不正アクセスの手口

　次に不正アクセスの手口についてでございます。本事案については、捜査当局による捜査が引き続き行われておりますが、セキュリティ対策プロジェクトの調査では、今回の不正アクセスの手口について、攻撃者がどこかで不正に入手したID、パスワードのリストを用い、7pay利用者になりすましつつ不正アクセスを試みる、いわゆるリスト型のアカウントハッキングである可能性が高いとの結論をいただいております。 　一方で同じくセキュリティ対策プロジェクトでは現時点で外部ID連携、パスワードリマインダー、有人チャットによるパスワードリセット等の機能が不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても実査も含め確認調査を行ったが明確な流出の痕跡は確認できないとの調査結果を取りまとめております。 　次に問題発生の原因と再発防止についてでございます。このように主原因としてリスト型アカウントハッキングである可能性が高いと認識する一方で、私どもはこうした手口による犯行を防ぐことができなかった理由として大きく3つの要因があると考えております。具体的には、1つ目、7payに関わるシステム上の認証レベルでございます。2つ目に7payの開発体制。3つ目に7payにおけるシステムリスク管理態勢でございます。 　7payに関わるシステム上の認証レベルにつきましては、開発当初よりさまざまな観点から議論、検証を進めたものの、最終的に複数端末からのログインに対する対策や二要素認証等の追加認証の検討が十分でなく、リスト型アカウントハッキングに対する防衛力を弱めたものと考えております。 　次に開発体制です。7payのシステム開発にはグループ各社が参加しておりましたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の1つではないかと認識しております。この点について今後さらなる検証が必要と考えております。