【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か

7pay-1

Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。

開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。

7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。

セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ上限ならびにグループ横断的なセキュリティー設計の見直しを発表した。

そもそも、不備のある仕様のまま7payがスタートしてしまった原因はどこにあるのか?

年末に「開発仕様」と「開発業者」が変更

7pay-5

7月4日、7payの不正アクセスについて会見する、セブン・ペイの小林強社長(中央)。左は、セブン-イレブン・ジャパンの宮地正敏執行役員デジタルサービス本部長、右はセブン&アイHDの清水健執行役員デジタル戦略部シニアオフィサー。

7pay取材班

同サービスの開発に近い複数の情報提供者の証言には、共通点がある。

7payの仕様がなかなか固まらず、リリースの比較的直前まで開発現場が混乱していた、という指摘だ。

複数の関係者によると、もともと2019年7月中に7payのサービスを開始することは決定していた。しかし、プロジェクトがスタートした約2年前から2018年末ごろまでは、7payは「単独のアプリ」として配信する予定だった。

1つめの大きな仕様変更は2018年末。年の瀬が迫る段階で、7payを急遽現在の仕様である「セブン-イレブンアプリへの追加機能」とすることに変更された。7payの開発にかかわる企業をよく知る関係者によると、この段階でアプリの開発企業が変更されたという。

年末年始にスケジュールの再調整が行われ、2019年初には7月1日のサービス開始を必達目標としたシステム開発が再開された。

1カ月遅れたテスト開始

7pay

7pay取材班

本来は3月中に、7payの動作確認を行う「システムテスト」が実施される予定だったが、実際にテストが開始されたのは、4月末のゴールデンウィーク直前だった。

テスト期間として当初は1カ月半〜2カ月ほどの余裕があったはずが、ゴールデンウィーク直前から開始したため、テスト期間は実質1カ月を切る状態だった可能性がある。

システムテストが遅延した原因は、7payと連携する「オムニ7」にある、と言う現場関係者もいる。

オムニ7とは:オムニ7は2015年にスタートしたセブン&アイHDが運営する総合ショッピングサイト。セブン-イレブン、西武・そごう、イトーヨーカドー、LOFT、赤ちゃん本舗などのグループ企業群の商品をオンライン注文し、実店舗での受け取りが可能な、同グループのオムニチャンネル戦略の中核を成すサービス

7payのリリースに合わせてシステム変更が発生するオムニ7側での作業が間に合わないという訴えは何度も出され、全体のテストスケジュールは少なくとも2〜3回の変更があったと、関係者は語る。

一部で指摘されていたiOS版アプリだけユーザー情報の登録フローが異なっていることも、後付けの設計変更が関係しているという。

なお、今回の7payのシステム開発では、フロントエンドが従業員数3000人弱の大手SIer(システム構築を請け負う企業)、基幹システムは別の大手開発会社が担当している。一部ネットではセブン&アイの他のグループ企業のシステム開発に参加した会社の名前が参加企業として広がっているが、不正確な情報が混じっている、と複数の関係者は言う。

「セブンの姿勢に憤り」決済業界からは厳しい声

7pay-2

7pay取材班

このように関係者の証言からは、7payの開発がかなり無理なスケジュールで進んだ様子がうかがえる。

サービスインが迫るなかで、関係するオムニ7事業を統括するセブン&アイHD、店舗運営のセブン-イレブン・ジャパン、そして今回の問題を引き起こしたセブン・ペイと、部門間をまたいだ事前テスト、負荷テストに不備はなかったのか。

また、攻撃者はなぜ、このセキュリティーの穴に当初から気づいたのか。今後の解明が待たれる。

7payにまつわる問題は、同グループのみならず、決済にまつわる業界関係者から厳しい目で見られている。決済分野で事業を展開し、7payの内情に詳しい関係者は次のように指摘する。

「PayPayの問題以降、スマホ決済をはじめとした各種サービスが安全第一を御旗に取り組んでいる。その中での今回の一連の事象は、特に発覚後の対応と会見からにじみ出る“他人事”とも見える姿勢に憤りを感じる。

セブンには、本件を収束させるのは当然ながら、場当たり的な対応でしのぐのではなく、一から出直すくらいの覚悟が求められるのではないか」(業界関係者)

なお、一連の事実関係についてセブン&アイHD広報に問い合わせたところ、「関係先もあるので現段階ではコメントする立場にない」と回答。否定はしないという意味かとの質問には「それについても、コメントする立場にない」と答えるに留めた。

(編集部 7pay取材班)

Popular

あわせて読みたい

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい

広告のお問い合わせ・媒体資料のお申し込み