パスワードを忘れた? アカウント作成
13950381 story
お金

7payで不正利用被害報告が相次ぐ 199

ストーリー by hylom
PayPayのセキュリティ問題から学ばなかったのか 部門より

kmc55曰く、

セブン&アイ・ホールディングス傘下のセブン・ペイが7月1日より開始したバーコード決済サービス「7pay」で不正利用報告が相次いでいる(TogetterまとめEngadget日本版)。

報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。

Engadget日本版の続報Yahoo!ニュースなどで問題点が指摘されているが、セブンアプリからアカウントを作った人は生年月日とメールアドレスの2つさえ合っていれば乗っ取りが可能な模様。

また、パスワードを忘れた場合のフォームに「送付先メールアドレス」がID(メアド)と別に設定可能であり、パスワード再設定が行われても気が付かない仕様のようだ。その後送付先メールアドレスの入力欄は削除されたが、CSSで非表示に設定しているだけであり、CSSを操作することで第三者のメールアドレスに送付することができたという(ITmedia)。

セブン&アイ・ホールディングスは7月4日に会見を行い、対応として当面の間7payのすべてのチャージ機能および新規登録を停止する方針を示した。ただし新規登録については「近日中の停止」になるという(Business Insider JAPAN)。また、被害額をセブン&アイ・ホールディングス側が補償することも発表された。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「二段階・・・認証?」 (スコア:5, おもしろおかしい)

    by simon (1336) on 2019年07月04日 17時56分 (#3645980)

    記者会見のクライマックスシーン

    https://youtu.be/3-pzOV0OLyw?t=1420 [youtu.be]
    23分40秒
    記者「なぜ登録したメールアドレス以外にパスワードリセットメールを出せるようにしたのか?」
    社長「普段スマホを使ってる方がパソコンなどで操作される際に便宜を図ろうと思った」

    https://youtu.be/3-pzOV0OLyw?t=1845 [youtu.be]
    30分40秒
    記者「なぜ二段階認証をしなかったのか」
    社長「二段階認証?」「・・・セブンイレブンアプリの一機能が7Payなので二段階うんぬんはいらないと思った」

    いや別に社長が二段階認証を知らなくてもいいと思うんだが、会見場に技術部門の責任者がいない、技術的な質問をそこに振れないという体制が「ダメだこりゃ」と思いました。

    • 2段階認証なんて不便だって上が判断した可能性もありますね。
      スマホ決済なんて中国じゃ不正が横行してるのに、よく使えるなと思う

      親コメント
    • スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…

      親コメント
      • by Anonymous Coward on 2019年07月04日 18時11分 (#3645990)

        スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…

        キャリアメールを使っている場合(PCからキャリアメールにログインする設定をしていない場合)に便利なのは確かでしょ。
        スマホ操作しなくてPCだけでパスワードの再登録が完結するからね。

        ついでにいうと、こういうパスワード忘れ等のトラブルというのは機種変更やら端末故障時が多い。
        前の機種を下取りにだしてしまって、docomoからauに乗り換えた場合(キャリアメールが使えなくなっている)なんかも有り得る。

        ってことでパスワードの再設定リンクを他のメールアドレスに送れる機能ってのは利便性としては有用だよ。脆弱なだけで。
        そこはセキュリティオタクも認めないといけない点だと思う。

        親コメント
    • by Anonymous Coward on 2019年07月04日 18時21分 (#3646001)

      この仕様にしても、設計時にセキュリティーの専門家が加わっているとは思えない。

      普通のセブンイレブンの新商品開発の感覚でプロジェクト回してたんじゃないの。
      コード決済は、「中国に周回遅れ」の時代から、今度は「とりあえずうちもやっとけの粗製乱造」の時代になってきたな。

      今いくつくらいあるんかね。

      親コメント
      • by Anonymous Coward on 2019年07月04日 18時24分 (#3646005)

        QRコード決済のアタリショック事件になるかもね。

        ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
        退化してるじゃん…。
        レジのスループットも悪化するし、多少客を囲い込めるとしても面倒で離れる人も出るし、良いこと無いだろ。

        親コメント
        • by Anonymous Coward on 2019年07月04日 22時03分 (#3646186)

          ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。

          スマホ画面に広告が打てるからです。Suicaなんかのカードはかざすだけですが、QRコードはスマホを操作して画面に表示させることが必要です。そこに広告を打つんですよ。
          それも「平日昼間に丸の内で、土日と夜間は品川でコンビニを利用する30代男性」「平日は飯能のコンビニを利用するが月に一度は池袋で使う20代女性」といったように広告主に対してかなりピンポイントに広告枠を売れる媒体です。
          コンビニがこんな美味しいメディアを使わない手はないでしょう。
          まあユーザーにはメリットないけどね。

          親コメント
        • by Anonymous Coward on 2019年07月05日 10時16分 (#3646430)

          nanacoを無節操にばらまきまくったら年齢も性別もわからんユーザーが大量に生まれてしまって情報として使い物にならなくなった、という噂がまことしやかに

          親コメント
    • by Anonymous Coward on 2019年07月04日 18時50分 (#3646023)

      セブンネットショッピングに不正アクセス--15万件が流出
      https://japan.cnet.com/article/35038897/ [cnet.com]

      これで二回目かな?
      たしかこの時は注文IDが連番で推測可能なうえセッション管理とかなくて
      予測した注文IDから他人の注文データとか見られたんだっけか。
      しかも注文ID指定してPOSTすりゃ他人の注文データ自体弄れたとか聞いたな。。。

      親コメント
    • by Anonymous Coward on 2019年07月04日 20時51分 (#3646124)

      市況板では名前(小林強)にかけて小林弱とか呼ばれているようですね

      親コメント
    • by Anonymous Coward

      記者側はちょっとたどたどしいながらもちゃんと聞くべきことを事前に調べてきた風でしたけど、それに対する回答がとにかく酷すぎましたね。

    • by Anonymous Coward

      電子決済なんてテンプレ化した仕様があるだろうに、そういうのガン無視して再発明してしまったんだろうか?

  • by manmos (29892) on 2019年07月04日 17時55分 (#3645978) 日記

    登録しないと2019年1月1日になるという話も。

  • by Anonymous Coward on 2019年07月04日 22時41分 (#3646211)

    某大手小売企業で現場~システム担当として従事していたときの経験から

    大手小売業の幹部は外部の人は信じられないかも知れないですが結構本気で「お客様のため、良いサービスを提供したい」と思っています
    悲しいかな幹部は高所得層でありお客様と対する現場と離れて久しく、その「お客様」の求める物を理解できず現場の気持ちも判りません
    在籍中に機微な個人情報抱えるプロジェクトで幹部から「ATMのパスワードが数字4桁なのに何で英大小数8文字以上なんておかしい、お前はお客様目線で物ごとを考えて無い」「売場で顧客検索するのに何で漢字一文字で検索させないんだ従業員が不便だろう」なんてことを言われたりもしました

    完全な私の想像ですが、恐らく7payの7i側の担当者、コンサルもベンダーもリスクの説明を何度もしていたのではないかと思います
    幹部はセキュリティを担保するための必要な手間をお客様の不便と捉え、不便の解消として指示をしたのではと想像します・・・
    最後まで戦わない現場が悪い受けたベンダーが悪いと言うのは事実です、私の場合事故が起きる前に転職してしまいましたが
    サラリーマンでそこそこの年齢になってしまうと自分の進退を賭けてまで戦う事も難しいかと思います

    因みに某大手企業では事故はたまに発生していますが、TV局にとってはスポンサーであるためか大きく報道されるのを見たことがありません

  • by Anonymous Coward on 2019年07月04日 20時16分 (#3646092)

    たった5500万でこれだけ大きく取り上げてもらえたんだから広告としては非常に優秀じゃない?
    どうせ保険でなんとでもなるんだから7-11自体はそんなに痛くもないだろうし。

  • まぁ、公開βと割り切れば多少はね。。。
  • by Anonymous Coward on 2019年07月04日 18時57分 (#3646029)
    • by Anonymous Coward on 2019年07月04日 21時36分 (#3646163)

      こっちかと思った。
      「セブンネットショッピングに不正アクセス、カード情報15万件以上が流出した可能性」 https://security.srad.jp/story/13/10/24/0328212/ [security.srad.jp]

      さらに、こっちの様相も呈してきてる。
      「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」 https://security.srad.jp/story/10/04/06/0655212/ [security.srad.jp]
      「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」

      「7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も」 https://www.itmedia.co.jp/news/articles/1907/04/news079.html [itmedia.co.jp]
      「これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。

      しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。」

      親コメント
  • by Anonymous Coward on 2019年07月04日 21時27分 (#3646155)

    なんたらpay系のQR決済(コード決済)の普及は完全に後退しただろうね、大手の事件だからもう危険なイメージが付いちゃったから終わりかも
    使っている人も高いポイント還元に釣られて使ってるだけで支払い方法が煩雑で面倒だから支払い方法として別に優れているわけではないし

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...