7Payの失態で露呈した本当は怖いIDの話｜楠 正憲（デジタル庁統括官）

セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に

[totoronoki]

昨今の大企業は人任せで、責任や負債を外部に押し付けることで金を稼いでる。セブンはまさにその代表。そういう悪徳が足元の穴を放置する状況を作り、見事に落ちた。被害者には悪いが見てて清々しいしっぺ返しだ。

[tetsutalow]

そう、内製じゃないのが本質だと思う。こういうサービスが事業の根幹を支えるものだと認識しているのであれば、セキュリティ確保のためには運用も開発も内に抱えるべき。5年前から言い続けてる。http://bit.ly/2RWs0VV

[norick]

7pay側にしろベンダ側にしろ問題点を把握していたエンジニアはいただろうね。お金にならない、問題が起きてないという理由でスルーされていた可能性も高そう。

[NOV1975]

フランチャイズ騒動で企業文化が底割れしてたわけで、今回はみんな「まさかセブンが」じゃなくて「セブンだから」になったね。にしても、この業務上の欠陥を指摘しないセキュリティ検査って…いや多分指摘してるな

[kiwi0120]

外注するにしてもせめて「まともな」要件定義は発注側が作らないとね。予算とやりたい事だけで要件定義からの受注を受ける事はままあるけど、大体その場合、発注元がシステムをグリップできなくなる。

[K-Ono]

この数十年アウトソーシングが正義だったのに最近の内製化ブーム(?)はなんなんやろねえ。おれが考えるとだいたい株主が悪いになっちゃうので誰か頼む。

[ewq]

ちなみにOmni7は2015年リリース。日本オラクル、NTTデータ、NEC、野村総合研究所（NRI）を中心に複数ベンダーで構成するチーム体制とのこと https://japan.zdnet.com/article/35074678/

[taguch1]

内製だろうが外注だろうがバカをバカと言えない現場はこうなる。内製だと大丈夫なんて現場知らない人の思考停止。

[snare_micchan]

うーん、SI案件でもセキュリティインシデントは自社の損失（損賠）に繋がるからインセンティブがない、は誤りだな。ちょっとこの筆者にしては短絡的過ぎる

[mkusunok]

みんな7Payのことを馬鹿にしてるけど、本当は他人事じゃないんじゃないの？同じ事はきっとまた起こるよ、自分だったら防げたって胸を張れる？ってことを考えてみたり

[ZeitungM]

セブンペイ/7ペイ セキュリティ "記者会見からは今回の不正に対して経営者の当事者意識さえ感じられず、事故は起こるべくして起こった印象を受けた。"

[el-condor]

セキュリティは非機能要件だから、ベンダ側と発注側の少なくとも何れかの意思決定層に解ってる人がいないと完全に落ちるんだよね。この件、セブン側はせめてコンサルを意思決定に参与させられなかったのかなあ。

[nilab]

ベンダー丸投げ。「内製していれば現場のエンジニアにとって、自社の損失に繋がる不正に対して最優先で取り組むインセンティブがあるが」「記者会見からは今回の不正に対して経営者の当事者意識さえ感じられず」

[asakura-t]

7Payは法人が分かれてるところが気になってる（他に分かれてるトコがあるのか気になってる）。外注の問題だとしても、どこが（7PayなのかSEJなのか、実は他の法人なのか）主体なのか謎なんだよな。

[RPM]

"開発現場や顧客が問題に気付いて不正に悪用される可能性を指摘したところで、経営者や管理職が真摯に傾聴して、利用者保護を最優先に意志決定しないことには不正に対処できない。"

[natu3kan]

関連：ヤフー楠正憲氏が語る、Yahoo! JAPANが取り組む情報セキュリティ対策の組織と技術 (1/4)：EnterpriseZine（エンタープライズジン）(https://enterprisezine.jp/article/detail/8574)

[yogasa]

内製ならなおすインセンティブがあるというなら，外注でもセブンペイには「なおさせる」インセンティブがあるはずだが。特にSIビジネスは無償で追加対応しろとかよくあるじゃないか

[egamiday2009]

専門生の担保はセキュリティ案件>”日本では行政機関や大企業の多くが組織内に開発要員を抱えずベンダーに依存している。IT技術やセキュリティーに疎い経営者や管理職も少なくない”

[nkawai]

“記者会見からは今回の不正に対して経営者の当事者意識さえ感じられず、事故は起こるべくして起こった印象を受けた。”

[daybeforeyesterday]

うーむ

[endo_5501]

“ユーザー企業とベンダーとで財布が分かれていると、不正を放置したところでベンダーの懐は痛まず、気を利かせて対処したところで増えた工数分を請求できるとは限らない”

[hondamarlboro]

内製してないからインセンティブがないって、んなわけないだろ。内製も外注もそんなんで仕事させられんわ

[kaerudayo]

“内製していれば現場のエンジニアにとって、自社の損失に繋がる不正に対して最優先で取り組むインセンティブがあるが、ユーザー企業とベンダーとで財布が分かれていると”

[kuracom]

仕様を書く人は客先との調整能力が求められる。容易に追加されようとするクソ機能の圧力と戦う能力。

[k146]

どうせ日本企業あるあるの「先行サービスにビジネスチャンスを奪われるのが嫌だと言う一心で納期を先に決めて、何故か要件定義をベンダーにやらせる」からスタートした案件なんだろうと見下げ果てている。

[paravola]

（YahooID漏洩の責任者として胸に手を当てて考えてみたと）仮に自分が当事者だった場合は本当に不正を防ぐことができたのか、胸に手を当てて考えてみてはどうだろうか

[snapchat]

これぐらいインシデント、収益絶好調のSIerにとってはかすり傷なんだよなぁ

[azuk1]

内製化したらなんでも解決すると思ってるのも頭悪いよね。ユーザーの立場であれこれ無茶言えてたから今まで何とかなってたことが内製化したらできなくなるんだから。現状デメリットのが大きいと思う

[mas-higa]

主旨には完全に同意 / “放置したところでベンダーの懐は痛まず” 恥も外聞もなく訴えればベンダーは負けますよね。だからベンダーは対応しなくてよい旨の書面を残してるはず。

[tshota72]

“経営者や管理職が真摯に傾聴して、利用者保護を最優先に意志決定しないことには不正に対処できない。”

[matsui]

セブンドリームドットコムから何も変わっていない。終身雇用の弊害。

[dorje2009]

今回の件だけについて言えば内製かどうかは本質的な部分なのかな？違う気がする。セキュリティ要件や受入試験項目の必須部分だけでも社内で標準化しておけば防げたのでは？

[maninthemiddle]

ID認証はデジタルビジネスの土台なのにね

[minamishinji]

セブンイレブンの凋落ぶりがすごい。時代錯誤感も。

[zapperd]

「7Payはリリース翌日から海外から頻繁に不正アクセスされた」…そんなこと言ってたっけ？

[soul_soul_Q]

「リセット時に他のメールアドレスを設定」って、どーしてもやりたいコダワリ（趣味）だったんだろうか？見たことないじゃん。誰も言わなかったんだろうか、謎すぎる

[plusqplusq]

アウトソーシングを語るのによくダイエーとイトーヨーカドーを比較してた印象がある。ここへ来てアウトソーシングの駄目な所と思しき事象が出てきたのは興味深い

[udongerge]

アウトソーシングも良いことばかりではない

[ene0kcal]

「ID周りの実装やテストに携わったエンジニアの幾人かは問題に気付いていた可能性が高い。」←私も同じ事思った。数ヶ月前の改元対応で仕様ミスに気付いたので報告したが、まぁいい顔されないんだよね。

[tana005]

“端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に多くの情報と照合して認証しており、日々新たな手口を見つけては検出”