７Payのセキュリティ問題と、中国・生体認証決済でわかった多要素認証の重要性

７Payの問題は、どこにあったのか

 氏名・生年月日・電話番号・メールアドレス・パスワードは、過去の様々な情報漏洩によって、攻撃者がリストを入手しやすいものです。

 なぜなら氏名・生年月日は、変更しようがありませんし、電話番号・メールアドレスも全てのWebサイト・アプリごとに変えることが非現実的なためです。様々なサービスでパスワードを使い回さないという自衛策は、攻撃リストによって不正アクセスされないためです。

 7Payの利用は、アプリのID（登録メールアドレス）とパスワード、チャージ用の認証パスワードが必要です。したがって、7Payの不正利用のニュースを最初に聞いたとき、私はメールアドレスとパスワードの組み合わせリストが攻撃を受けたのだと思いました。



 しかし、その後、7Payのパスワード再発行の手順を知り、クレジットカード情報が紐づくアプリとは思えない仕様に驚きました。

  7Payのパスワード変更に必要なのは、ID（メールアドレス）と電話番号、生年月日です。この組み合わせを知っていても通常のアプリ・Webサイトは、登録メールアドレスへのメールや、携帯電話へSMSでワンタイムパスワード（セキュリティトークン）が飛んできます。①知識要素が流出しても、③所持要素で不正利用をブロックできるわけです。

 しかし、7payのパスワードリセットメールを登録メールアドレス以外にも送付できるという機能は、①知識要素が全て知られている場合、セキュリティが機能しないということです。この仕様は、単なるポイントアプリならまだしも、クレジットカードが紐づいた決済アプリとしては致命的です。

 なお、iOS版に関しては、生年月日なしでアプリ登録が可能（2019年1月1日で登録される）なため、生年月日を未登録の人は、生年月日なしでリセットできてしまう仕様でした。この場合、メールアドレスと電話番号の組み合わせだけで乗っ取ることができます。

 また、外部ID（Twitter、Facebook、LINE、Google、Yahoo!）との連携でも、攻撃者が容易にセキュリティトークンを入手できる脆弱性があったことが明らかになっていますが、非連携ユーザーにも被害が出ていることから、今回はシステムの脆弱性ではなく、認証要素に話を絞っています。

 ちなみに同時期にリリースされたファミリーマートの「ファミペイ（FamiPay）」は、パスワード再発行に生年月日と電話番号という①知識要素しか要求しませんが、その電話番号にSMSでワンタイムパスワード（セキュリティトークン）が飛んでくるため、①知識要素が流出しても、③所持要素で不正利用をブロックできる仕様です。

 今後、テクノロジーの発展により顔認証をはじめとした②生得要素を利用した決済が増えてくると考えられますが、その設計・利用の際は、中国で導入されているように、①知識要素と③所持要素を組み合わせた多要素認証になっているか、よく考えていく必要があります。


 

他の連載記事:

ニュースと体験から読み解くリテール未来像　の記事一覧