サービスを止める勇気、動かし続ける勇気

7payはあまりに脆弱性が多過ぎ、何が本筋で不正アクセスに至ったのか議論が混乱している。不正アクセス事案の初期段階は原因の絞り込みが難しく、様々な可能性が考えられる中で被害の類型やログなどを確認し、影響範囲を推定して顧客への影響を最小限に抑えながら止血することが求められる。

仮にリスト型攻撃が原因であれば、ID・パスワードを使いまわした方、特にリストが出回っている方を中心に被害に遭っている。リスクベース認証を入れる、SMS OTPやFIDOといった多要素認証を入れる、tokenやdevice fingerprintingでIDとデバイスを紐付ける、漏洩リストを買って出回っているID・パスワードと一致したアカウントを凍結するといった対策が有効だ。いずれも改修に時間を要するので、暫定的には海外からのアクセスを止めてbot遮断サービスやcaptchaを挟むことで被害を軽減できる。

仮にパスワードリセットの仕様が悪用されたのであれば、被害者にはパスワードリセットのメールが届いている。送付先メールアドレスのフィールドをCSSで隠しただけでは攻撃者に対しては無力で、パラメーターとして送付先メールアドレスを受け取らない改修が必要となる。とはいえ外注を使ったウォーターフォール型の開発では、設計変更や改修作業、テストに時間を要する。WAFを使っていればカスタムシグニチャで送付先メールアドレスの送信を遮断することも一案だ。それも難しい場合これだけ大きな騒ぎとなっているのだから、パスワードリセット機能を一時的に止めたとしても顧客への影響は限定的で、世間からの理解も得られるのではないか。

さらにクレジットカードからチャージする際に必要となるチャージパスワードをリセットする手順も明らかとなったが、悪用を止める方法を実装するまでは、サポートによる手動でのチャージパスワードのリセットは行うべきではない。例えばチャージパスワードのリセット時に登録されていたクレジットカードを削除する運用とすれば、チャージパスワードを忘れた人向けの導線は確保しつつ、悪用を止めることができる。ひとつのサービスで複数のパスワードを使うことは利用者の負担が大きいことから、将来的には生体認証など別の方法でチャージ手段を保護することが望ましい。

問題はID・パスワードを使いまわしておらず、パスワードリセットのメールが届いていないにも関わらず被害に遭った方がいらっしゃった場合で、他にも深刻な脆弱性が残っていることになる。チャージ機能は既に止めているので、金銭的被害は最大でも数日でチャージされた全額だ。腹を括って被害を全額補償する覚悟があれば、サービスを動かし続けることも事業者としての責任の果たし方といえる。しかしながら認証を突破されて個人情報の漏洩が今なお続いている可能性が否定できない場合、サービス自体を止めなければ止血できないケースも考えられる。7pay単独か、omni7関連サイトにも波及し得るのか影響範囲の確定が必要だ。

7payは不正アクセスを受けた原因について「まだ断定できていない」としている。大規模インシデントの最中にいると、自分のプライドを守るために、考えられる最善のシナリオに縋ってしまう「正常性バイアス」に陥りがちだ。虚心坦懐に現実を受け止めて、あらゆる最悪のシナリオを想定した上で、顧客視点に立った迅速な対応に期待したい。