7pay 開発 ベンダー。 7payを終了させた本当の理由とは? 残った未解決の問題

7payアプリ(セブンペイ)の開発元(開発会社名)ベンダーはどこで特定?古臭い企業風土で年長者パワハラも?

7pay 開発 ベンダー

セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。 原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。 GAFAはじめYahoo! や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。 利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に多くの情報と照合して認証しており、日々新たな手口を見つけては検出方法を改善することによって不正アクセスを遮断している。 7Payはリリース翌日から海外から頻繁に不正アクセスされた。 日本国内のセブンイレブンでしか使えない7Payに対する海外からのアクセスは例外的なはずだ。 ボットからの機械的なアクセスであれば、登録した利用者の端末環境と特徴を照合することでも不審なアクセスを検出できた。 パスワードリセット時に他のメールアドレスを設定することは、乗っ取りに悪用されることから昔から禁じ手とされている。 幾重にも杜撰な仕様が重なったことで、リリース直後から大きな被害が生じてしまった。 同社は記者会見で「あらゆるサービスについて、事前にセキュリティ審査をやっている。 7payもきちんと確認したが、脆弱性はなかった」としている。 いわゆるセキュリティー業者が実施する脆弱性診断は、利用しているソフトウェアやXSSやCSRFといったWebアプリケーション実装としての脆弱性を外形的に診断するものが多く、ログインやアカウントリカバリー(パスワードリセット)の仕様や業務要件の欠陥までは確認しないことも考えられる。 セキュリティーベンダー任せにするのではなく要件レベルで十分なリスク分析を行い設計をレビューしなければ、今回のような業務フロー上の抜け穴はレビュー対象から漏れてしまう、或いは指摘されなくても無理からぬことだ。 他の決済アプリの実装レベルやWebアプリケーション開発者の「経験知」と照らして7Payの実装があまりに稚拙であることは確かだ。 とはいえ最新の知見に基づく安全なIDの構築方法は、教科書として体系化されていない。 特に不正対策の具体的な手法は対策をすり抜けることにも悪用できてしまうことから、各事業者も広くは開示できないまま現場のエンジニア同士が非公式に情報交換したり、議論を闘わせているのが実情だ。 とはいえ先行する様々な決済アプリと7Payとで、何故これほど大きな差ができてしまったのか。 ひとつは先行するGAFAやFinTechベンチャーが、いずれもエンジニアを自前で雇ってシステムを内製しているのに対して、7Payはベンダー任せになっていたからではないだろうか。 FinTechベンチャーにとってサービスのリリースははじまりに過ぎず、使われ方をログで追っかけて日々改善し続ける。 その中で不正への対策も継続的に実装していく。 例えばLINEは、LINE Payを出す前からIDの乗っ取りに苦しみ、地道に実装の改善を続けてきた。 サービスに対して自分事として継続的に取り組むからこそ不正と対峙できる。 ベンダーに開発を丸投げし、予定通りの期日、予算でシステムを完成させることばかり考えていると、後からセキュリティー上の課題が見つかっても、当初の要件に含まれていないから、攻撃者とのイタチごっこでは要件を明確にできないから、期日通りに仕上げることが最優先、膨れ上がった工数分を後から請求できるとは限らないといった理由で、不正対策が後回しにされてしまった可能性はないだろうか。 内製していれば現場のエンジニアにとって、自社の損失に繋がる不正に対して最優先で取り組むインセンティブがあるが、ユーザー企業とベンダーとで財布が分かれていると、不正を放置したところでベンダーの懐は痛まず、気を利かせて対処したところで増えた工数分を請求できるとは限らない。 発注者がセキュリティーの重要性を理解し、リスクに敏感であれば、課題が見つかった段階でセキュリティー対策を追加発注できるのかも知れないが、記者会見からは今回の不正に対して経営者の当事者意識さえ感じられず、事故は起こるべくして起こった印象を受けた。 今回ほど杜撰な仕様であれば、ID周りの実装やテストに携わったエンジニアの幾人かは問題に気付いていた可能性が高い。 7Payの元となった7IDはしていたことから、パスワード再発行の仕組みの問題点について、利用者から指摘されていた可能性もある。 開発現場や顧客が問題に気付いて不正に悪用される可能性を指摘したところで、経営者や管理職が真摯に傾聴して、利用者保護を最優先に意志決定しないことには不正に対処できない。 7Payに限らず日本では行政機関や大企業の多くが組織内に開発要員を抱えずベンダーに依存している。 IT技術やセキュリティーに疎い経営者や管理職も少なくない。 限られた予算や期日の制約の中で、当初合意した仕様に縛られて情報システムを構築しているのは7Payだけではない。 問題を起こした7Payを後知恵で叩くことは容易だが、似たような問題が今後も起こる可能性はないか、仮に自分が当事者だった場合は本当に不正を防ぐことができたのか、胸に手を当てて考えてみてはどうだろうか。

次の

セブン&アイ、2019年7月よりバーコード決済「7pay」開始

7pay 開発 ベンダー

不正利用の被害が多発していることについて、このあと記者会見が開かれます。 クレジットカードやデビットカード、店頭やATMでのチャージ(入金)も停止する。 すでにチャージ済みの金額は利用できる。 不正の被害は4日午前6時時点の試算で、計約900人、約5500万円。 不正の被害については「全ての被害に対して補償を行う」としている。 問い合わせは、お客様サポートセンター緊急ダイヤル(0120・192・044、24時間受け付け)へ。 4日午後に記者会見したサービス運営会社セブン・ペイの小林強社長は「被害に遭ったお客様に深くおわび申し上げます。 セブンペイを利用してくださっているお客様、関係者に多大なるご迷惑ご心配をおかけしたことをおわび申し上げます」と謝罪した。 引用: 今回不正アクセスによって、わかっているだけでも900人分、5500万円の被害額が出ているということでした。 さらに小林強社長が、二段階認証やSMS認証を知らなかったとしてネットでは炎上しています。 7payアプリ開発会社はどこ? ファミペイの障害が話題ですが、私の知り合いはセブンペイ(7pay)の開発プロジェクトに従事し あまりの古臭い企業風土と技術レベルの低さ、年長者を敬わないとパワハラで虐められて上に行けないというIT系とは程遠い品質軽視納期重視主義が嫌になってやめて逃げてきたそうです。 — ジョニーDIFF🌱物忘れの妖精 j2diff そして気になる7payアプリの開発会社はどこなのか?ということについてです。 記者会見では、開発は何社かの協力会社と協力してシステム構築をしたということでした。 ですので、全て内製で作ったというわけではないんですね。 そこで調べてみた所、上記のようなTwitter投稿がでてきました。 上記Twitterでは、元々7payの開発プロジェクトにいたプログラマーのことについて書かれたようですが、なんと古い企業風土に技術レベルの低さ、さらに年長者を敬わないとパワハラを受けるといったような会社があったようなんです。 つまり、これでわかることは昔からある開発会社ということですよね。 しかし、まだ特定には至っておりません。 上記の会社名を予想している方がいますが、この会社と決まったわけではありません。 "同社では、チームITの考えで、NTTデータ、NEC、NRI、Oracleの4社のITベンダーのチームで開発し、成功したという。 ":11月から始まった「セブン&アイ」のオムニチャネル戦略とは? 業務検討で10カ月、システム開発で15カ月を要したという。 システム開発にあたっての課題は、さまざまな業態が混在するマルチカンパニーである点と、各システムが13社のマルチベンダー化しており、これらの環境をまとめることが大変な点だった点だという。 これに対し同社では、チームITの考えで、NTTデータ、NEC、NRI、Oracleの4社のITベンダーのチームで開発し、成功したという。 引用: ちなみにセブン&アイの総合通販サイト『omni7』は、NTTデータ、NEC、NRI、Oracleの4社で開発したそうです。 Twitterでは、7payの開発はこれらの会社と同じではないかとも予想されているようです。 実際は保険かけてると思うけど、その支払いも揉めそうな気がする。 一気にセキュリティホール流出が早いだろ、意図的にもらしてるとしか。 — なかじー 三重 megaella 7payやベーな これ開発会社が責任とらされるのかな。。 あとgoogleに7payって入れると「7pay 開発会社」の候補。 あのセキュリティレベルの中リリースを見送った開発会社エンジニアはどういった気持ちなんだろう。 「リリース判定会議通ったぞ」 「まじ?w 地獄から解放されるわ」 「後は知らん。 で、作った一番下を出したところで意味はない。

次の

セブンペイ問題の開発会社はNRI?責任の所在とIT業界が抱える問題点について

7pay 開発 ベンダー

セブン-イレブンアプリの7pay機能は、 一部の噂では小林強社長の謝罪記者会見後に ベンダーに対して「1週間で改善しろ!」と無茶な号令がかけられたと言われていましたが、 1週間以上経過した7月23日現在、新規登録・チャージなどはできないまま。 不正使用事件に発展した7payの脆弱性はいまだに改善されていないとみられますが、 ソースコードが漏洩していた可能性があるという、場合によっては一大事になりえるニュース記事がありました。 オムニ7ソースコードがGitHubで漏洩が7pay不正利用の原因? 報道によると、セブンイレブンの別のシステム「オムニ7アプリ」で、 ソースコードがGitHub上で公開されていた疑惑がもたれています。 7payとオムニ7アプリは別々のシステムではあるものの、 2つのシステムがどのように連携しているのかは、私たちから見るとブラックボックスです。 7payとオムニ7アプリがもし疎結合ではなくて密結合の場合、 オムニ7アプリのソースの流れを引き継ぐ形で7payが開発されていた可能性は考えられます。 ニュース記事ではGitHubで疑惑のソースコードのキャプチャ画像が紹介されていて、 「OMNI7APP」という名前が付けられていることがわかります。 発見者(首都圏のIT企業につとめるプログラマーのユースケさん?)によると、 7payの外部ID連携の通信解析をしてみたところ、 「OMNI7APP」というAPIサーバーの名前を発券。 GitHubで同名のソースコードがないか検索したところ、 公開状態でアップされているソースコードが見つかった、 ということみたいですね。 オムニ7アプリとみられるGitHubの漏洩ソースコード開発元はNTT DATA MSE? ただこれだけの手掛かりでは、 7payの不正利用がソースコードの漏えいが原因だったという、 決定的な証拠とは言い難いものがありますが、 話はこれだけで終わりません。 現在はソースコードを取得することはできないものの、 ニュース記事の取材班が削除される前のソースコードを入手。 専門家(国際大学GLOCOM客員研究員の楠正憲氏)に解析を依頼したところ、 「セブンネットショッピングと関係あるソースコードである可能性が高い。 」 との調査結果を受け取っています。 繰り返しになりますが、この件が7payの不正利用が原因だと断定するのは結論を急ぎ過ぎではあるものの、 少なくともオムニ7、もしかしたら7payでもずさんな管理が行われていた可能性は考えられます。 オムニ7アプリのソースコードがGitHubで漏洩疑惑に関するツイッターの反応.

次の