全4743文字

 日々進化、巧妙化するビジネスメール詐欺、マルウエア攻撃。錯誤を狙った罠(わな)や理解不足による失敗にはまらないためのセキュリテイー常識講座です。自分だけでなく、会社や取引企業、人脈を傷つけないための常識、ソリューション力を身につけられるような内容にしていきます。

あっという間に攻撃された7pay

セブン-イレブンアプリのトップ画面。7月1日に7payの機能が使えるようになった翌日には不正アクセスが報告され始めた

桜井敏昭(日経ビジネス):連載初回の今回は、ネットのサービスを利用する際の「基本のキ」、ユーザーIDやパスワードにまつわる話です。2019年の7月1日に、セブン&アイ・ホールディングスが始めたQRコード決済サービス「7pay(セブンペイ)」で不正アクセスによる金銭的な被害が発生し、サービスを廃止することになりました。セブン-イレブンアプリの決済機能として追加された7payですが、サービス開始直後にSNS(交流サイト)などで被害が報告され始めました。このため、先行して使われていたセブン-イレブンアプリからIDとパスワードが漏れていたのではないかとの臆測も呼んでいます。

辻伸弘(セキュリティリサーチャー):不正アクセスの被害報告が出たのが早かったですからね。仮にIDやパスワードが漏れていても、セブン-イレブンアプリに7payの決済機能がつく前は、サイバー犯罪としての不正アクセスをしても金銭的メリットが薄いですから。決済機能がついたところで、ここぞとばかりに仕掛けたとも考えられます。

「性的脅迫」スパムはパスワードの漏洩を装う

 また、パスワードの再設定の仕様に問題があり、IDやパスワードが漏れても、すぐには不正アクセスされないようにする「2段階認証」などの「多要素認証」の仕組みもありませんでした。不正があったときの賠償や信用喪失を考えれば、多要素認証は利用者だけでなく、サービス提供者を守るものでもあります。その意味では、決済を扱うサービスにしては脇が甘いとも言えますね。ただし、不正アクセスが起きた原因は、そうした脆弱性だけでなく、他にも原因があるようです。セブン&アイは、他で漏れたID、パスワードを利用した「リスト型攻撃」と発表しましたが、本当の原因は曖昧なままです。

桜井:ID、パスワードといえば、昨年あたりから、恥ずかしいサイトを見ていたときの姿をパソコンのカメラで記録した、といった脅迫めいたメールが送られてくるようになりました。「お前のID、パスワードを知ってるぞ」、という文面のものもあり、ドキッとした人もいたようです。

セクストーション・スパムメール。「あなたがアダルトサイトを訪れたときにマルウエアに感染し、それ以来あなたの行動を観察している」とある。請求額は988ドルのビットコイン

:「セクストーション(Sextortion、性的脅迫)」と呼ばれるスパムメールですね。「Sex(性的)」と「Extortion(脅迫)」を組み合わせた造語です。仮想通貨などで金銭の支払いをしないと、恥ずかしい映像や画像を流出させると脅してきます。ID、パスワードを示したメールもあるようですが、実際に使っていたものでなかったり、古いものだったりすることもあります。これまでは、文面が英文のものが多かったですが、最近では日本語のものも登場し始めています。

桜井:メールアドレスが意図せぬ第三者に漏れているというのは気持ちよくないですよね。それに、メールアドレスをユーザーIDとして使うサービスは多いですから、心配になります。