7pay 開発 ベンダー。 セブンペイアプリの開発担当会社 退職社員が抱いた懸念「技術力もマネジメント力もない」

7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと |ビジネス+IT

7pay 開発 ベンダー

Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。 現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。 同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ上限ならびにグループ横断的なセキュリティー設計の見直しを発表した。 そもそも、不備のある仕様のまま7payがスタートしてしまった原因はどこにあるのか? 7月4日、7payの不正アクセスについて会見する、セブン・ペイの小林強社長(中央)。 7pay取材班 同サービスの開発に近い複数の情報提供者の証言には、共通点がある。 7payの仕様がなかなか固まらず、リリースの比較的直前まで開発現場が混乱していた、という指摘だ。 複数の関係者によると、もともと2019年7月中に7payのサービスを開始することは決定していた。 しかし、プロジェクトがスタートした約2年前から2018年末ごろまでは、7payは「単独のアプリ」として配信する予定だった。 1つめの大きな仕様変更は2018年末。 年の瀬が迫る段階で、7payを急遽現在の仕様である「セブン-イレブンアプリへの追加機能」とすることに変更された。 7payの開発にかかわる企業をよく知る関係者によると、この段階でアプリの開発企業が変更されたという。 年末年始にスケジュールの再調整が行われ、2019年初には7月1日のサービス開始を必達目標としたシステム開発が再開された。 1カ月遅れたテスト開始 7pay取材班 本来は3月中に、7payの動作確認を行う「システムテスト」が実施される予定だったが、実際にテストが開始されたのは、4月末のゴールデンウィーク直前だった。 テスト期間として当初は1カ月半〜2カ月ほどの余裕があったはずが、ゴールデンウィーク直前から開始したため、テスト期間は実質1カ月を切る状態だった可能性がある。 システムテストが遅延した原因は、7payと連携する「 オムニ7」にある、と言う現場関係者もいる。 オムニ7とは:オムニ7は2015年にスタートしたセブン&アイHDが運営する総合ショッピングサイト。 セブン-イレブン、西武・そごう、イトーヨーカドー、LOFT、赤ちゃん本舗などのグループ企業群の商品をオンライン注文し、実店舗での受け取りが可能な、同グループのオムニチャンネル戦略の中核を成すサービス 7payのリリースに合わせてシステム変更が発生するオムニ7側での作業が間に合わないという訴えは何度も出され、全体のテストスケジュールは少なくとも2〜3回の変更があったと、関係者は語る。 一部で指摘されていたiOS版アプリだけユーザー情報の登録フローが異なっていることも、後付けの設計変更が関係しているという。 なお、今回の7payのシステム開発では、フロントエンドが従業員数3000人弱の大手SIer(システム構築を請け負う企業)、基幹システムは別の大手開発会社が担当している。 一部ネットではセブン&アイの他のグループ企業のシステム開発に参加した会社の名前が参加企業として広がっているが、不正確な情報が混じっている、と複数の関係者は言う。 「セブンの姿勢に憤り」決済業界からは厳しい声 7pay取材班 このように関係者の証言からは、7payの開発がかなり無理なスケジュールで進んだ様子がうかがえる。 サービスインが迫るなかで、関係するオムニ7事業を統括するセブン&アイHD、店舗運営のセブン-イレブン・ジャパン、そして今回の問題を引き起こしたセブン・ペイと、部門間をまたいだ事前テスト、負荷テストに不備はなかったのか。 また、攻撃者はなぜ、このセキュリティーの穴に当初から気づいたのか。 今後の解明が待たれる。 7payにまつわる問題は、同グループのみならず、決済にまつわる業界関係者から厳しい目で見られている。 決済分野で事業を展開し、7payの内情に詳しい関係者は次のように指摘する。 「PayPayの問題以降、スマホ決済をはじめとした各種サービスが安全第一を御旗に取り組んでいる。 セブンには、本件を収束させるのは当然ながら、場当たり的な対応でしのぐのではなく、一から出直すくらいの覚悟が求められるのではないか」(業界関係者) なお、一連の事実関係についてセブン&アイHD広報に問い合わせたところ、「関係先もあるので現段階ではコメントする立場にない」と回答。 否定はしないという意味かとの質問には「それについても、コメントする立場にない」と答えるに留めた。

次の

7payを終了させた本当の理由とは? 残った未解決の問題

7pay 開発 ベンダー

株式会社セブン・ペイ Seven Pay Co. , Ltd. , Ltd. )は、 7pay(セブンペイ )を提供する企業。 サービスを開始した2019年7月に、不正利用事件によりサービスを停止。 7pay事業は2019年9月30日に廃止されたが、株式会社セブン・ペイは存続した。 は7payに30億円の投資をし、2020年3月の決算でセブン・ペイに約30億円の損失を計上した。 沿革 [ ]• 2018年(30年)6月14日 - 株式会社セブン・ペイ設立。 2019年(元年)• 7月1日 - 「7pay」サービス開始。 7月2日 - 「身に覚えのない取引があった」との問い合わせが寄せられる。 7月3日 - 「7pay」の大規模な不正利用が判明し、サービスの制限を開始。 以後、サービス制限の範囲を拡大()。 7月4日 - 店舗レジ及び、セブン銀行ATMからの現金チャージ利用を停止。 新規会員登録を停止。 7月8日 - 一連の不正使用案件に関連し、がセブン・ペイに対してに基づく報告徴求命令を出す。 7月11日 - 外部IDによるログインを停止。 7月30日 - 共通IDの7iDの全会員約1650万人のパスワードを一斉リセット。 8月1日 - 7payのサービスを2019年9月30日24時に廃止することを発表。 9月27日 - 残高払い戻し方法を発表。 9月30日24時 - 7Payサービス終了。 10月1日 - 7pay残高の払い戻しを開始。 払い戻し期間は2020年1月13日まで。 チャージは、(および・・)、、ATM(現金チャージに限る)、レジでの現金チャージに対応する。 なお、nanacoの利用で貯めたnanacoポイントは7payアプリ経由で7pay残高にチャージすることはできる。 決済音はが作曲したオリジナル :3。 サービス開始時のプレスリリースにて「毎日聞くものだからこそシンプルでかつハッピーに。 ぜひ永く愛される決済音になってほしいと願っております」とコメントしていた :3。 不正利用事件 [ ] サービスイン翌日の2019年7月2日、7pay利用者より「身に覚えのない取引があった」と問い合わせがあり、7月3日に社内調査を行ったところ不正利用が発覚した。 同時にセブン・ペイではクレジットカードやデビットカードからのチャージを一時停止した。 7月4日18時5分からはサービスの新規登録も一時停止となり、同日にはすべてのチャージを一時停止した。 7月4日、は、他人の7payを不正に使用し、を購入したとして中国籍の男2人を逮捕した。 7月12日には、東京都千代田区内のセブン-イレブン店舗に勤務する中国人アルバイト従業員の女が、7payを不正に取得し決済したとして窃盗の容疑で警視庁のに逮捕された。 被害額は7月31日現在で808人のアカウント、38,615,473円に上り、これらの被害額についてはセブン&アイ・ホールディングスが全額補償する。 セブン・ペイ側は、7月4日の緊急記者会見で「事前にセキュリティー審査を繰り返し、脆弱性は指摘されなかった」と説明していたが、この時点で「7iD」にやパスワード変更の通知機能が導入されていないことなど、認証システムに問題があると指摘されており、記者会見での記者からの2段階認証に関する質問にも社長が答えられなかった。 また、も一般社団法人キャッシュレス推進協議会が策定した『不正利用防止のためのガイドライン』 が守られていなかったことを指摘した。 その後の調査で「7iD」が、外部IDでログインしている他人のアカウントにパスワードなしでログインして、なりすますことができたことが明らかになった。 などの認証連携プロトコルで定めている、なりすましを防ぐためのチェック手順が実装されていなかったと推察されている。 また「7iD」にログインした後に認証システムから取得できるユーザーデータの設計にも問題があり、ハッシュ化されたパスワードを含む広範な個人データを取得できたという。 未利用残高については、10月1日から2020年1月13日までの間に払い戻しに応じることとなった。 また、トラブルの要因の一つとなった 7iD についても「(外部IDログインの停止やパスワード強制リセットによるリスクの極小化により)7pay以外のサービスの利用では十分な(セキュリティ)レベルであることが確認できた」として使用を継続することを表明している。 セブン・ペイは2019年9月27日、口座振込等で7Pay残高の払戻しを行うと発表した。 ただし、同年9月30日までにサービスを退会した利用者の払戻しには応じられないとしている。 脚注 [ ] []• 7pay. 株式会社セブン・ペイ. 2019年7月4日閲覧。 PDF プレスリリース , , 2019年4月4日 , 2019年7月4日閲覧。 2018年6月22日. 2019年7月4日閲覧。 グループ会社. 2019年7月4日閲覧。 2019年7月4日閲覧。 田中聡 2019年7月3日. アイティメディア株式会社. 2019年7月4日閲覧。 ITmedia NEWS 2019年7月3日. 2019年8月6日閲覧。 2019年7月12日. 2019年7月14日閲覧。 2019年7月30日. 2019年8月1日閲覧。 浅川直輝 2019年7月30日. 日経 xTECH(クロステック). 2019年8月6日時点のよりアーカイブ。 2019年8月6日閲覧。 磯谷智仁 2019年8月1日. INTERNET Watch. 2019年8月6日閲覧。 井上翔 2019年8月1日. ITmedia Mobile. 2019年8月6日閲覧。 2019年9月27日閲覧。 セブン・ペイ. お知らせ一覧. 株式会社セブン・ペイ 2019年9月27日. 2019年9月27日閲覧。 流通ニュース. 2019年9月27日. 2019年9月30日閲覧。 中澤彩奈 2018年6月22日. アイティメディア. 2019年7月4日閲覧。 1 2018年8月. 2019年7月13日閲覧。 J-CASTニュース(2019年8月1日作成). 2019年8月1日閲覧。 毎日新聞: p. 2019年7月4日• 毎日新聞: p. 2019年7月5日• 日本経済新聞. 2019年7月4日. 2019年7月6日閲覧。 毎日新聞東京夕刊. 2019年7月12日. 平土 令 2019年7月6日. AERA dot.. 2019年7月14日閲覧。 毎日新聞. 2019年7月4日. 2019年7月14日閲覧。 一般社団法人キャッシュレス推進協議会 2019年4月16日. 2019年7月14日閲覧。 一般社団法人キャッシュレス推進協議会 2019年3月29日. 13-18. 2019年7月14日閲覧。 「6 セキュリティ」部分。 一般社団法人キャッシュレス推進協議会 2019年3月29日. 13-19, 30-36. 2019年7月14日閲覧。 第1部および第2部の「6 セキュリティ」部分。 Cnet Japan. 2019年7月5日. 2019年7月14日閲覧。 プレスリリース , , 2019年7月5日 , 2019年7月14日閲覧。 日経 xTECH. 2019年7月12日閲覧。 鈴木淳也 2019年7月11日. BUSINESS INSIDER JAPAN. 2019年7月12日閲覧。 ニュース. 2019年8月1日. 2019年8月3日閲覧。 ニュース. 2019年8月1日. 2019年8月27日閲覧。 関連項目 [ ]• - との合弁会社による、元々やや類似の電子決済サービス。 - (JR東日本)が発売していた交通系カード。 サービス終了の理由の一部に、偽造の危険性などを挙げている。 外部リンク [ ]• この項目は、に関連した です。 などしてくださる()。

次の

セブンペイ問題の開発会社はNRI?責任の所在とIT業界が抱える問題点について

7pay 開発 ベンダー

国をあげてキャッシュレス社会を推進している動きがありますが、7月3日にキャッシュレス社会への動きにマイナスの影響をおよぼすトラブルが発生しました。 日本一の売上規模を誇るセブン&アイ・ホールディングスが7月1日にサービス開始した独自のキャッシュレス決済「7pay」(セブンペイ)で、不正利用による被害が発生しました。 被害件数はサービス開始直後から不正アクセスによる被害が相次いで発覚、被害状況は調査中とのことですが、900人5500万円分の被害が出た可能性があると言われています。 今回以下の3つを調査してみました。 7payを開発した会社はどこ? 不正アクセスの原因は? 被害者への補償はあるのか? それでは、ひとつづつみていきます。 7payとは何? まずは、7payとは何?というところから紹介します。 7payとは、セブンイレブンで使うことができるスマホ決済サービスです。 セブンイレブンアプリから簡単に登録して使うことができるサービスです。 こんな簡単にできちゃうとセキュリティ面大丈夫?と少し不安になります。 そう思っていたら、今回の不正利用のニュースはやはりという感じですね。 また、お支払いもスムーズにできちゃいますよということが、かえって今回の不正利用の広がりが大きくなってしまった要因の一つですね。 こんな簡単に支払いできちゃうことに驚きですね。 利便性とセキュリティを両立させるのは難しいですね。 7payのシステム開発会社どこ? 7payのシステム開発会社はどこなのでしょうか? 今回の不正利用が発生したことに対する記者会見で、 7payの開発については何社かの会社と協力して構築したと会見で報告されていました。 複数の会社とはどこなのでしょうか? 記者会見では、7payの開発会社はどこかは報告されていませんでした。 ただ、セブンイレブン他のシステムに携わった開発会社のコメントがありました。 おそらく、今回の7payの開発もオムニ7を開発した会社のどこかが入っているでしょう。 7payトラブルの原因は、セキュリティ対策が甘かったということです。 おそらくシステムを設計する段階での検討が甘かったのでしょう。 7pay被害への補償はどうなる? 7pay被害者への補償はどうなるのでしょうか? 7月4日の会見でセブンペイの小林強社長が緊急記者会見で、以下の通りコメントしました。 「多大なるご迷惑をおかけしましたこと深くお詫びいたします」と謝罪。 被害者数は4日朝6時時点の概算で約900名、被害額は約5500万円に達するとしたうえで、その全額を補償する考えを示しました。 6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。 — 岬太郎 frogeye9999 お店で昼飯食べてる最中、テレビでは「闇営業!闇営業!」と連呼。 興味ないんでスマホ見てたら、 の不正利用がすごいらしい。 「闇営業なんかよりコッチを報道すればいいのに」と思った途端、その番組CMで7payやってて察した。 これだと「とりあえず会見してこの場をしのぎたいだけなのか」と不安を呼んで、会見としては逆効果になってしまう。 — 進捗ダメ太郎 workinghamutaro.

次の