【7pay不正利用】開発会社(ベンダー)はどこ?オムニ7はNTTデータ,NEC,NRI,Oracle運用・保守
https://www.hiroiyomi.com/7pay-vendor/
7pay不正利用事件ではセブンイレブンアプリに二段階認証がないことが大問題となっています。
会員ID(メールアドレス)とパスワードがばれてしまったら、
第三者が別の端末からアカウントを簡単に乗っ取りできてしまうようなレベルの低いセキュリティ。
オムニ7開発会社(ベンダー)はどこのシステム開発会社なんだ?と犯人探しが始まっています。
Q:7payの開発はどこ? A:協力会社とともに構築してきた Q:攻撃の検証はしたのか? A:7payはシステムチェックをし安全面で問題ないと思っていた。どこに問題があるのか調査をしているところ
— 三上洋 (@mikamiyoh) July 4, 2019
7pay不正利用の開発会社(ベンダー)はどこ?
7Pay開発元がどこなのかは今のところはっきりとしていません。
ただ、オムニ7に関しては、
チームITの考えでNTTデータ,NEC,NRI,Oracleの4社連合で開発成功したと発表されています。
7Payのシステムに関しても、
NTTデータはCAFISで決済周りにノウハウがありますし、
NECはPoSのバーコード認識周りを固めたんじゃないでしょうか?
セブンペイの小林強社長の経歴を見てみるに、セブンイレブンの生え抜きだということは分かるけれど、経営企画部とか海外企画部とか、事業推進部といった名称ばかりで、ITにはほとんどかかわってこなかったことがうかがえます。
ITは使う人間と作る人間では残念ながら天と地ほどの差があり、素人が「これくらい簡単にできるだろ?」って思うことにかなりの工数が必要になってしまうことは良くある話です。
今回の件も、クライアントであるセブンイレブンとベンダーの間でスケジュールの進行でそれなりにもめる事態は起きていたんじゃないかと推測しています。
そしてベンダー側でセキュリティ関連を担当する責任者もしくは担当社員もしくはSESさんも「これじゃまずい!」っていうアラートを出していたんだとは思いますが、大人の事情で揉み消されてしまったんだろうな、と感じるのは私だけでしょうか。
システム開発なんてバグ(セキュリティホール)を見つけて怒られるとか、意外と日常茶飯事の世界かもしれません。
バグ(地雷)があることを知っていてあえてリリースしてしまい、運用時にバグがあったように見せかけて追加料金を…、おっと、誰か来たようです。
明日からセブンイレブンでバーコード決済が始まるので7payにチャージしてみた。
そしたら届いたメールがこれ。null様。
システム担当のベンダーさんとか、担当者さんが起こられるんだろうな・・・と心中お察しする。#7pay #セブンイレブン @711SEJ pic.twitter.com/TjblwklvqL
— Kensei Suzuki (@kenseis) June 30, 2019
オムニ7の開発は4社連合か… 認証/セキュリティ部分はどこなんだろう… 'チームITの考えで、NTTデータ、NEC、NRI、Oracleの4社のITベンダーのチームで開発し、成功したという。'
11月から始まった「セブン&アイ」のオムニチャネル戦略とは? https://t.co/eV2Ippfb8L
— Yuichi Uemura (@u1) July 4, 2019
#7pay 緊急会見
・被害が疑われる場合は7payから連絡がくる
・開発は何社かの協力会社と
・店舗でのAmazonカードを大量購入は止めていない(犯人か分からないため)対応は検討中
— コグレnote本