7payで不正利用被害報告が相次ぐ 199
ストーリー by hylom
PayPayのセキュリティ問題から学ばなかったのか 部門より
PayPayのセキュリティ問題から学ばなかったのか 部門より
kmc55曰く、
セブン&アイ・ホールディングス傘下のセブン・ペイが7月1日より開始したバーコード決済サービス「7pay」で不正利用報告が相次いでいる(Togetterまとめ、Engadget日本版)。
報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。
Engadget日本版の続報やYahoo!ニュースなどで問題点が指摘されているが、セブンアプリからアカウントを作った人は生年月日とメールアドレスの2つさえ合っていれば乗っ取りが可能な模様。
また、パスワードを忘れた場合のフォームに「送付先メールアドレス」がID(メアド)と別に設定可能であり、パスワード再設定が行われても気が付かない仕様のようだ。その後送付先メールアドレスの入力欄は削除されたが、CSSで非表示に設定しているだけであり、CSSを操作することで第三者のメールアドレスに送付することができたという(ITmedia)。
セブン&アイ・ホールディングスは7月4日に会見を行い、対応として当面の間7payのすべてのチャージ機能および新規登録を停止する方針を示した。ただし新規登録については「近日中の停止」になるという(Business Insider JAPAN)。また、被害額をセブン&アイ・ホールディングス側が補償することも発表された。
「二段階・・・認証?」 (スコア:5, おもしろおかしい)
記者会見のクライマックスシーン
https://youtu.be/3-pzOV0OLyw?t=1420 [youtu.be]
23分40秒
記者「なぜ登録したメールアドレス以外にパスワードリセットメールを出せるようにしたのか?」
社長「普段スマホを使ってる方がパソコンなどで操作される際に便宜を図ろうと思った」
https://youtu.be/3-pzOV0OLyw?t=1845 [youtu.be]
30分40秒
記者「なぜ二段階認証をしなかったのか」
社長「二段階認証?」「・・・セブンイレブンアプリの一機能が7Payなので二段階うんぬんはいらないと思った」
いや別に社長が二段階認証を知らなくてもいいと思うんだが、会見場に技術部門の責任者がいない、技術的な質問をそこに振れないという体制が「ダメだこりゃ」と思いました。
Re:「二段階・・・認証?」 (スコア:2)
2段階認証なんて不便だって上が判断した可能性もありますね。
スマホ決済なんて中国じゃ不正が横行してるのに、よく使えるなと思う
Re:「二段階・・・認証?」 (スコア:1)
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
Re:「二段階・・・認証?」 (スコア:3, 参考になる)
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
キャリアメールを使っている場合(PCからキャリアメールにログインする設定をしていない場合)に便利なのは確かでしょ。
スマホ操作しなくてPCだけでパスワードの再登録が完結するからね。
ついでにいうと、こういうパスワード忘れ等のトラブルというのは機種変更やら端末故障時が多い。
前の機種を下取りにだしてしまって、docomoからauに乗り換えた場合(キャリアメールが使えなくなっている)なんかも有り得る。
ってことでパスワードの再設定リンクを他のメールアドレスに送れる機能ってのは利便性としては有用だよ。脆弱なだけで。
そこはセキュリティオタクも認めないといけない点だと思う。
Re:「二段階・・・認証?」 (スコア:4, 参考になる)
あ、やっと理解できた。こういうストーリーを想定してるのか。
普段スマホを使っている人が、スマホを紛失なり買い替えなりで手元に無い状況に陥っていて、PCから7payアカウントを操作したい。
パスワードはスマホに記憶させてい自分じゃ覚えていないから、ログインするにはパスワードを再設定しなきゃならない。
登録しているメールアドレスはキャリアメールで、以前のスマホが無いからアクセスできない。でもPCからプロバイダのメールとかGmailとかならアクセスできるから、再設定メールが送れるとそっちで見れる。
スマホは手元にないから、2段階認証(SMS)は当然できない。
Re:「二段階・・・認証?」 (スコア:3, すばらしい洞察)
ひょっとして狙ってやっているのか?>7-11
スマホが手元にあろうがなかろうが一番最初の会員登録時にスマホとPC両方のメールアドレスを登録させれば良かったんじゃないの?
Re:「二段階・・・認証?」 (スコア:1)
店舗での初回利用時にレシートに20桁くらいのリカバリキーを印字して、
「これを大切にもっていてください」って渡しておく。
Re:「二段階・・・認証?」 (スコア:3, すばらしい洞察)
レジ周辺にばらまかれている気が
Re:「二段階・・・認証?」 (スコア:1)
紛失などスマートフォンが手元にない状態になったのなら、セブンイレブンの店頭で手続き・・・・店員さんの業務が増えるな・・・
Re:「お金」が失われるリスクを考えていないんだね (スコア:1)
> 不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
それは間違い。「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害だ。会社にとって前者の方が重要なのは一目瞭然。
そもそもパスワードもメアドも分からないなら、電話確認か書面での身分証のやり取りが必須なのは仕方ないこと。
そのコストを惜しんで脆弱な実装を採用したのが問題。
Re:「お金」が失われるリスクを考えていないんだね (スコア:1)
クレカ登録・銀行口座登録している人は、クレカ番号や口座番号からリカバリ、
登録していない人は都度チャージ勢だから、財布を落としたとおもってそのチャージ分は諦めてもらう。
Re:「お金」が失われるリスクを考えていないんだね (スコア:2)
Re:「二段階・・・認証?」 (スコア:2)
https://www.rakuten-bank.co.jp/info/2013/130527.html#anchor-04 [rakuten-bank.co.jp]
Re:「二段階・・・認証?」 (スコア:1)
この仕様にしても、設計時にセキュリティーの専門家が加わっているとは思えない。
普通のセブンイレブンの新商品開発の感覚でプロジェクト回してたんじゃないの。
コード決済は、「中国に周回遅れ」の時代から、今度は「とりあえずうちもやっとけの粗製乱造」の時代になってきたな。
今いくつくらいあるんかね。
Re:「二段階・・・認証?」 (スコア:1)
QRコード決済のアタリショック事件になるかもね。
ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
退化してるじゃん…。
レジのスループットも悪化するし、多少客を囲い込めるとしても面倒で離れる人も出るし、良いこと無いだろ。
Re:「二段階・・・認証?」 (スコア:2, 参考になる)
ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
スマホ画面に広告が打てるからです。Suicaなんかのカードはかざすだけですが、QRコードはスマホを操作して画面に表示させることが必要です。そこに広告を打つんですよ。
それも「平日昼間に丸の内で、土日と夜間は品川でコンビニを利用する30代男性」「平日は飯能のコンビニを利用するが月に一度は池袋で使う20代女性」といったように広告主に対してかなりピンポイントに広告枠を売れる媒体です。
コンビニがこんな美味しいメディアを使わない手はないでしょう。
まあユーザーにはメリットないけどね。
Re:「二段階・・・認証?」 (スコア:2)
そういやセブンとかPOS画面の広告どうなってるんかね。
POSレジの客側ディスプレイに広告表示されても、支払い時には財布に集中しているし、通路を通りすがるときには注視しないし、そもそも意味ない代物かも。
Re:「二段階・・・認証?」 (スコア:1)
nanacoを無節操にばらまきまくったら年齢も性別もわからんユーザーが大量に生まれてしまって情報として使い物にならなくなった、という噂がまことしやかに
Re:「二段階・・・認証?」 (スコア:1)
NECの最新POSを全店に入れてる天下のセブンイレブンの話やで。
Re:「二段階・・・認証?」 (スコア:1)
すみません。レジは東芝TECですね。
店舗サーバみたいのがNECか。
これで二回目かな? (スコア:1)
セブンネットショッピングに不正アクセス--15万件が流出
https://japan.cnet.com/article/35038897/ [cnet.com]
これで二回目かな?
たしかこの時は注文IDが連番で推測可能なうえセッション管理とかなくて
予測した注文IDから他人の注文データとか見られたんだっけか。
しかも注文ID指定してPOSTすりゃ他人の注文データ自体弄れたとか聞いたな。。。
Re:「二段階・・・認証?」 (スコア:1)
市況板では名前(小林強)にかけて小林弱とか呼ばれているようですね
Re: (スコア:0)
記者側はちょっとたどたどしいながらもちゃんと聞くべきことを事前に調べてきた風でしたけど、それに対する回答がとにかく酷すぎましたね。
Re: (スコア:0)
電子決済なんてテンプレ化した仕様があるだろうに、そういうのガン無視して再発明してしまったんだろうか?
生年月日 (スコア:3)
登録しないと2019年1月1日になるという話も。
Re:生年月日 (スコア:4, 興味深い)
いろいろすごいよね
https://twitter.com/HiromitsuTakagi/status/1146537014520532992 [twitter.com]
退会理由に改行が入っていると受け付けないらしい
https://twitter.com/HiromitsuTakagi/status/1146543717781626880 [twitter.com]
Re:生年月日 (スコア:2)
確か登録しようとしたら「30秒で登録」という表示があったはず。
「素早く手軽に」というのを第一に開発したんでしょうね。
セキュリティ第一とか言う人はいなかったのか、排除されたのか。
Re:生年月日 (スコア:4, おもしろおかしい)
必須にするとApp Store審査落ちするとかなんとか。
Re:生年月日 (スコア:5, すばらしい洞察)
その執行役員様がセブン&アイの脆弱性みたいですね。
Re:生年月日 (スコア:1)
そうなると資格自体の信用にも関わるので処分しないかもしれないけど。
Re:生年月日 (スコア:1)
ここでのセキュリティ審査って、たぶん(よくある)使用しているソフトウェアに存在するCVEの該非判定くらいなんだろうなーって。
だから、自作部分がセキュアか、とかプロセスがセキュアかなんて見てないんでしょう。
・・・などと、昨日は擁護してたのですが、struts1らしいとか言う噂が出てて、
もし本当ならstruts1の脆弱性全部塞げてるとはとても思えないんで、
ほんとセキュリティ審査って何をやったのか聞きたいところです。
Re:生年月日 (スコア:1)
電子決済やネット店舗には信頼性に不安があって、ブラウザのウィンドウなのにウィンドウショッピングは利用し難いという利用者視点の問題点を把握した上で、
お客様に利便性を提供しようとした結果がご覧のありさまでは……
Re:どう実装するのが正解なの? (スコア:2)
決済方法を入力する時点で必須。入力していない場合決済できずクーポンだけ。
どこにぶら下げようか迷ったので (スコア:3, 興味深い)
某大手小売企業で現場~システム担当として従事していたときの経験から
大手小売業の幹部は外部の人は信じられないかも知れないですが結構本気で「お客様のため、良いサービスを提供したい」と思っています
悲しいかな幹部は高所得層でありお客様と対する現場と離れて久しく、その「お客様」の求める物を理解できず現場の気持ちも判りません
在籍中に機微な個人情報抱えるプロジェクトで幹部から「ATMのパスワードが数字4桁なのに何で英大小数8文字以上なんておかしい、お前はお客様目線で物ごとを考えて無い」「売場で顧客検索するのに何で漢字一文字で検索させないんだ従業員が不便だろう」なんてことを言われたりもしました
完全な私の想像ですが、恐らく7payの7i側の担当者、コンサルもベンダーもリスクの説明を何度もしていたのではないかと思います
幹部はセキュリティを担保するための必要な手間をお客様の不便と捉え、不便の解消として指示をしたのではと想像します・・・
最後まで戦わない現場が悪い受けたベンダーが悪いと言うのは事実です、私の場合事故が起きる前に転職してしまいましたが
サラリーマンでそこそこの年齢になってしまうと自分の進退を賭けてまで戦う事も難しいかと思います
因みに某大手企業では事故はたまに発生していますが、TV局にとってはスポンサーであるためか大きく報道されるのを見たことがありません
広告効果としては最高のコスパ (スコア:2, すばらしい洞察)
たった5500万でこれだけ大きく取り上げてもらえたんだから広告としては非常に優秀じゃない?
どうせ保険でなんとでもなるんだから7-11自体はそんなに痛くもないだろうし。
Re:広告効果としては最高のコスパ (スコア:1)
ファミペイも7Payも、そもそも「サーバ混雑で登録ができない」理由が
登録者殺到でサーバ設計を間違えたんじゃなくて、不正アクセスのアタックが
相当数あったからの可能性もあるから、霞むどころか関連してる可能性大。
Re:広告効果としては最高のコスパ (スコア:2)
7payというものそれ自体。
# 少なくとも、オレは今回の件で知った。w
トラブルの大小をみんながわかるわけじゃないし、単純接触効果もあるしな。
https://ja.wikipedia.org/wiki/%E5%8D%98%E7%B4%94%E6%8E%A5%E8%A7%A6%E5%... [wikipedia.org]
Re:広告効果としては最高のコスパ (スコア:2)
略したらOPになる何かのブランドがOp-Payっての始めてくれないかな、と密かに期待しているのは内緒ね
小田急ポイントカード [odakyu-card.jp]が「OPカード」を自称しているので、ここがやれば……。
後悔先に立たず (スコア:1)
Re:後悔先に立たず (スコア:2, おもしろおかしい)
後悔β
Re:後悔先に立たず (スコア:1)
関連リンク (スコア:1)
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]
この脆弱性まだ直ってないみたいですね。
Re:関連リンク (スコア:3, 興味深い)
こっちかと思った。
「セブンネットショッピングに不正アクセス、カード情報15万件以上が流出した可能性」 https://security.srad.jp/story/13/10/24/0328212/ [security.srad.jp]
さらに、こっちの様相も呈してきてる。
「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」 https://security.srad.jp/story/10/04/06/0655212/ [security.srad.jp]
「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。(中略)完成次第、お知らせいたします。」
「7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も」 https://www.itmedia.co.jp/news/articles/1907/04/news079.html [itmedia.co.jp]
「これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。
しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。」
まあ今回の事件で (スコア:1)
なんたらpay系のQR決済(コード決済)の普及は完全に後退しただろうね、大手の事件だからもう危険なイメージが付いちゃったから終わりかも
使っている人も高いポイント還元に釣られて使ってるだけで支払い方法が煩雑で面倒だから支払い方法として別に優れているわけではないし
Re:Struts1 (スコア:1)
パスワードのリセットフォームのpost先のurlの最後が.doだからというのが根拠みたいですねぇ
Re:作ったのは? (スコア:5, おもしろおかしい)
https://twitter.com/Shingi/status/1113746595328090112?s=19 [twitter.com]
ついに7Pay発表……なのだが、内容よりもURLの末尾「190212_copy_copy_copy_2_copy_copy_copy.html」がジワジワ来すぎて内容が一切頭に入ってこない。「最新版(2) _3校(3)のコピー」的な……
https://t.co/5azvdYPizH [t.co] https://t.co/o5p4GedLgI [t.co]
Re:NTTデータ、NEC、NRI、Oracle (スコア:2, 興味深い)
そのNTTデータが人月300万とか500万とか掛けてStruts1をサポートし続けているのがTERASOLUNA Server Framework for Java [osdn.net]です。
7payのWebフレームワークはこれを採用しているのではないかと言われています。
Re:NTTデータ、NEC、NRI、Oracle (スコア:1)
バージョン2はSpringとStruts、
5 は Spring みたいですね。
それにしても、そこそこ新しいシステムなのに
Struts使うんかな……?
Re:アジャイルに内製 (スコア:1)
「おれ、エクセル方眼紙に仕様バグを仕込む人」
「ボク、それを忠実にクソコードに落とし込む人」
「わたし、それが通るようにテストコードを作る人」
日本企業でいうアジャイルって、「毎日ちゃぶ台返しの入るウォーターフォール」だったりするからねえ
Re:セブン (スコア:1)