聞:経営トップが会見に来ていないのは何故。保険に入っていたのか、損失はどう保障するか。

後藤副社長:各社のアプリを通じて双方向の関係性を構築できるかかが大切。7payも大事。自分が7&iホールディングスではデジタルを代表している。

奥田氏:保険の加入はしていない。

後藤氏:7payの社長ではなく奥田に回答させることをホールディングとして決定した。

食料新聞社:詳細説明とクレジットカードの情報流出はなかったか。

清水氏:開発はサービスをまたがる。最適化ができていなかったのは、金融とアプリがチームで分かれていた。トータルで束ねる体制がなかった。決済代行を使っているのでクレカ番号の流出はない。

NHK加藤記者:デジタル戦略への影響は?

後藤氏:1か月で廃止したが、デジタルを成長の柱とするのは変わらない。クレカ、ナナコがある。十分に決済情報は入手している。よりデジタルに近い7payはいったん廃止だが、今後しっかり検討する。

デレビ朝日井沢記者:パスワードリセットから廃止に至ったのはどういう経緯か。

後藤氏:7payが7/2-3にアカウントハッキングに遭った。原因を精査していた。リスト型ハッキングに遭ったが、7iDはセキュリティは確保している。不安を持たれたのでリセットした。これに対して、7pay自体は心配を持たれているので廃止することを判断した。

後藤氏:7payがリスト型ハッキングに遭ったので、廃止やむなしと考えた。

記者:2要素認証不採用の理由は?

奥田氏:二要素認証ではなく、取引のモニタリングで十分と考えていた。

後藤氏:スマホ決済について信頼を失わせたのは遺憾。7payは廃止だが、それ以外のスマホ決済は受け入れていく。

丸山記者:なぜnanacoを進化させなかったのか。今後、計画は?

後藤氏:nanacoをどう進化させるかは経営課題として議論している。それとは別にQRコード・スマホ決済も発展していくだろう。両にらみで開発を進めていた。今後はnanacoを積極的に検討していきたい。

朝日土井記者:経営責任は? ガバナンス上の問題をどう検討?

後藤氏:セキュリティは経営と切っても切れない。これを向上させていく。ガバナンスの問題として、複数業態を抱えて個別最適を検討してきたが、グループを横串する努力が欠けていた。組織的な対応を検討したい。

朝日土井記者:7iDの問題は?

後藤氏:7iDは横比較しても十分なセキュリティの水準に達している。

記者:ナナコの還元率、自社開発について。

後藤氏:スマホ決済のニーズは高まっていくので、もう一度参画できるかチャレンジしたい。

日経清水記者:解明に時間がかかるが二段階認証をするといった話だったが、どの部分に時間がかかるのか? GitHubへのソースコード流出については?

田口氏:判断した原因は、もう一度セキュリティの強化を考えたが、体制を含めて考えるべきと判断した。開発する間に迷惑をかけるわけにはいかない。

田口氏:GitHubは2015年秋に作った。インターフェースやログインの形式について書いたものではない。そのまま構築しても現在のシステムでは使えない。

東京新聞島村記者:五月雨式の対策となったのは何故?後発の焦りはあったか?

後藤氏:7/2-3に発生した事象でお客様の保護が最優先で、サービス(チャージのこと?)を止めた。その後、ログインに脆弱性を認識したので、「切る」という施策をとった(パスワードリセットのこと?)。

奥田氏:後発という評価はあるが、セブンイレブンアプリの開発していたころから遅れているとは考えていなかった。

記者:ナナコをどうする。7iDは何に使う?

後藤氏:ナナコは7&iグループ以外のものに使えないのでスマホに期待していた。7iDは様々な施策のベースとなるデジタル戦略のかなめなので残す判断をした。

テレビ東京:記者会見が多すぎる。7&iの社風から考えてあり得ないが、タガが緩んでいるのでは。

後藤氏:24時間問題も7payも大問題だが、鈴木会長が不在となったのは影響していない。

テレビ東京:アカウントも持っていない、チャージもしていないのに被害に遭ったのは何故?

清水氏:ツイッターは見ている。7payに絡んだ話ではない。個別の話なので詳細は控える。

週刊BCN;以前の記者会見では安全と言っていたが、結局対策が十分でなかったということで、安全性の検証が用をなしていなかった。何故結論が違ったのか。7payと書かれているが、どちらかというと7iDは開発から時間がたっているし、事故が起きてからの判断は異なるのでは。7iDの先のサービスは大丈夫なのか?

清水氏:前回記者会見で事前のテストで脆弱性は指摘されていなかったと回答したが、それは事実。しかし、テストの範囲と深さが適切ではなかった。7iDについて改めて検証したが、何のサービスをやるかによってセキュリティのサービスは違ってくる。今回、国際規格やガイドラインと比較して、改めてサービス別に分析した。現状のサービス内容にてらして現在の7iDは安全と判断した。今回の検証は7payと7iDの認証にかかわる部分。

週刊ダイヤモンド:7/7の記者会見で、小林社長から先に7アプリにログインして7payにログインするので二段階と説明していたが、それは正しいか。

清水氏:改めて確認したところ、入り口の敷居が低くても、モニタリングで大丈夫と判断していたが、その判断は誤っていた。

週刊ダイヤモンド:責任者が辞めないのか?処分は?

後藤氏:経営責任は外部弁護士によるガバナンスのチェックを経て、内部基準に沿った処分がありうる。今は改善のための旗振りをする。今は辞任は考えていない。

TBS:再度チャレンジしたいといったか、セキュリティ対策に時間がかかり、信用を失ったのが原因で7payをやめるなら、どうやって信頼を回復するのか。

後藤氏:グルーブ内で着実になすべきことをなしていく。奇策はない。7payという名前で再チャレンジはしない。バーコード決済で何かできないか、まだ構想段階。

竹山記者:パスワードリストハッキングの試行回数如何?

田口氏:何千万回、IDのアタックがあった。詳細は明らかにできない。入られた件数はまだ検証中。

竹山氏:ログはどの期間、どういう制度でとっていたのか。情報漏洩や他の脆弱性攻撃を受けたことは確認できてたのか?

田口氏:ログは相応にとっている。808名については調査は終わっている。なりすまして情報をゆっくり見たようなログは確認できてない。

流通ニュース:10/1からのMETI ポイント還元事業との関係で7pay廃止が加盟店にどう影響するのか?

後藤氏:7payはMETIに申請していたが辞退することになる。しかし、ポイント還元事業には店舗として加盟しているので、お客様にご迷惑はおかけしない。

流通ニュース:特別損失はどの程度か? 被害者数や気概金額が違っているのは何故か、根拠は?

後藤氏:7payの減損は発生するが、連結全体からすれば軽微な数字。監査法人と詰めている。

奥田氏:7/11時点と8/1の差異について。7/4の会見では、試算で900名、5500万円と想定。被害者から受けた情報を改めて精査。本人に確認。808名となっている。各カード会社からの請求や銀行引き落としで気づくかも。確認してほしい。相談ダイヤルで受け止める。

石川記者:攻撃があまりに早すぎるのは何故か。店舗の数は?

奥田氏:リスト型アカウントハッキングで、検知契機は7/2。アタックは7/2の未明から。攻撃者が事前対応していたかは不明。被害店舗は全国に散っている。引き続き被害がないか調査している。

石川記者:一気に使われたのか、ダラダラ使われたのか。

奥田氏:様々なケースがある。チャージを止めたら被害は止まった。その後、新たな被害はない。海外IPの遮断で攻撃は止まったので、有効だったと認識。

読売:金融庁からの報告徴求への対応。会社としての7payはどうなる。

後藤氏:監督官庁とのやりとりは非公開。会社は存続。

読売小川記者:途中で仕様変更があったか、開発費はいくらか

奥田氏:開発の途中で開発変更があったかという話。2018年2月に7payを開発。2018年6月に7-11アプリが開始。最終的に7-11アプリと組み合わせようということで仕様変更というか、サービスの仕方を変えた。単独のアプリのリリースを順延し、7/1の開始のために機能を絞って開発した。開発費用は非公開。

読売小川記者:対応の不備。外部IDの問題について指摘があったのでは。

後藤氏:お客様の被害を極小化するのが最大の課題。我々も勉強し、世論とも向き合ってきたが、経営判断は利用者保護が最重要。

野田記者:7/4の記者会見以降も被害は出ているのか?

奥田氏:7/4に新規登録とチャージを止めた。残っていた残高の不正利用は若干あった。7/4-中旬までで新規に発生した人数は全体の1割、金額はより少ない。チャージ金額も減っているので、リスクは低いが、モニタリングを続けていく。

日経奥平記者:外部ベンダーとの関係。費用はベンダーに請求するか。

奥田氏:判断のミスは事実と認識。ベンダーとの話は今後の話なので、現段階では話せない。7payの判断か基本なので、ベンダーとの会話はするが、7pay社の責任が大と考えている。

伊藤記者:7iDは問題ないというが、omni7のサーバーに行っているが、そこは別なのか?

田口氏:現時点でomni7と接続している部分もあるが、現在の利用方法では問題ないとの報告書も得ている。ペイのサービスをやるには不十分という部分はあったと思う。

伊藤記者:METIガイドラインへの準拠は?

奥田氏:ガイドラインが公表された2019/4月の時点では既にテスト工程。20項目のうち2-3、充足してないことがあった。クレジットカードのセキュリティコードの入力回数制限は3Dセキュアで対応した。

記者:具体的な根拠。外部ID接続の被害者はいなかったのか。クレジットカードのチャージパスワードは7iDのパスワードと一緒なのか?

田口氏:808個のIDについてログ調査をした。外部IDを使用している物もいる。しかし、本人以外が外部IDで入った形跡はない。パスワードリセットは本人に飛ぶ。不正アクセスした人間がパスワードリセットを使っていなかった。7iDのパスワード管理は我々でも見れない。同じかどうかもわからない。

奥田氏:ログインシステムの変更について。二要素認証については、モニタリングでこなせるとの仮説があった。単独アプリでは二要素認証を考えていたが、2018/12月の変更において、操作感やモニタリングで守れるから二要素認証が落ちた。チャージパスワードも毎回入力からチャージ時のみへ、、と落ちていった。

J-CAST: 7iDのセキュリティレベルは内外から評価は誰からどう?

田口氏:調査会社からの評価もある。PCI-DSSの評価も受けている。

J-CAST: 今回の事例を受けてもその評価は変わらないか

田口氏:7payは脆弱だが、7iDは評価を受けている。

記者:チャージパスワードはどう破られたのか

田口氏:調査した限り、チャージとログインのパスワードは一緒の人が多かったので、リスト型アカウント攻撃と認識。

朝日村井記者:一昨日の一斉リセットの背景。安心感のためにやったというが、そうとうな負担がかかるはず。システム上の要請はなかったのか。

後藤氏:お客様のメンタルな不安の部分をリセットで極小化できる。

朝日村井記者:7payの必要とするセキュリティレベルが高いという認識はあったのか。

清水氏:お金が絡むものはセキュリティの要請は高いと認識。今回、それを確認せずにサービスインしてしまったのは残念。

日経:被害届は? 外部IDが原因との情報もあるが。

清水氏:被害届は提出済み。ログも警察に提供している。

田口氏:外部IDは中間サーバーでリスクあり。omni7ではなく各社が接続を切った。

東洋経済:第三者委員会については?

後藤氏:社内調査委員会から経営に報告する予定だが、いわゆる第三者委員会ではない。詳細は未定。

毎日和田記者:仕様を変えると試験が必要になるが、何故2019/7月の稼働開始日を動かさなかったのか?

奥田氏:テストの期間は必要最低限確保できた。7pay社の経営判断として、稼働開始日をセットし、開発体力、テスト期間を確保した。10月からの消費者還元事業は意識していたが、他社は関係ない。

毎日和田記者:ホールディングスとしてはどう判断していたのか。

後藤氏:7/1は、7payと7-11の判断と認識。

井上記者:パスワードリストでは攻撃できないパスワードもあったのではないか。

田口氏:現時点の内部外部での診断とさせていただいている。

市田記者:判断としてパスワードリスト攻撃以外はなかったのか、内外の調査というが、それを信じるためにはエビデンスが必要では。公開の予定ありや。

清水氏;外部のセキュリティ会社には入っているが、名前は非公開。

田口氏:セキュリティ面でも問題があるので公開はしないが、省庁には報告する予定。リスト攻撃のうち、808件のうち、ほとんどがパスワードリスト型の攻撃と認識としている。被害があったものを調査したらパスワードリストであったということ。個別についてはご相談をさせていただきたい。

岸本記者:7pay存続は何のため?

後藤氏:7payは決済のゲートウェイ機能を担っているので、それは続けていく。

朝日伊藤記者:加盟店への負担。どのような負担がどうかかっているか。10月以降はポイント還元があるが、負担はどうかかる。

後藤氏:お客様対応が加盟店の最大の負担。7-11として対応を検討していく。ポイント還元のコストについては、様々な業者が提供するスマホ決済の費用は本部で負担する。

東記者:開発体制に原因があったのは何故か。

後藤氏:金融事業会社がチームとなって開発にあたってきたが、主体は7payが責任。横串、ガバナンス等々については弁護士による検証チームが調査している。

TBS: 返金は?ログインできなくなった人は?

奥田氏:今すぐチャージ残高を戻せという顧客はいるが、9/30までは使えるので、そのまま使えますという説明。必要なら一時凍結。10月から払い戻し。7iDでログインできない人には、元々お持ちだった7iDを利用できるようご案内させていただく。

後藤氏:お詫びの言葉。お客様、加盟店、関係者に対して。