「一過性のトラブル」ではありません
セブン&アイ・ホールディングスの独自決済サービス「7pay」が、セキュリティ問題に揺れている。
クレジットカードなどから不正にチャージが行われ、タバコやプリペイドカードなど、換金しやすい製品を不法に購入される被害が続出したのだ。金銭的被害は、7月4日の段階で5500万円にのぼるという。サービス開始から、たった3日間での出来事だ。
7payは、この記事を執筆している7月8日現在、新規の会員登録と残高のチャージを停止している。原因の究明とシステムの改良が行われている状況だ。
7payに、いったい何が起きたのか?
そこには、単に一企業の問題にとどまらない、「技術と経営」に関する普遍的な課題が隠れている。あらゆる企業の経営者にとって、そしてそこに勤めるビジネスマンにとっても、決して一過性のトラブルとしてすませるわけにはいかないこの問題の「深層」に迫ってみよう。
「二段階認証」を知らなかった7pay
7月4日、株式会社セブン・ペイは、今回の問題についての記者会見を開いた。記者からの質問に答えたのは、事業責任者である、同社社長の小林強氏である。
質疑応答の中で、特に注目が集まったのは、次のシーンである。
記者は、小林社長にこう質問した。
「他のサービスでは二段階認証が導入されている例がほとんどだが、7payで導入されていなかった理由はなぜか?」
それに対して、小林社長は「二段階認証……?」とつぶやき、首をかしげてみせたのだ。
このようすに、多くの記者や関係者は度肝を抜かれた。会見の生中継をインターネット経由で見ていた筆者も同様だ。
「決済」のような厳重なアカウント管理を必要とするサービスを運営する企業の責任者が、二段階認証を知らないなどということは、およそあり得ない事態だからである。
このことは、7payの認識の甘さを示すものとして、多くのニュースでも指摘されている。
じつは危ない「パスワード」
一方で、「二段階認証とは何か?」「二段階認証にはどういう意味があるのか?」をきちんと解説した報道は少ない。なかには、間違った説明をしているものもあるようだ。
7payが二段階認証を導入していなかったこと、社長が二段階認証を知らなかったことを指弾するのは簡単だが、「なぜ二段階認証でなければいけないのか」、その本質的な意味を理解していないと、自分自身の大切なアカウントを守ることもできない。
世の中にある「認証」といえば、多くの人が「IDとパスワード」を思い浮かべるだろう。これらは、「ユーザーとサービス提供者しか知らない情報」によって、お互いの関係を認証する手段、と言い換えることもできる。
「IDとパスワード」には明確な弱点がある。“カギ”となる情報であるパスワードがわかってしまえば、容易に突破されるということだ。
パスワードや暗証番号だけに頼る認証は、我々が思うよりずっと危険である。突破する方法が、いくつもあるからだ。
IDとパスワードという「1つの要素」だけでは、我々のアカウントの安全を守るのはもはや難しいことを知っておく必要がある。
