7Pay 謎の全利用者パスワードリセットを実施

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「（7iDを使う7payの不正利用問題で）パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」（広報）と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを決断した経験があるが、これは奇妙なことだ。

セブン＆アイHDが「7iD」1650万人のパスワードを強制リセット、7pay不正利用対策で

一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。

パスワードをリセットすると多くの利用者が離脱する上に、サポート窓口の負荷が上がるため、数十万人のパスワードをリセットする場合も、時間をかけて反応を見ながら徐々に行う運用が一般的だ。

全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定できない場合や、全利用者のパスワードハッシュが漏洩してしまって被害者を特定できない場合など、リスト型攻撃よりも深刻なバグまたは不正アクセスの被害が生じた場合に限られる。そしてリセットを実施するタイミングとしては、その脆弱性を修正した後に行うことが一般的だ。というのも元を絶たなければ、何度もパスワードをリセットする必要が生じるからである。

今回のパスワードリセットでは、残高やクーポンなどのデータが消失したという情報もTwitterで上がっている。これがサービスのバグによるものなのか、それともID登録時の情報を正確に覚えていなかったユーザーが意図せずIDを新規登録してしまったからかは分からない。いずれにしても、十分なテストを行わないままパスワードリセットを行ったことで、利用者の間で二次被害が生じていることは確かなようだ。

7Payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7Payの残高が消えたとの報告が相次ぐ

パスワードのリセットによって、これまでよりも厳しい複雑なパスワードの設定を利用者に義務づけることができるなど、いくつか副次的なセキュリティ強化の効能は期待できる。とはいえIDは利用者のデータや財産を保持するためにつくるべきもので、サービス運営者の都合で軽々にリセットして、結果として利用者のデータや財産が失われてしまうことは、利用者にとってもサービスにとっても望ましくない。

不特定多数の利用者のパスワードが漏れてしまった場合や、サービスのバグで誰のデータが漏れてしまったか分からない場合など、確かに全利用者のパスワードをリセットしなければならない事象もあるにはある。しかしながら少なくともリスト型攻撃による不正アクセス被害に対して、全利用者のパスワードをリセットしたとすれば誤った対応だ。7payが起こっている事象を理解せず、良かれと思って全利用者のパスワードをリセットしたのであれば、理解を改める必要があり、仮に本当に全利用者のパスワードをリセットすべき別の事象が起こっているのであれば速やかに公表すべきだ。