こんにちは。たいら(@tairaengineer2)です。
2019年7月6日現在、 世間をざわつかせているのが 7pay(セブンペイ)です。
おそまつなセキュリティ対策で、攻撃者に
脆弱性はここなんで、どうぞ攻撃してください!
と言っているようなアプリです。
この記事では、エンジニア8年目の私がセブンペイは何が原因でこんなお粗末なアプリになってしまったのか?を考えていきたいと思います。
スポンサーリンク
軽くセブンペイの経緯を確認
セブンペイの経緯を軽く確認しましょう。
7月1日 | セブンペイサービス開始 |
---|---|
7月2日 | 不正利用の取引があるかも |
7月3日 | 不正利用が発覚 クレジットカードのチャージは停止 でも、現金チャージと使用は可能。 |
7月4日 | おそまつな記者会見 不正アクセスされた原因は不明と発表 |
セブンペイの被害額は4日午前6時時点で約900人、計約5500万円に上り、逮捕者も出たというニュースもあります。
金額などの情報は以下から引用させて頂きました。
中国籍の男2人逮捕、セブンペイで詐欺未遂容疑 :日本経済新聞
セブンペイの不正アクセスは、天才ハッカーとかそんなスキルはいりません。 アカウントを乗っ取りたい人の
- 電話番号
- メールアドレス
を知っているだけで乗っ取ることができます。
それくらいセキュリティがガバガバなんです。
スポンサーリンク
エンジニアの視点からセブンペイの原因を考えてみる
現状を軽く振り返ったので、 ここからエンジニア歴8年目の私が何が原因でこんなお粗末なアプリになってしまったのか?を推測していきます。
考える前提として、セブンペイアプリを開発したのは、おそらくどこかのSIer(システムインテグレーター)です。
何故なら株式会社セブンペイは、システム開発会社ではないからです。
また記者会見で協力会社と開発したと発言しています。
ここら辺からもSIerに依頼していると推測できます。
この考えを前提に大きく3つ考えました。
- 株式会社セブンペイが無理言った
- 開発体制がSESだった
- 開発したエンジニアの技術力が低かった
では、1つずつ書いていきます。
株式会社セブンペイが無理言った
よくあるパターンで、エンジニアの視点から考えてもセブンペイはこれがほぼほぼ原因のように思えます。
開発しているエンジニアは、セブンペイに脆弱性があるということを分かり切っていたはずです。
こんなアプリはまだリリースすべきではない
と判断し、上司に伝えているはずです。
にもかかわらずリリースしたということはエンジニアが
この品質では無理です…リリース日を伸ばさないとダメです
と言っても株式会社セブンペイが
リリース日は厳守!
何とかしろ!
と聞く耳持たず、無理やりリリースさせたのでは?と考えられます。
開発体制がSESだった
これもあるあるです。
軽くSESについて説明します。
SESとは、多重下請けで開発していく手法です。
法律違反ですが、IT業界ではよく使われている手法です。
記者会見で「協力会社と開発した」という発言があります。
協力会社=SES=多重下請け
の可能性がめちゃくちゃあります。
なぜならSESを使う会社は、下請け会社のことを「協力会社」という耳ざわりの良い言葉で言うことがよくあります。
実際はただの下請けなんですけどね。
多重下請けでは、基本的にピラミッドの上の会社が
- スケジュール
- 予算
- 開発する機能
- 開発で使う言語
などなどプロジェクトの根幹を考えて決めていきます。
その決まったものに沿って、上の会社の人が下の会社の人たちに指示を出していきます。
下の会社のエンジニアの方たちは、指示されたことしかしません。
というかそれ以外やってはいけません。
(たまに下の会社が上の会社に提案できる現場もありますが、それは恵まれた環境です)
元請けのSIerが考えるべきことを考え切れていなかった。
そのためセキュリティがガバガバなセブンペイができてしまったことも考えられます。
開発したエンジニアの技術力が低かった
これも可能性としてあり得ます。
「エンジニア」と一言で言っても、玉石混合。
スーパーエンジニアから、お荷物エンジニアまでいます。
なので、開発に携わったメンバーが全員お荷物エンジニアだったら今回のようなお粗末なアプリができるでしょう。
出してはいけない箇所をcssで見えなくしていたという危険が危ないセキュリティです。
ちょっとエンジニアの基礎の基礎から勉強してこい、と言いたいレベルです。
まとめ:セブンペイはもう使われないだろうなあ
以上がエンジニアの観点から考えた何故こんなお粗末なアプリができたのかを考えてみました。
まとめなので推測した原因をもう1度書くと
- 株式会社セブンペイが無理言った
- 開発体制がSESだった
- 開発したエンジニアの技術力が低かった
私が言いたいことは、経営者はもっとエンジニアの声を聴いてほしいですね。
最近何とかペイが流行ってきています。
新しくリリースされたものは、どこかに必ずバグがあります。
ゲームくらいならいいと思いますが、こういうキャッシュサービスはすぐに飛びつくのは止めた方がよいと思います。
1週間くらい様子見をして何も問題が無いならやってみるなど用心しましょう。