猫も杓子も「インターネット」にのめりこんで依存しているが、その先にあるものは蟻地獄でしかない!!
文明の最高傑作である「インターネット」こそが、人々を完全管理してしまう「コントロール兵器」なのです!!
ある日突然、TV、新聞などのすべての情報が遮断され「インターネット」だけが残されて完全支配の道を歩かなければならなくなってしまいます!!
問題は「ハッカー」という輩が頻繁にネットに侵入して必要なものを奪い去ってみたり、間違った情報を流したりするということなのです!!
それらの行為の大半は「インターネット」の管理者が行使しているのが問題なのです・・・。
「数千万回の攻撃受けた」セブンペイ終了会見が判然としない理由
セブン&アイ・ホールディングス(以下セブン&アイHD)は、9月30日24時00分をもって7payのサービスを廃止する。8月1日午後、都内で開いた緊急会見で、セブン&アイ・ホールディングスの後藤克弘副社長が明らかにした。廃止の決定は、同日開催したセブン&アイHD取締役会で決定した。
緊急会見は2時間に及び、さまざまなメディア関係者から、脆弱性のチェック体制の不備や被害の状況、配布資料と取材過程で見聞きした被害状況のズレを問う鋭い質問が飛び交った。
セブンが明かした「数千万回の攻撃」、残る違和感
被害規模と金額については、おおよそ確定に近くなってきた。最新の取りまとめによると、7月31日17時時点で808人、金額にして3861万5473円が被害総額だ。
一方、肝心の「7payに実際にどんな脆弱性があり」「どんな手口で攻撃をされたのか」は、不明確な部分が残る。報道されている被害例のすべてを理路整然と説明できていない、というのが会見に参加した率直な印象だ。
セブン側の認識では、7payへの攻撃は、いわゆる「リスト型攻撃」だったというのが、現時点の「結論」だとする。
これは、不正入手したIDとパスワード等の組み合わせリストを使ってアタックする、比較的古典的な攻撃手法だ。7payでは、7iDのパスワードとチャージパスワードに同じ文字列が設定できたことが、リスト型攻撃の成功率を結果的にあげてしまった。
質疑の回答によると、攻撃が検知された7月2日未明以降、ログインサーバーには数千万回という大量の不正アクセスがあった。侵入状況を記録したアクセスログには、攻撃に伴う複数回(おそらく大量)のIDのエラー、それに続き頻発するパスワードのエラーが記録されていた。これらはリスト型攻撃に伴うものと想定できる。
リスト型攻撃の被害が808人の大半だというセブン側の発表は、確かにそうなのだろう。しかし、7iDのパスワード、チャージ用パスワードともにランダムな文字列だったのに被害にあったという人の事例は、「リスト型攻撃」では説明できない。
この点について複数回、報道陣から念を押すような質問が出たが、「個別のそうではない(リスト攻撃ではない)事例については、個別に相談いただく形をとっている」という趣旨の回答を繰り返した。
結果として、リスト型攻撃以外の被害については、セブン側はその存在を、否定も肯定もしていない。
ITジャーナリストがリスト型以外の攻撃事例にこだわったのは理由がある。
ITのセキュリティーというものは、「偶然侵入」できたり、「何かのタイミングでたまたま実行」できる、といったことはありえない。ある事象が発生するのには必ず理由がある。
説明しきれない被害事例が残ったままの幕引きは、セブン&アイHDのデジタル戦略の要である「7iD」や「オムニ7」そのものに、セキュリティー不信を残し続けることになりかねない。
不正使用とは「直接関係ない脆弱性」があった
会見で明かされたセブン側の認識には新たな情報もあった。
まず、Business Insider JapanがスクープしたGitHub上のソースコード流出だ。流出については認めたものの、
「2015年の秋に開発環境用につくったソースコード。ご心配いただいているようなインターフェイスの形式、ログインの形式については、(最終段階の仕様でないことを)確認している。
(ソースコードが公開状態にあったという)管理不行届きについては、ご心配をおかけいたしましたことをお詫びいたします」(田口氏)
とし、実際の環境への影響はなかった、と弁明した。
また、複数のメディアで報じられた「外部ID連携の不備」や「パスワードリセット実装の不備」の存在は報道どおりの脆弱性を認める一方、「7payの不正使用には直接的に関係していない」と報告した。
外部ID連携の脆弱性が悪用されなかったのは幸いだが、一方で攻撃に使われなかった脆弱性を事前に発見できず、開発管理体制もずさんだったという事実は残る。
7月4日の会見では事前に問題はなかったとした脆弱性診断についても、セブン側は「(当初のセキュリティー)テストの範囲と深さが、適切でなかった」と認識を改めるコメントをしている。
失墜したネットの「セブン」ブランド、回復できるのか
気になるのは、セブン&アイHDのデジタル戦略にまつわる脆弱性懸念が、本当にこれで終わるのか、ということだ。
7payが動作していたセブン-イレブンアプリは、その通信の解析から、セブンの総合ECサービス「オムニ7」のサーバーに接続していたと見られる。
脆弱性の懸念がオムニ7にまで及ぶことはないのか。
筆者の質問にセブン側は、
「オムニ7と接続する箇所はあるが、ご指摘のような危険性は、現時点のサービス内容であれば、問題がない」(田口氏)
7payに類似した決済サービスを新たに開始するならセキュリティー水準を上げなければならないという認識かとの質問には、
「当初の認識ではないが、今回報告を受けている調査を受けている中では、そういうことだったと考えている」(同)
と答えている。
事件の発生を受け、セブン&アイHDのセキュリティー対策プロジェクトでは、攻撃手法と被害実態の全容把握に向けて調査チームを設けた。しかし、あくまでセブン&アイHD取締役会に報告するための「社内向け」のもので、第三者委員会などではないことが新たにわかった。
また、どのセキュリティー会社がチェックしているのかは非公開。調査確定まで1〜2カ月かかるのではとの目安は示したが、事実上、期限も区切られていない。
調査結果についても、現時点でレポートを公表する予定はないとする。
本件の経営側責任者である後藤克弘セブン&アイHD副社長は、現時点で辞任の意向はない。デジタル戦略の点で、まさに信頼失墜した「セブン」ブランドは、この会見で復活できるのだろうか?
セブンの透明性と調査能力を外部に示す絶好の機会である「7pay事案の調査レポート」の公表はなく、経営陣が責任をとることもないとすれば、セブン&アイHDにとって7payとは一体なんだったのか?
2時間の長丁場の会見のあとには、ただ判然としない印象だけが残った。
(文、写真・伊藤有)
以
クックして応援を宜しくお願いします!
クックして応援を宜しくお願いします!!
・エセ医師たちが「癌は簡単に治る」と宣伝してますが、「真っ赤」な嘘です。完治の事例はありません!!個人情報」ですから言えませんと逃げてしまいます!!
・ソマチッドが、癌細胞を異常な速さで攻撃して消滅させるビデオがドイツで放映されています!! ガンから生還の事例は、世界中にも沢山あります!!
・「ソマチット100g」の無料配布をいたします!!
・ネサンは、ソマチッドでガン患者1000人の内、750人(75%)を完治させた。
・ソマチットは、免疫や恒常性維持機能を備え「マイナス電子」を帯びていますので、体内にあるガン細胞(プラス電子)の部分に集まって電位をゼロにしてくれます。最低、半年は飲んでください!!
お申し込みは、FAX042-361-9202まで・・・郵便番号・住所・氏名・電話番号・病状を明記の上でお申し込みください!! 送料は着払いに成ります。
ランキングに参加中。クリックして応援お願いします!
人気ブログランキング
上