バーコード決済サービスの不正利用

某大手コンビニのバーコード決済サービスで、不正利用が発覚しました。7月1日に開始して、7月3日に不正利用が発覚という、なんというかマッハな感じの事件です。

普通、不正利用の問題は、ハッカーなどによる侵入で情報が漏洩したり内部の人が関わっている場合が殆どです。しかし、今回は設計の初歩的な話で、パスワードリセットの仕組みに問題があったようです。
パスワードリセットのメール送信先を「任意のメールアドレス」に設定できるため「生年月日」「電話番号」「メールアドレス」の3つが分かれば、第三者がパスワードリセットのメールを受信できるようになります。完全に設計ミスですね。言い分としては、携帯メール等でPCメールの受信拒否設定している人でもパスワードリセットできるようにしたらしいです。

あと、本事件はかなりニュースになっていたので、見た方も多いと思いますが、経営トップが「2段階認証」を知らいないという驚愕の事態です。なんともお粗末なセキュリティ体制だったことが伺えます。同じグループ企業の某銀行でも2段階認証しているのに、なぜ知らないのか。この人がトップで大丈夫なのか、システム的にもっと駄目なところがあるのではと疑いたくなるレベルですね。

2段階認証は既に色々なサービスで普通になってきました。

昔の「ID＋パスワード」は1段階認証（または1要素認証）です。それに加えて、現在、個人に対して最も普及している携帯電話（スマホ）のSMSを利用し認証をするのが2段階認証です。
※2段階認証については、「ID＋パスワード」＋「SMS」を使うものだけではありませんが、この形が最も普及しているので例として挙げています。

このように2つの別の方法で認証することによりセキュリティを担保するやり方です。

パスワードリセットの不備および2段階認証なしにより、冒頭のスピード不正が発生しました。流行りにのってシステムを準備したはいいけど、セキュリティ設計のミスにより大事件になった良い例です。