緊急投稿:またPayがやってくれた
また起きてしまいました。ということで緊急投稿です。
セブンイレブンが鳴り物入りで投入した新たなQRコード決済「7pay」で、重大なセキュリティインシデントです。ついこの前、YahooのPayPayで大騒ぎを巻き起こしたにもかかわらず、それすらカワイイと思えるくらいの信じられないレベルの仕様ミス。
さらには、記者会見で社長が「二段階認証」のことを知らないということが発覚。
そもそも、この人はセブンイレブンの社長ではなく、7payの社長です。このサービス、単一事業しかやっていない会社のトップが、サービスの根幹をなす部分について勉強していないということ。そして、この社長に割って入るセキュリティの専門家が会見に出席した役員の誰にもいなかったこと。
これは致命的です。セキュリティを重要と考えていないという明確な証拠です。
で。PCI DSSに準拠してない!という指摘を目にしたもんで、
「あれ?そんなん書いてたっけ?」
と思ったのですよ。で、もう一度読んでみたのですよ。ここ。
無い。だよなぁ。ちなみに、PCI DSSとは、クレジットカード決済を導入する事業者が準拠することを求められるフレームワークです。強制適用では無いのですが、準拠せずにカード決済を導入するとか「常識を疑います」。
あえて言うなら8.2.2「パスワードのリセット・・・ユーザの身元を確認する」のところですが、今回の問題に対して示唆を与えるようなガイダンスはありません。また、決済アプリが守るべき基準としてPA-DSSというのもありますが、これにもそれっぽいものはありません。
それどころか、PA-DSSには今考えるとちょっと古い基準があります。
3.1.4 「ペイメントアプリケーションは、以下の方法の”少なくとも1つを使用して”すべてのユーザを認証する ①パスワード/パスフレーズなど ②ユーザが所有するトークンデバイスなど ③生体認証など」
この記述は要するに多要素認証の否定でありまして、いまどき”少なくとも1つ”では足りないのです。
したがって、どこぞの会社がやったというセキュリティレビューも、PCI DSSやその関連基準であるPA-DSSベースでレビューしたんだとしたら、今回のような欠陥には気づかなかったというのも合点がいきます。
で、今回のような「パスワード再発行手続き」についての問題は、確かに何かと手順が面倒で鬼門なんですよね。なので、素人が利便性だけを考えると、とんでもない穴を開けることにもなってしまいます。しかも、この辺の穴はPCI DSSを穴が空くまで眺めていても気づきません。
なので僕らコンサルは、普通「リスクシナリオ」を作って、攻撃者の気持ちになってどうやって攻めるかを考えるわけなのです。その辺が我々のバリュー、ということなんです。
とはいえ、こうしたパスワード再発行の手続きをどのような仕様にするべきなのか、何かガイダンスは無いのかと思いますやね。そこで見ておくといいと思うのが、NTT-DATAが無償で公開している「TERASOLUNA」というフレームワーク。
これの「9.10.代表的なセキュリティ要件の実装例」を見ると。
9.10.2.1.セキュリティ要件の(14)(15)にあります。
・再発行用URLは「アカウント登録済のメールアドレスに送れ」
・秘密情報は「メール以外の方法(※補足 SMS、認証用別アプリなど)で送れ」
これを見ると、ハッキリとこの2つに準拠できていないことがわかりますね。Webアプリケーションで認証機能を実装するには、どちらかというとこちらを参考にした方がいい、、、
いや、絶対見て、準拠してください。
TERASOLUNA全体の評判についてはWebを見る限りでも賛否ありまして、まぁその辺はWeb開発者ではない僕も詳しくは無いのですが、少なくともWebアプリケーションのセキュリティ機能開発については、良い出来だと思います。
ここのところ、大手も中小も、サービスのローンチを急ぐあまり、セキュリティ機能がないがしろになった結果、大きな社会的問題を引き起こすことが増加しています。コインチェックを始めとする仮想通貨関連、そして去年のPayPay、そして7pay・・・
これくらい大きな会社になってくると、被害が出て補償すると言っても別に大した金額では無いのですよ。それが実に腹立たしい。炎上商法なんでしょうかね?
仮想通貨でやったように、最低限のセキュリティ基準を満たせていない業者は認可しない(認可なんて元々ないですが)くらいの強烈な処分を行ってもいいし、GDPR級の「全世界の連結売上高の4%の制裁金」を課してもいいんじゃないでしょうか。そうしないと、やったもん勝ちになってしまう。
そろそろ国が動かないといけないタイミングに来たのではないでしょうかね?
この記事が気に入ったらサポートをしてみませんか?