記者会見の概要のwebアップも終わったので、自分の考えを書いてみたい。
最初に申し上げておきたいのは、7pay社や7&iグループ各社は、今回の事件の被害者であり、顧客への被害も補償することを確約しているということだ。最終的に生じるであろう損失を負担するのは彼らなのであり、彼らを責めても問題は解決しない。記者会見が比較的平穏なやり取りで進んだことは、よかったと思う。
他方、その情報公開のやりかたについては、多少の注文を付けたくなる気持ちもある。セキュリティ対策はできるだけ透明にしたほうがかえって最終的には安全になるということは、情報セキュリティ技術を学ぶ者の常識である。今回の犯罪も、その手口や付け入られた欠陥などを、可能な限り公開してほしかった。今回の事件は、金額はさほど大きくはないとはいえ、世間を大いに騒がし、スマホ決済やキャッシュレス化に対する信頼を損ねるものであった。信頼を回復するためにも、他のキャッシュレス決済の信頼を確保するため、あるいは7&iが再度チャレンジするためにも、何が問題だったのかを可能な限り明らかにしてほしいと思う。
今回の記者会見で多くの記者が不思議に思い、突っ込みを入れたのは、「パスワードリスト攻撃だと断定はできないのではないか」ということだった。2015年にomni7を作った時から、外部IDとの接続部分に大きな仕様上の問題があり、そこから情報が漏洩したのではないか、という報道が流れていたからだ。
今回、詳細な情報が明らかにされないまま、攻撃手法をパスワードリスト攻撃と断定したのは、多くの人々の納得を得られるものではないだろう。とはいえ、ログを詳細に確認し、不正使用されたID全てについてヒアリング調査をしたのだとすれば、とりあえずはそういう前提で理解してもいいかもしれない。推定困難なパスワードを手帳に控えていた人が被害に遭ったとテレビに出ていたが、そうした事例がごく少ないのであれば、その人が被害に遭ったのは別のシナリオが考えられるかもしれない。プロのセキュリティ会社が入って出した結論がパスワードリスト攻撃だというなら、それを明確に否定できる材料が公開されている訳でもないから、とりあえずはその言い分は正しいものとして考えていいのではないか。
もう一つ、気になったのは、「7payは駄目だが、7iDは問題ない」というトーンで統一されていたことだ。言うまでもないことだが、パスワードリスト攻撃に遭って808個のIDとパスワードが漏洩してしまったのは、7iDなのである。7iDでログインできるomni7の中には、利用者が登録したクレジットカードの情報もあるのだから、パスワードリスト攻撃でパスワードが推定されてしまっては駄目なはずである。だからこそ、7月30日に全IDに対してパスワードの強制リセットをかけたのだ。新しいパスワードでは桁数を増やしたり英語の大文字小文字や数字や記号を入れさせることで、まさにパスワードリスト攻撃への耐性を高めようとしたのであって、それはセキュリティ上の理由なのである。
どうもこの7iDの話になると、記者会見の回答の歯切れが悪くなるのは、聞いていてとても気になった。内部と外部の専門家が見て、現在のサービスに対応して、7iDは(つまりomni7は)安全であると強調していたが、それは結局、7payは出たてのサービスで利用も限定的だが、7iDとomni7は2015年から続いているライブのシステムであり、7&iグループのデジタル戦略の要であるという認識があるからであろう。
今回の失敗が、〇〇payシステムの基盤を支えるにはセキュリティ対策が不十分な7iDを、7payの基盤に使ってしまったことだ、と認めたことは、会見の中でも評価できる点である。もちろん、利便性を損ない、コストが掛かっても、100%(は無理だけど限りなく)安全であること追及するのは、望ましいことではない。バランスも大事である。しかし、今回の事件で7iDが十分には安全ではないことが実証されてしまったのだから、7iDのセキュリティを高めることがどうしても必要なはずである。ただし、それはできればこっそりと、あまり評判を落とさない形で進めたいと考えているのだろう。
「omni7ではなく、連携しているサービス側で、外部IDとの連携を解除している」といった説明もあったが、外部IDとのOAuth認証などに問題があるのであれば、7payに限らず、7iD全体の問題として見直しをしていくべきである。多分、問題はスマホ決済の信頼性だけではないのだ。様々なデジタル化の信頼性の問題であり、その影響範囲はかなり広いと考えざるを得ない。このようなレベルであるにもかかわらず、「外部の専門家から問題ないという書面をいただいている」ということは、そうした安全確認の枠組み全体への信頼を脅かすものではないだろうか。