雑談#6 【セブンペイ不正アクセス】アカウントを不正に使用された経験ありますか?

スポンサーリンク

今回はセブンペイ不正アクセスにちなんだお話をしたいと思います。

お品書きはこちらです!

 

 

1.セブンペイ不正アクセス騒動にまず一言

昨日、いや正確には一昨日から大騒ぎなセブンペイ。
paypayでもクレジットカードの不正利用があっただけに、またこういう事件があるとキャッシュレス化に不安を持つ人が増えそうです。

キャッシュレス化


利用者側からすると対応の遅さにイライラしたんじゃないでしょうか。
そして会見でのセブンペイ社長のIT音痴ぶりにはちょっと呆れましたね。
確かに、社長クラスの人が技術的な細かいことまで正確に把握することは
難しいかもしれないけど、2段階認証」「SMSぐらいは知っててほしいですね。

 

お金が絡む決済システムだからこそセキュリティは万全に、というのもありますが、
今はインターネットが社会基盤として広く利用されている世の中です。
ネット経由のビジネスがもう当たり前な世界です。
このような時代では、サービス提供側はセキュリティの知識は大前提として持っていてほしいです、トップの方たちにも。

 

リリース前のセキュリティ審査じゃ脆弱性みつからなかったアピールも酷かった。
そこを絶対として我々には落ち度はなかったっていうのを主張したかったんでしょうか。
そんなの仮に思ってたとしても記者会見の場で言うべきじゃなかったでしょう。
そもそもこういう思考だと再発防止とかきちんと考えられないじゃないかという不安に駆られます。

 

ところで疑問なのは、パスワードを忘れた際に登録したメールアドレス以外にメールを送ることができるという仕様が何故通ってしまったのか。


具体的にどういうプロセスでシステム開発を進めていったのかは知りませんから、どのポイントにどれぐらい関所を設けているのかもわかりませんが、あの仕様は普通は通らない気がします。どんなにレビューがザルでも品質管理部門のチェックで絶対ひっかかる代物なんじゃないかと。


品質管理部門のチェックは私の経験上ではとにかく厳しくて欠陥を指摘されると改善作業と類似欠陥対応作業でコテンパンにやられます。
あんな仕様でてきた時点で突っ返されそうです。
突っ返されなくても、どうしてその仕様で問題ないかを説明させられるはずですが、納得させるだけの説明はできない気がします(笑)

 

みたいなことを考えると、開発プロセスや開発体制に問題があったんじゃないかと思わざるを得ないです。

プロジェクトとして何に重点を置いて開発を進めていたのか。
プロジェクト開発計画書とかあるなら読んでみたいですね。(外部の人間が見れることはないでしょうが)
ただそうなると、今回のこの不正利用の対応自体もきちんとできるかどうか怪しい気がします。
今回の欠陥に対する的確な対応ができるのか、類似の欠陥を見つけ出す作業はきちんとおこなわれるのか、再発防止策は?
不安でしょうがない!

 

開発メンバーはしばらく徹夜で対応に追われるのかもしれません。
手を動かすのがメインのメンバーの体調やメンタルに気を遣いながら、作業の切り盛りができるリーダーが居てくれるといいんですが。

 

ひとまず今回の不正アクセスによる逮捕者が出たので事件としては解決に向けて徐々に進展していくのかもしれませんね。
そちらは警察に頑張ってもらうとして、セブンペイのシステム開発側はサービス安定化に向けて開発プロセスを見直した上できっちり対応して頂きたいです。


2.アカウントを不正に使用された経験はありますか?

ところで、今回のセブンペイのようにアカウントを不正に使用されたことがある経験者ってどれぐらいいるんでしょうかね。
これ読んでる方でもいたら是非コメントを残してくれると嬉しいんですが、

不正アクセスされたことありますか?



実は私は経験があるんです!!!(笑)

 

もう6,7年前の話なので正確に覚えてない部分も多いんですが、
アカウントを不正に利用されてそのアカウントに紐づいていたクレジットカードで100万以上の買い物をされたことがあります!(笑)


今となっては笑い話で済ませられますが、不正利用されていることに気づいたときはびっくりしてドキドキが止まらなかった記憶があります。
というか、自分は絶対大丈夫だろうなんて高を括ってましたからね、明らかに。。。
このことがあってからアカウント管理は本当に気を付けるようになりました。
何かあってからじゃ遅いっていうのはこのことです!(笑)


3.アカウントを不正使用された顛末の詳細!

前述したとおり、6,7年前のことです。
たしか、平日に年休をとって自宅でのんびり休んでいた時のことです。


たまたま、虫の知らせか何かわかりませんけど、そういえばクレカの明細みとこうと思いついてクレカのメンバーサイトへアクセスしたんですよね。

だいたい毎月これぐらいの金額っていうのがあるので、まあそれぐらいだろうなぁって思って覗いてみたら、請求金額100万以上!

確かに、ちょっと高額なものでも払える額なら一括払いで払う派なので、
それなりの額がいってしまうこともあるんですが、
その時直近で大きい買い物はした記憶がなかったので、どういうことだろうと思って明細を確認しました。

すると、


とあるサイトでがっつりお金使ってるじゃないですか!
全く身に覚えないんですけど!

 

身に覚えのない請求が!

これはまずいと思って、まずクレカの会社に即電話です。
まずことの詳細を説明したあと、カードを停止してもらいました。
で、この身に覚えのない請求はどうしたらいいのか尋ねると、
当たり前な話ですが、カード会社がどうこうできるわけありません。
不正利用されたと思われるサイトに連絡してくださいと言われました。l
そりゃそうですよね。。。

というわけで、そのサイトへ今度は電話です。
ちなみにそれどこかっていうとDMM.com(以下DMM)」でした。

あ、なんかここで名前だすとDMMさんに悪いイメージ与えちゃうかもしれませんが全然違います!
むしろきっちり対応してもらって本当に感謝してるんです!
悪いのはほぼ私なのでそこは間違えないでください(笑)

 

話を元にもどして、
そういうわけでDMMに連絡すると柔らかい物腰を感じる女性の方が対応してくれました。(この描写はいるのかどうかw)

たぶん美人に違いない担当者の方

身に覚えのない購入履歴があるので不正に利用されていると思うという話をすると、
私のIDはもちろん、そのサイトを使用する可能性がある端末のすべての詳細(機種だったりOSだったり)、
そのサイトを利用する可能性のある場所(家だったり外出先だったり)等々について尋ねられました。
あと多分IPアドレスも聞かれたと思います。

もっといろんなことを聞かれたとおもうんですが忘れちゃいました、こういう時のためにメモっておけばよかったです(笑)

諸々の尋問が終わった後、担当の方が調査に入って待ち時間になりました。

待ってる間は特になにもせずじっと待っていた気がします。
ほかに何かしながらなんていう気持ちにはとてもなれなかったです。

そしてしばらく待っていると、再び通話が繋がりました。

担当者の方曰く、明らかに私以外の誰かからのアクセスがあったことを確認しましたという報告がありました。

まあ調べる前からそれはわかっていたにしても「うわっ、本当にやられてた」っていうなんだか悔しい気持ちが最初にきたあと、
身の潔白が証明されてよかったという安堵の気持ちでいっぱいになりました。
担当者の方はもう女神のように見えました!(見えてないけどw)


確かに私がおこなった決済ではないことが証明されたので、何者かが不正利用して購入した分については担当者の方にすべてキャンセルして頂き、翌月100万以上引き落とされる事態にはなりませんでした。

 

ちなみに不正アクセスされてしまった原因は、パスワードがメールアドレスから簡単に想起できるものだったためです。。。
さらに言うとしばらくDMMにアクセスしていなかったので(数か月以上)、それがまた悪さをする期間を与えることになってしまいました。
皆さんもお気をつけてください。。。

 

4.どころで不正アクセスした人は何をそんなに買っていたのか??

DMMで100万も使うって結構限られますよね(笑)
どうやらアダルティなライブチャットで利用するポイントのために1日10万とか使っていたようです。

ライブチャットで利用するポイントに使われていた!



びっくりしたことにそれ以外のことには一切使っていませんでした。
それはそれでなんだかショック。。。(笑)

 

5.まとめ

 今回は、セブンペイ不正アクセスを皮切りに私の不正利用された経験談まで書かせて頂きました。
というかメインは私の経験談の方になってしまったかもですが(笑)

どんなにセキュリティ強固なシステムを構築したとしても、皆さん自身がアカウントを杜撰に管理していたら悪さをする人間につけこまれてしまいます、私のように!(笑)
今回セブンペイの不正アクセス問題は明らかにシステムの仕様に否がありそうですが、利用する側の私たち自身もセキュリティ対策をきっちりしていきましょう。