7Payの内部資料が流出 不正アクセスの原因は仕様変更か
Business Insiderが7Payの開発スケジュール等が記載されている内部資料を入手しました。
この資料から7Pay側が土壇場で大きな仕様変更をしたことが明らかになり、それが今回の不正アクセスの原因の一つであると推測できます。
7Payの内部資料で明らかになった仕様変更
この内部資料から明らかになった、7Pay開発のスケジュールについて時系列で概要を紹介します。
2017年プロジェクト開始
元々7Payは2019年7月にリリースすることを目標として2017年にプロジェクトが始まりました。
この段階ではまだ「7Pay」は単独アプリでリリースされる予定でした。
2018年末に大きな仕様変更
しかし2018年の年の瀬に異変が生じます。ここにきて大きな仕様変更が決まりました。
「7Pay」は”単独アプリ”ではなく「セブンイレブン」アプリ内の一機能とすることになったのです。
しかしこれだけ大きな仕様変更にも関わらず、リリース日時の変更はありませんでした。
逃げ出す開発会社
この仕様変更のタイミングで開発会社が変更になりました。
仕様変更によって「納期に間に合う訳がない。」と元の開発会社が仕様変更を断った可能性が考えられます。
もちろん開発会社の変更と仕様変更による影響は甚大です。
単独アプリではなく、セブンイレブンアプリ内の「オムニ7」と「7Pay」を統合する為に、ユーザー登録のフローが大きく異なる為です。
これにより開発が思うように進みませんでした。
2019年春、スケジュール通りにテストが開始できず
これにより当初2019年3月にテストが始まるはずだったのが、4月末までずれ込みます。
テストスケジュールの変更は2,3回あったようです。
App Storeでの公開申請の時間を考えると実際にテストができた期間は1ヶ月半程度であったと予想できます。
2019年7月1日「7Pay」がリリースされる
半ば強引にアプリの審査を進め、予定通り7Payアプリはリリースされるのですが、結果的に7月2日には不正アクセスによる被害が相次ぎ結果的にクレジットカードによるチャージが停止になった…と言う訳です。
まとめ
2年間のプロジェクトであるのにも関わらず、残り半年で大きな仕様変更をした「7Pay」。
時間がほとんど足りず、セキュリティに関するテストをする余裕は無かったようです。
むしろセキュリティの穴が見つかっていたとしても、それを直していたらリリース日に間に合わない可能性があった訳です。
土壇場での仕様変更さえなければ、これだけの問題は起きなかったのかもしれません。
7Payの関連記事
7Payの代表取締役は「二段階認証」を知らず…パスワードの再設定隠しも危うく
「7Pay」不正アクセスの原因はこれかも?パスワードの再設定機能に不備
au民は見ない方がいいかも。最終的に全然違うよ。
