ゲーマーときどきエンジニア

基本ゲーム記事を書いて、ときどき考えを発信するエンジニアのブログです!

7pay(セブンペイ)が世間をざわつかせてるけど、エンジニアの視点から原因を考えてみる

こんにちは。たいら(@tairaengineer2)です。
2019年7月6日現在、 世間をざわつかせているのが 7pay(セブンペイ)です。
おそまつなセキュリティ対策で、攻撃者に

 

脆弱性はここなんで、どうぞ攻撃してください!

 

と言っているようなアプリです。

この記事では、エンジニア8年目の私がセブンペイは何が原因でこんなお粗末なアプリになってしまったのか?を考えていきたいと思います。

f:id:Tairax:20180510203546p:plain

スポンサーリンク

 

軽くセブンペイの経緯を確認

セブンペイの経緯を軽く確認しましょう。

7月1日 セブンペイサービス開始
7月2日 不正利用の取引があるかも
7月3日 不正利用が発覚
クレジットカードのチャージは停止
でも、現金チャージと使用は可能。
7月4日 おそまつな記者会見
不正アクセスされた原因は不明と発表

セブンペイの被害額は4日午前6時時点で約900人計約5500万円に上り、逮捕者も出たというニュースもあります。
金額などの情報は以下から引用させて頂きました。

中国籍の男2人逮捕、セブンペイで詐欺未遂容疑 :日本経済新聞

セブンペイの不正アクセスは、天才ハッカーとかそんなスキルはいりません。 アカウントを乗っ取りたい人の

  • 電話番号
  • メールアドレス

を知っているだけで乗っ取ることができます。
それくらいセキュリティがガバガバなんです。

 

スポンサーリンク

 

エンジニアの視点からセブンペイの原因を考えてみる

現状を軽く振り返ったので、 ここからエンジニア歴8年目の私が何が原因でこんなお粗末なアプリになってしまったのか?を推測していきます。

考える前提として、セブンペイアプリを開発したのは、おそらくどこかのSIer(システムインテグレーター)です。
何故なら株式会社セブンペイは、システム開発会社ではないからです。
また記者会見で協力会社開発したと発言しています。
ここら辺からもSIerに依頼していると推測できます。

この考えを前提に大きく3つ考えました。

  1. 株式会社セブンペイが無理言った
  2. 開発体制がSESだった
  3. 開発したエンジニアの技術力が低かった

では、1つずつ書いていきます。

株式会社セブンペイが無理言った

よくあるパターンで、エンジニアの視点から考えてもセブンペイはこれがほぼほぼ原因のように思えます。

開発しているエンジニアは、セブンペイに脆弱性があるということを分かり切っていたはずです。

 

こんなアプリはまだリリースすべきではない

 

と判断し、上司に伝えているはずです。
にもかかわらずリリースしたということはエンジニアが

 

この品質では無理です…リリース日を伸ばさないとダメです

 

と言っても株式会社セブンペイが

 

リリース日は厳守!
何とかしろ!

 

と聞く耳持たず、無理やりリリースさせたのでは?と考えられます。

開発体制がSESだった

これもあるあるです。
軽くSESについて説明します。
SESとは、多重下請けで開発していく手法です。

f:id:Tairax:20190706120227p:plain

法律違反ですが、IT業界ではよく使われている手法です。

記者会見で「協力会社と開発した」という発言があります。
協力会社SES多重下請け
の可能性がめちゃくちゃあります。
なぜならSESを使う会社は、下請け会社のことを「協力会社」という耳ざわりの良い言葉で言うことがよくあります。
実際はただの下請けなんですけどね。

多重下請けでは、基本的にピラミッドの上の会社が

  • スケジュール
  • 予算
  • 開発する機能
  • 開発で使う言語

などなどプロジェクトの根幹を考えて決めていきます。
その決まったものに沿って、上の会社の人が下の会社の人たちに指示を出していきます。
下の会社のエンジニアの方たちは、指示されたことしかしません
というかそれ以外やってはいけません
(たまに下の会社が上の会社に提案できる現場もありますが、それは恵まれた環境です)

元請けのSIerが考えるべきことを考え切れていなかった。
そのためセキュリティがガバガバなセブンペイができてしまったことも考えられます。

開発したエンジニアの技術力が低かった

これも可能性としてあり得ます。

「エンジニア」と一言で言っても、玉石混合。
スーパーエンジニアから、お荷物エンジニアまでいます。
なので、開発に携わったメンバーが全員お荷物エンジニアだったら今回のようなお粗末なアプリができるでしょう。

出してはいけない箇所をcssで見えなくしていたという危険が危ないセキュリティです。
ちょっとエンジニアの基礎の基礎から勉強してこい、と言いたいレベルです。

まとめ:セブンペイはもう使われないだろうなあ

以上がエンジニアの観点から考えた何故こんなお粗末なアプリができたのかを考えてみました。
まとめなので推測した原因をもう1度書くと

  1. 株式会社セブンペイが無理言った
  2. 開発体制がSESだった
  3. 開発したエンジニアの技術力が低かった

私が言いたいことは、経営者はもっとエンジニアの声を聴いてほしいですね。

最近何とかペイが流行ってきています。
新しくリリースされたものは、どこかに必ずバグがあります。
ゲームくらいならいいと思いますが、こういうキャッシュサービスはすぐに飛びつくのは止めた方がよいと思います。
1週間くらい様子見をして何も問題が無いならやってみるなど用心しましょう。