出典:7pay
今さら説明するまでも無いかもだが、7月1日からセブンイレブンが始めたQRコード決済アプリ「7Pay」が不正アクセス問題で超炎上中である。
なお私は毎日のようにセブンイレブンに通って夕食を買っているヘビーユーザーであるが完全に他人事である。なぜならガラケー使いなので7Payは使いたくても使えなかったからだ。今も昔もnanaco使いである。
しかし7月1日からnanacoの還元率が100円1ポイントから200円1ポイントに半減したのを極めて嘆いていた。なのでこの機会に7Payがぶっつぶれてまたnanacoがメインにならないからくらいに思っている。
さて、7Payを巡る考察は毎日のようにあちらこちらにUPされている。
「日本企業の経営のダメさが凝縮している」
「ユーザーの利便性を優先したい”企業に突き付けた教訓」
と、「ダメな日本企業の典型」のように語る論考も多い。
だが私は違うと思う。日本企業の伝統的マインドはこういう形での問題には繋がりにくい。
私が7Pay問題を見て思った感想は「あまりにも常識外れすぎて何の参考にもならない」である。
問題の本丸は7payではなくオムニ7(7id)がずっと持っていた脆弱性
7Payの不正アクセス問題では記者会見で7Payの社長が二段階認証の事をきちんと知らなかったり、役員が「脆弱性は無かった」と発言したり、ちょっと記憶にないレベルでのお粗末さだった。
そのお粗末過ぎる状況を指して「7Pay社長の脆弱性」とか「7Pay’s War 僕らのnanaco間戦争」とかセンス溢れるいじられ方をしている。
なので世間では「7Payという新しいサービスがお粗末過ぎた」と思っている人が多いかもしれないが、問題はそこでは無い。実はずっと前から埋まっていた巨大な不発弾である。
問題の本丸と言われているのが「パスワードリセット」仕様である。7Payを登録するためには7idが必要になるが、この7idはパスワードを忘れた時に新しいパスワードを送信してくれるメールアドレスに全く関係無い第3者のメールアドレスを指定できるのだ。
これって、私も持っている基本情報技術者試験でも出題されるような基本中の基本でやってはいけないミスである。ちなみに基本情報技術者試験って、専門学校生とか大学生が受けるレベルだからね。
なので普通の会社ならば、こんな仕様を放置する事はあり得ない。なので私は最初、外注したベンダーが何かセブンイレブンに恨みがあってこっそりこの仕様を入れ込んだ、7Payは知らなかったと思ってた。
でも記者会見で清水執行役員が「PCから(パスワードリセット)操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った」と喋ってたので「いや、知ってたんかーい」ってツッコんでしまった。
そして7idはオムニ7でずっと前から使われていると聞いてますますわからなくなった。
オムニ7とはセブン&アイが提供する総合ショッピングサイトである。そのサイトを利用するのに必要なのが7idであり、7Payは既に普及している7idを流用してユーザーの拡大を図ろうとしたのだ。
そして7idの巨大な不発弾に気づかずに大爆発を起こした。
まあオムニ7でパスワードリセットの不具合に気づかなかったのはまだわかる。二段階認証が普及して来たのはここ数年で、オムニ7はその前から運営していた。それにショッピングサイトは比較的に乗っ取り被害に遭いにくい。乗っ取るメリットが薄いのと、「住所」という防波堤があるからだ。
7idの脆弱性をついてオムニ7に不正アクセスしたとしても、自分の家に荷物を届けようとしたら7idの登録住所とクレジットカードの登録住所が違うので簡単に不正アクセスに気づく。そしてクレジットカード会社に連絡してショッピング履歴の取り消しも容易だし、犯人の住所を晒した事になるので捕まるリスクも高い。
まあ嫌がらせに大量に荷物を送りつけるとか住所はそのままに荷物はコンビニ受け取りとかにするは出来るだろうけど、概ね不正アクセスのリスクとリターンのバランスが悪い。匿名のメールアドレスだけで乗っ取った後にも旨味が出るようなアプリが狙われるのだ。
そういう意味では7Payはまさに旨味に溢れている。電池とか化粧品とかタバコとか、コンビニには換金性の高い商品が溢れている(コンビニバイト時代、万引き犯が返品を求めてくるのが決まってこれ)。
日本の大企業はもっと慎重だし、現場の方が力持ってるから無視とか無理
だから7Payに7idを使い回すなら一から仕様を見直し、セキュリティ試験をしなければいけなかった。
7Payはそのセキュリティ試験をしたと言ってるので、穴だらけの試験だったか、試験結果でNGを報告した現場の意見を無視したかである。
ネットでは特に後者の予想が支配的で、「セブンイレブンは全く知識も無い上、現場の意見を聞かない無能な社長・役員がはびこるダメな日本企業の典型」みたいに言われている。
だが私は違うと思う。
いや「全く知識も無い無能な社長」というのはわかる。
私も前の会社での社長演説会で「〇〇はボトムアップ型の川下の会社では無く、アップルとトヨタのように川上の会社になる」と言われた時は「こいつ何言ってんだ?アップルとトヨタが同じ?」と思ったものだ。
だが、日本企業でトップが無能でいられるのはそれだけ現場の権限が強いからだ。日本の大企業は終身雇用なので、正社員は会社が潰れたら困ると思っている。だから現場の一社員も「経営者目線」で行動するようになっていく。
無論、良い意味で言っているのでは無い。
オリンパスの粉飾決算や神戸製鋼の不正データ偽装は、「まずいとわかっていた」現場の社員が率先して不正を隠蔽しようとしていた。バレたら自分に責任が押し付けられるだけで何のメリットも無いように思うが、それだけ経営者目線に立ってしまってるのだ。
だから日本の伝統的社員が7Payのセキュリティ試験をしたら、必ずスルーはしない。それが自分の権限で隠しきれるような問題ならば隠蔽に走るかもしれないが、今回は大学生でもわかるレベルの爆弾だから違う。
現場の社員は必ず何とかしようとする。もしも上司に伝えて無視されたとしても、こっそり現場の社員で集まって勝手に仕様を修正する。それが日本の伝統的正社員って奴だ。
仮に外注していたとしても同じだろう。上司に黙って外注費を捻出してでも仕様を修正しようとするものだ。
それにそもそも、日本の企業はセキュリティ問題には慎重である。無論、「無知な故に大丈夫だと勘違いしていた」というミスはあるが、流石にこのレベルでミスを起こす程間抜けでは無い。
事実、これまでにクレジットカード、Felica(Suica、nanaco)など多くのキャッシュレス決済が有ったがこんな問題は無かったはずだ。むしろFelicaはセキュリティに力を入れ過ぎて高価格になり世界で普及しない、ガラパゴスになっているなんて批判されてたはずだ。
7Payは嫌いになってもQRコード決済は嫌いにならないでください
無論、7Payを庇っているつもりは1mmも無い。
ただ問題の原因を「日本企業のあるある」の様に解説する人がいるので、「それは違う」と言いたいだけだ。
7Payのパスワードリセットの問題は、大学生が立ち上げたベンチャー企業が「これからの時代はイケイケドンドン。動きが遅い日本企業はオワコン」とか言って立ち上げたサービスがボロクソだった様なものだ。
近いものとしては「CASH」で何でも換金出来たとか、「VALU」のヒカル詐欺とか、「グラブル」のアンチラ確率操作とか、そういう類の問題だ。
セブン&アイグループは歴史もある大企業に思えるが、中身は何にも考えてないベンチャー企業のレベルだったという事だ。
なので7Payの問題からキャッシュレスサービスの発展のための教訓を得よとか言われても「二段階認証はちゃんと入れよう」みたいな既にガイドラインに書いている事しか出て来ない。参考にするものが全く無く、考えるだけ時間の無駄だ。
まあ強いて言えば、今の時代の記者会見はネットで拡散するのでちゃんとわかる人を連れて来ようくらいか。でもそれも今さらだな。
しかし7Payと同時にスタートしたファミマPayも通信障害を起こしたり、思い出せばPayPayでもクレジットカードの不正利用問題があった。「Pay」と呼称されるスマホアプリのQRコード決済はすっかりイメージが悪くなってしまった。
7Pay騒動以降「ポイントとかは付かないけど現金が一番安心」という意見も多く、Suica・WAON・nanacoを活用しているFelica派の私も当面はこのままで良いかと思っている。
だが、中国でアリPayやWe Chat Payが圧倒的に普及している様にQRコード決済の世界的な普及の流れは止まらない。クレジットカード、Felicaと違って店舗側の導入コストが極めて低いからだ。
2020年の東京音リンピックでは多くの外国人が訪日する。そして日本での買い物のためにQRコード決済を利用するだろう。クレジットカード、Felicaを否定する必要は無いが、これでQRコード決済の導入に二の足を踏んでしまうと本当に世界に取り残されてしまう。
「7Payは嫌いになってもQRコード決済は嫌いにならないでください」
教訓は全く得られない7Pay騒動だが、危機感だけはこれ以上なく得ている。
参照:7pay、オムニ7、オムニ7「ご利用ガイド 会員登録・ログイン、7pay、新規登録を停止 不正相次ぐ、全被害補償へ、「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”、二段階認証は「基本中の基本」 経産相、7payに苦言、「7pay」不正問題には、日本企業の経営のダメさが凝縮している、7pay事件が“セキュリティよりユーザーの利便性を優先したい”企業に突き付けた教訓