アカウント名:
パスワード:
記者会見のクライマックスシーン
https://youtu.be/3-pzOV0OLyw?t=1420 [youtu.be] 23分40秒記者「なぜ登録したメールアドレス以外にパスワードリセットメールを出せるようにしたのか?」社長「普段スマホを使ってる方がパソコンなどで操作される際に便宜を図ろうと思った」
https://youtu.be/3-pzOV0OLyw?t=1845 [youtu.be] 30分40秒記者「なぜ二段階認証をしなかったのか」社長「二段階認証?」「
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
キャリアメールを使っている場合(PCからキャリアメールにログインする設定をしていない場合)に便利なのは確かでしょ。スマホ操作しなくてPCだけでパスワードの再登録が完結するからね。
ついでにいうと、こういうパスワード忘れ等のトラブルというのは機種変更やら端末故障時が多い。前の機種を下取りにだしてしまって、docomoからauに乗り換えた場合(キャリアメールが使えなくなっている)なんかも有り得る。
ってことでパスワードの再設定リンクを他のメールアドレスに送れる機能ってのは利便性としては有用だよ。脆弱なだけで。そこはセキュリティオタクも認めないといけない点だと思う。
>そこはセキュリティオタクも認めないといけない点だと思う。何で?決済システムなんだから、今回の件では利便性を優先したら絶対ダメだろうに。
不正利用されて損害が生じるリスクというのは確かにある。しかし、逆にパスワードを忘れてしまって、チャージしたお金が失われる(使えない)リスクもあるんだよ。
https://snsdays.com/download-app/7pay-touroku-use/#7iD-2 [snsdays.com] 見れば分かるように、「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。
キャリア変更でキャリアメールが使えなくなって、パスワードが忘れてしまった場合、自分でチャージした「お金」が使えなくなってしまう、これも問題だよね。
不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
> 不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
それは間違い。「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害だ。会社にとって前者の方が重要なのは一目瞭然。
そもそもパスワードもメアドも分からないなら、電話確認か書面での身分証のやり取りが必須なのは仕方ないこと。そのコストを惜しんで脆弱な実装を採用したのが問題。
「報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。」と言うことだから、ここでの不正利用はユーザーが所持しているクレジットカードがユーザーの意図しないところで使われているってことで、ユーザーの損害に該当するものなのでは。
「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害
「不正利用の被害額」もフランチャイジー=加盟店が負う事になっているんじゃないの?
どっちの負債もユーザに押し付けりゃいいやって考えだったんだろうなぁ……コンビニの店長にしわ寄せするのは日常っぽいから責任転嫁することに対する罪悪感はとっくの昔に消え失せてそう。
そのとおりそして加盟店=セブンペイ側に重大な(のあるシステムを運用した)過失があるので、不正チャージ分については、全額をセブンペイ側が被る事になる。
納得できる意見だな。この件では脆弱だから設計失敗だが、不正も移行ロスも無視できない。スマホで身分証の写真を撮る、一定期間後別アカウントに残高移転する形でその間元アカウントはキャンセルできるとか考えたけど微妙。この件だと元のメールアドレス/ログイン中のアプリに通知を送ってキャンセルできる(パスワード変更は一定期間後)とかが緩和策だろうけど問題は大きい。SMSまで届かなくなるケースは問い合わせて何とかするくらいしかないだろうな。
クレカ登録・銀行口座登録している人は、クレカ番号や口座番号からリカバリ、登録していない人は都度チャージ勢だから、財布を落としたとおもってそのチャージ分は諦めてもらう。
そんなの無記名式の電子マネーカードを、窓口(多機能券売機)まで持参して記名式にした人がその権利を取得する、ってのと同じ仕組みだな
そして無記名式の電子マネー(に相当するセブンペイアカウント)にクレジットカードチャージできるなんて仕組みなんて聞いたことないわ
どんだけザルシステムだよ
そして、セブンペイをアプリ登録して(正しい個人情報を登録せずに)使ってる限りは、無記名式の電子マネーであって何時でも他人に奪われても仕方がない、と言う認識がユーザーに明示される機会にも乏しい。
まさにどうしようもない
いや、そもそも無記名式の電子マネー(に相当するもの)にクレジットカードチャージできるシステムがおかしいんだよ
そこ気づかない(気づく脳みそが無いと)とどうしようもない
脳筋や脳花ばかりだなセブンイレブン系の会社って
バカばかり
何がオタクだよ!しね
パスワード忘れ&メールアドレス使用不可なんてユーザーの自己責任だろ。なんでそんなユーザーのために空けた穴で無辜のユーザーが不正利用の憂き目に遭わなければいけないんだ。
誰も設計に問題があることを否定してないでしょ。みんな何故こんな設計になったのか、何を想定していたのかを考えてるだけだよ。
セキュリティ的には堅牢(それほど堅牢とも思えないが)に見えたシステムに誰でも入れる隠しバックドア(忍者屋敷のあれと同じ)を設置しましたって感じかな。
>>「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。
そんなの無記名式の電子マネー(プリペイドカード)と同じだから、利用不能になって当たり前だろどうやって無記名式の電子マネーを元々の利用者を特定して再交付できるんだよ
スマホもパスワードもなくしたアホなユーザーの救済措置として面倒な手続きがあるべきで、アホなユーザーを基準にザルセキュリティを構築して態々いらんリスクを背負い込むもんじゃないだろ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
「二段階・・・認証?」 (スコア:5, おもしろおかしい)
記者会見のクライマックスシーン
https://youtu.be/3-pzOV0OLyw?t=1420 [youtu.be]
23分40秒
記者「なぜ登録したメールアドレス以外にパスワードリセットメールを出せるようにしたのか?」
社長「普段スマホを使ってる方がパソコンなどで操作される際に便宜を図ろうと思った」
https://youtu.be/3-pzOV0OLyw?t=1845 [youtu.be]
30分40秒
記者「なぜ二段階認証をしなかったのか」
社長「二段階認証?」「
Re: (スコア:1)
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
Re: (スコア:3, 参考になる)
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
キャリアメールを使っている場合(PCからキャリアメールにログインする設定をしていない場合)に便利なのは確かでしょ。
スマホ操作しなくてPCだけでパスワードの再登録が完結するからね。
ついでにいうと、こういうパスワード忘れ等のトラブルというのは機種変更やら端末故障時が多い。
前の機種を下取りにだしてしまって、docomoからauに乗り換えた場合(キャリアメールが使えなくなっている)なんかも有り得る。
ってことでパスワードの再設定リンクを他のメールアドレスに送れる機能ってのは利便性としては有用だよ。脆弱なだけで。
そこはセキュリティオタクも認めないといけない点だと思う。
Re: (スコア:0)
>そこはセキュリティオタクも認めないといけない点だと思う。
何で?
決済システムなんだから、今回の件では利便性を優先したら絶対ダメだろうに。
「お金」が失われるリスクを考えていないんだね (スコア:0)
不正利用されて損害が生じるリスクというのは確かにある。
しかし、逆にパスワードを忘れてしまって、チャージしたお金が失われる(使えない)リスクもあるんだよ。
https://snsdays.com/download-app/7pay-touroku-use/#7iD-2 [snsdays.com] 見れば分かるように、
「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。
キャリア変更でキャリアメールが使えなくなって、パスワードが忘れてしまった場合、
自分でチャージした「お金」が使えなくなってしまう、これも問題だよね。
不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
Re:「お金」が失われるリスクを考えていないんだね (スコア:1)
> 不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
それは間違い。「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害だ。会社にとって前者の方が重要なのは一目瞭然。
そもそもパスワードもメアドも分からないなら、電話確認か書面での身分証のやり取りが必須なのは仕方ないこと。
そのコストを惜しんで脆弱な実装を採用したのが問題。
Re: (スコア:0)
「報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。」
と言うことだから、ここでの不正利用はユーザーが所持しているクレジットカードがユーザーの意図しないところで使われているってことで、
ユーザーの損害に該当するものなのでは。
Re: (スコア:0)
「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害
「不正利用の被害額」もフランチャイジー=加盟店が負う事になっているんじゃないの?
Re: (スコア:0)
どっちの負債もユーザに押し付けりゃいいやって考えだったんだろうなぁ……
コンビニの店長にしわ寄せするのは日常っぽいから責任転嫁することに対する罪悪感はとっくの昔に消え失せてそう。
Re: (スコア:0)
そのとおり
そして加盟店=セブンペイ側に重大な(のあるシステムを運用した)過失があるので、不正チャージ分については、全額をセブンペイ側が被る事になる。
Re: (スコア:0)
納得できる意見だな。この件では脆弱だから設計失敗だが、不正も移行ロスも無視できない。
スマホで身分証の写真を撮る、一定期間後別アカウントに残高移転する形でその間元アカウントはキャンセルできるとか考えたけど微妙。
この件だと元のメールアドレス/ログイン中のアプリに通知を送ってキャンセルできる(パスワード変更は一定期間後)とかが緩和策だろうけど問題は大きい。
SMSまで届かなくなるケースは問い合わせて何とかするくらいしかないだろうな。
Re:「お金」が失われるリスクを考えていないんだね (スコア:1)
クレカ登録・銀行口座登録している人は、クレカ番号や口座番号からリカバリ、
登録していない人は都度チャージ勢だから、財布を落としたとおもってそのチャージ分は諦めてもらう。
Re: (スコア:0)
そんなの無記名式の電子マネーカードを、窓口(多機能券売機)まで持参して記名式にした人がその権利を取得する、ってのと同じ仕組みだな
そして無記名式の電子マネー(に相当するセブンペイアカウント)にクレジットカードチャージできるなんて仕組みなんて聞いたことないわ
どんだけザルシステムだよ
そして、セブンペイをアプリ登録して(正しい個人情報を登録せずに)使ってる限りは、無記名式の電子マネーであって何時でも他人に奪われても仕方がない、と言う認識がユーザーに明示される機会にも乏しい。
まさにどうしようもない
Re: (スコア:0)
いや、そもそも無記名式の電子マネー(に相当するもの)にクレジットカードチャージできるシステムがおかしいんだよ
そこ気づかない(気づく脳みそが無いと)とどうしようもない
脳筋や脳花ばかりだなセブンイレブン系の会社って
バカばかり
何がオタクだよ!しね
Re: (スコア:0)
パスワード忘れ&メールアドレス使用不可なんてユーザーの自己責任だろ。
なんでそんなユーザーのために空けた穴で無辜のユーザーが不正利用の憂き目に遭わなければいけないんだ。
Re: (スコア:0)
誰も設計に問題があることを否定してないでしょ。
みんな何故こんな設計になったのか、何を想定していたのかを考えてるだけだよ。
Re:「お金」が失われるリスクを考えていないんだね (スコア:2)
Re: (スコア:0)
セキュリティ的には堅牢(それほど堅牢とも思えないが)に見えたシステムに誰でも入れる隠しバックドア(忍者屋敷のあれと同じ)を設置しましたって感じかな。
Re: (スコア:0)
>>「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。
そんなの無記名式の電子マネー(プリペイドカード)と同じだから、利用不能になって当たり前だろ
どうやって無記名式の電子マネーを元々の利用者を特定して再交付できるんだよ
Re: (スコア:0)
スマホもパスワードもなくしたアホなユーザーの救済措置として面倒な手続きがあるべきで、アホなユーザーを基準にザルセキュリティを構築して態々いらんリスクを背負い込むもんじゃないだろ。