張升とワンユンフェイ(セブンペイ不正使用)顔画像!犯人特定の経緯(方法)は何?デジタルフォレンジック?

7月4日、セブン&アイ・ホールディングスが緊急の会見を行いました。

会見の理由は、7月1日から始まったサービスである「セブンペイ」が、何者かにより不正にアクセスされ、約5500万円の損害が生じたからです。

現時点(7月5日)で、チャージや新規登録とは一時的に停止している状況ですが、すでにチャージしている分に関しては、使用できるようです。

そして、この不正アクセス及び不正使用の疑いで、中国国籍の2人が逮捕されました。

犯人の名前は、

  • 張升
  • ワンユンフェイ

です。

この2人は、20万円分の電子たばこを購入したことが分かっています。

しかし4日の時点で、被害額は約5500万円と言われていたので、他にも犯人が数十人単位でいそうな感じがします。

そしてここで気になるのが、

逮捕された張升とワンユンフェィの顔画像。さらにどういった経緯で2人を特定できたのか?

今回の記事では、この辺りを調査してみたいと思います。

スポンサーリンク

張升とワンユンフェイ(セブンペイ不正利用)顔画像!犯人特定の経緯(方法)は何?デジタルフォレンジック?

張升とワンユンフェイ(セブンペイ不正利用)顔画像!

では、始まったばかりの新サービスで、不正アクセスをして不正使用した犯人とはどんな顔をしているのでしょうか?

個人的には何となくですが、頭の良さそうな感じがしたのですが…。

いわゆるハッカーと言われる人たちは、かなり頭がキレる人たちだと思いますので、知的な青年たちだったのかな?って気がしました。

ハッカーと言えば、やっぱブラッディマンデイの三浦春馬さんを思い出してしまいますからね…。

実際に2人の顔画像はあるのか?調べてみたのですが、現時点(7月5日)で顔が特定できるような画像は見受けられませんでした。

これから徐々に情報が出てくると思うので、新たな情報が入り次第、追記します。

☆追記

新たな報道で犯人の顔とどういった経緯で不正アクセスをしたのか?などが分かってきました。

スポンサーリンク

犯人を特定できた経緯(方法)は何?デジタルフォレンジック?

では警視庁はどのような経緯で、張升とワンユンフェイが犯人であることを特定できたのか?個人的に非常に気になります。

まず不正アクセスとは何か?というと↓

不正アクセスというのはとても意味の広い言葉です。不正アクセスを取り締まる法律「不正アクセス禁止法」では、「侵入行為」「なりすまし行為」、そして「持ち主の許可を得ずにIDおよびパスワードを第三者に提供する行為」を不正アクセスであると定義しています。

このように法律においてもかなり広義の言葉であることがお分かりいただけるところですが、簡単に言うとネットやコンピューターを使って他人に被害を及ぼす行為が不正アクセスであると考えて良いでしょう。

そして法律があるくらいなので、当然犯罪にあたります。

よく、ツイッターなどのアカウントを作成する際にもパスワードは「〇〇文字以上で数字と英語を混ぜて」などと指示されることがありますよね?

これは要するに、簡単なパスワードであった場合、他の第三者がログインできてしまうからで、これを防止する為のセキュリティ強化の一環と言えます。

一昔前は、不正アクセスなどは手の打ちようがないと言われていましたが、現代においてはパソコンやスマホを調べれば、必ずとは言えませんが発見できるそうです。

しかもデータ等が消されていた場合でも「デジタルフォレンジック」という手法で解析できでしまうそうです。凄いですよね!

デジタルフォレンジックとは?

「フォレンジック」とは、直訳すると「法廷の」という意味で、法的証拠を見つけるための鑑識調査や情報解析に伴う技術や手順のことを指し示します。 この中でも特に、パソコン・スマートフォンなどの端末やサーバー、デジタル家電などの電子機器に蓄積されるデジタルデータに法的証拠能力を持たせる一連の手続きを「コンピュータフォレンジック(またはデジタル法務フォレンジック)」といい、専門知識とノウハウが要求されます。

具体的には、被疑者から押収した端末から犯行の裏付けとなるデータを「抽出」したり、サーバーのログを解析することで、犯罪にまつわる通信記録を割り出したりすることができるようになります。また、オリジナルのデジタルデータが改ざんされていないかの調査や、削除または破損したデジタルデータの「復元」も可能です。もちろん調査前に、デジタルデータが破損・改ざんされないよう、あらかじめハッシュ値やデジタル署名などを用いて「保全」を行うことも、デジタル・フォレンジック技術の一部となります。

今回、張升とワンユンフェイがどういった経緯で逮捕に至ったのかは、分かっていませんでしたが、不正アクセスされた場合においても、犯人を捕まえることは十分に可能であることが分かります。

ということは、2人以外の組織的な犯行だったと場合でも、時間は掛かるかもしれませんが、犯人を逮捕できる可能性はありますね。

今回の不祥事に対し、セブン&アイ・ホールディングスは7月4日に緊急で記者会見を開きました。その様子は以下の動画で↓

セブンペイ不正利用でセブン&アイが緊急会見

この会見の中で、セブンペイの小林強社長は、原因について

「7payの基本設計として、セブンIDがあり、それを使ってセブン-イレブンアプリを使う。このアプリの一機能としてセブンペイが入っている。セブンID、セブン-イレブンアプリ、7payは連携しているので、2段階認証と同じ土俵で比べられるのかどうかは認識していない」

「使いやすさを優先して、リスク対策をおろそかにしたわけではない」

とコメントしており、2段階認証を導入していなかったことが原因ではないか?といった声が相次いでいたようです。

じゃあ二段階認証って何なの?といった疑問が出てくると思うので、説明しておきますと、サービスにログインする際にID・パスワードの他に、メールやショートメッセージサービスで起きられてくるコードを入力する認証方法です。

最近のサービスではよくある方法ですよね。

会見の様子からも分かるように、小林強社長は二段階認証という仕組み自体を知らなかったのではないか?と思われますね。

被害者に関しては、全額返金するようですが、一度こういった不祥事が起きてしまうと、セブンペイ離れが続出してしまいそうですよね。

セブン&アイ・ホールディングスといえばセブンイレブン。

セブンイレブンと言えば、コンビニ業界ではNO.1の実績ですので、イメージダウンに繋がらなければ良いのですが…。

☆追記

7月5日になり、セブン&アイ・ホールディングスは、二段階認証を導入する動きをみせました。

また、これに伴い新組織である「セキュリティ対策プロジェクト」を立ち上げたことも発表しています。

セブンイレブンと言えばこんな炎上がありましたね…↓

スポンサーリンク

セブンペイの不正アクセスの犯人逮捕に世間の反応は?

仲間の声仲間の声

セキュリティが甘いですね。7payやろうか迷ってたがやらなくて良かった。そう思った人は沢山いるはず。
莫大な金を投資して立ち上げた7payだが、この先は信頼を回復しなければユーザーは増えないだろう。もしくはpay payのようにバラマキ作戦で増やすしかないだろう。しかし、自分はやらないけどね。

仲間の声仲間の声

やっぱり、物理的なFeliCaチップが決済に必要な交通系ICの方が便利で安全だ。
QRコード決済は地方のインフラ整備が遅れてる中国ならではの仕様だと思う。

仲間の声仲間の声

黒幕までは繋がらなそうですな。中国公安も捜査協力してくれなそうですし、真相は闇の中にならなきゃ良いですが。

村人の声村人の声

そもそも何のためにpayを使うの?
普通にカード決済でいいんじゃないの?
しかもクレカからチャージって意味がわからない。なら、クレカでよい。
割引や還元やポイント付与率に目先を奪われるから、こうなる。それ以外に利点ある?誰かクレカよりpayを選択する理由を教えて下さいな。

村人の声村人の声

カード式電子マネーに現金でチャージした方が安全だね
セブンペイもファミペイも見送りする人多いだろうね

村人の声村人の声

サービス開始のタイミングを狙ってとなると、7pay関係者も絡んでいそうですね。
システム開発を中国系メーカーに再委託したとかもあり得ますね。

モンスターの声モンスターの声

セキュリティがザル状態なのでしょうね。
ハッカーにとっては格好のターゲットになったのでしょう。
セブン&アイは他がやってるからと慌ててキャッシュレス決済のプログラムを作ることだけに目が行き、セキュリティなどは甘く見た結果がこれでしょうね。
今、日本国内で起きているキャッシュレス決済の乱立がおさまならない限り、まだまだ同様の問題は起きるでしょうね。

モンスターの声モンスターの声

20万円分の電子タバコとか、そりゃ7payの問題が大きく出てる時によくも足がつく行動してるな。
犯人はわかっても、取られたお金は戻ってくるんだろうかね?payに関しての知識は普及から見ても中国が上だろうし。

モンスターの声モンスターの声

便利なものには、やっぱり弱点があるんですね。
やらなくて良かった。
普通にナナコカードが一番安全。

ボスの声ボスの声

中国はハッカーも多いし、日本は常に狙われていると思います。
脆弱性をついた攻撃や不正アクセスはスマホ決済には当たり前のように付きまとってきます。情報処理安全確保支援士などの専門家を入れてこの事業を展開したのか疑問です。
会見を見る限り、このインシデントについての脅威やリスクに対する認識が経営陣には甘いように思われます。
ほかにリスクや脆弱性がないかしっかり特定し、対応できるまで、会員募集は中断した方が良いかと思います。

セキュリティの甘さを指摘する意見や、セブンペイをあえて使用しなくてもいいのではないか?といったセブンペイ自体に疑問を抱くコメントもありました。

まとめ

起きてしまったことは仕方ないとして、これからどうするのか?が重要だと思います。

そして今後、他の会社でも今回のセブンペイのようなサービスを考えていたとすれば、今回の件を踏まえて十分な対策を施す必要がありますね。

セブン&アイ・ホールディングスにとっては、損害が5500万円以上となりそうですが、失った金額より、利用者の信頼を早急に回復してほしいと思いますね。

最後までお読み頂き、ありがとうございます。是非、他の記事も読んでみてくださいね♪

スポンサーリンク