「7pay」問題、セブン&アイの対応に懸念の声 90
ストーリー by hylom
それ以外にも謎の事象が色々ありましたし 部門より
それ以外にも謎の事象が色々ありましたし 部門より
先日、セブン&アイ・ホールディングスがスマートフォン決済サービス「7pay」のサービス終了を発表したが、これに関連するセブン&アイの対応について懸念の声が出ている(Impress Watch)。
まず指摘されているのが、不正アクセスがリスト型攻撃によるものだと発表されたこと。パスワードを使いまわしておらず、リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっていることが報告されているが、セブン&アイ側がこれらについては曖昧な言及しかしていない。そのため、リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。
また、同社は外部のセキュリティ会社とも協力して調査を行ったが、その結果は公開されていない。そのため、7payに実際にどのような問題があったのか、またそれ以外のシステムには問題はないのか、外部のユーザーが判断できない状況になっている。
こういった状況から、セブン&アイの既存サービスにおけるセキュリティについても疑う声や、セブン&アイ側は実際にシステムにどのような問題があったのか理解できていないのではないかと疑う声が出ている状況となっている。
nanacoポイントの還元率 (スコア:5, 興味深い)
一番懸念されるのは、7Payの導入に伴ってnanacoポイントの還元率を半分にした件への対応。
とりあえず、8月10日から9月末までは、ポイント2倍キャンペーンを実施して還元率を元に戻すみたいだけど、期間限定キャンペーンだからなあ。
https://www.sej.co.jp/cmp/nanaco1908.html [sej.co.jp]
Re:nanacoポイントの還元率 (スコア:3, おもしろおかしい)
一番懸念されるのは、
今回のトラブルで40万円抜かれたというおっさんがテレビのインタビューで、記者会見はしても被害者にはまだ何の連絡もない、と文句を言ってたけど、それに加えて
「何より腹が立つのは、7Payのキャンペーンでもらえるはずの『おにぎり』がまだもらえてないことだよ!」
だって。食べ物の恨みは恐ろしい。
Re:nanacoポイントの還元率 (スコア:2)
>一番懸念されるのは、7Payの導入に伴ってnanacoポイントの還元率を半分にした件への対応。
これ、1p/100円だったのが1p/200円になったので。
普段、珈琲一杯,PETボトル1本,おにぎり一個だけを買っていた場合、全くポイントがつかなくなってますね。
ポイント還元のありがたみも無くなったので、だんだん使わなくなった。
#チャージした金額(どうせ使う) or 週/月間利用料金 でポイント付与してくれたら良いのに。
Re:nanacoポイントの還元率 (スコア:1)
さすが名古屋ですね。
どうせ使うんだからチャージでポイント付与するのは正しいよなぁ。
でもその場合、払い戻し不可か要手数料にしとかないとダメか。
Re: (スコア:0)
へー、既に多くのポイントシステムが有る中で
新規性のないnanacoを登場させたときから、近寄るのを避けてたので
他人事でしかないな
# せめて後出しならいいところを増やしてから出せよ、と
Re:nanacoポイントの還元率 (スコア:1)
nanacoはポイントシステムではなくて電子マネーですぜ。
まぁ、Edyとかsuicaあるじゃんと言われたら言葉が無いが、それでも2007年開始だから歴史がある方。
ガラケーのおサイフケータイでも使えたし、当時は新規性あったと思うね。
Re: (スコア:0)
でも、Edyやsuicaがすでに決済手段として広く実績を積み重ねてたのに対して、nanacoとWaonは系列企業でしか使えないので「ポイントカードにプリペイド機能が付いただけ」という印象が大きかったです
# 地道に取扱店を広げるWaonに対して、nanacoは未だに「ポイントカード+α」という認識です
ついでに、Tポイントからの離脱を図るファミリーマートが「ポイントカード+α」としてファミペイを出すのはわかりますが、
すでに「ポイントカード+α」を持っている7&Iが7ペイを出す理由がいまだに分かりません
# ユーザ側にも企業側にも何のメリットがあるんだろう
無問題 (スコア:3, すばらしい洞察)
>また、同社は外部のセキュリティ会社とも協力して調査を行ったが、その結果は公開されていない。
公開されていない、という事実が公開されていればそれでOK。
ユーザーはそういう企業と付き合うかどうか自由に判断出来る。
今回みたいな経営者の脆弱性に対しては技術的説明なんて不要という話もあるらしい :)
Re:無問題 (スコア:1)
>今回みたいな経営者の脆弱性に対しては技術的説明なんて不要という話もあるらしい :)
あの会見に出ていた人たちや、サービス前に大見栄切っていた取締役たちがそのままだとしたら不安ですね。
Re:無問題 (スコア:1)
結果はともかく、どのセキュリティ会社にどの程度の規模でチェックしてもらったかは公表すべきだと思う。
今回の対応でセブン側の信用が落ちているのだから、外部のセキュリティー会社の信用を利用して、
あのxx社がチェックしたのだから大きな穴は塞がったのだろうという事にしないと。
Re: (スコア:0)
「問題のある会社であることが指摘されて、広く知られているので問題ない」ですか。
ますます指摘する必用がありますね。
リスト盗まれ型攻撃 (スコア:3)
ユーザ名とパスワードのリストが盗まれて攻撃されたものも
第三者サービスのリストを使って攻撃するリスト型攻撃も
混同して、いまだに区別できずにいる感じ
そもそものリスト漏れの原因が社内政治と絡んで何も手が打てないようにも見える
口出し無用 (スコア:2)
黙っていた方がいいと思う。
Re: (スコア:0)
>自らまともな調査を行わなくなるので
自らまともな調査を行っているのかもわからない
ってのが今まさに問題視されてるわけですが。
Re:口出し無用 (スコア:5, おもしろおかしい)
「7pay は、しゃーないんで 止めまーす!
Omni7? あの子は ダイジョブダイジョブ!
あ、ついでに、そのうち nanaco pay (仮) とか始めるんで、よろしこ!」
って、7payを生贄に なんもなかったことにしようとしてますもの…。
Re:口出し無用 (スコア:2)
Re: (スコア:0)
7「なるほど、調査すれば良かったのか!全然気付かなかった!ナイスヒント!」
Re: (スコア:0)
対応のドタバタでバージョン管理がおろそかになって問題とソースが対応しなくて精密な解析ができなかったんだったりして。
Re: (スコア:0)
従業員十人以下の町工場レベルなとこなら(稼働や費用的な都合も合わせて)ともかく、
セブン&アイクラスの業者がそういう認識なら経営者の頭が煮えてるとしか思えない。
外部としてもそんな経営者であること前提の批判とかできるわけがないだろ。
そんなんだったら世の中のあらゆるサービスが使えんわ。
Re: (スコア:0)
「叱られるのも華のうち」のまさに散り際でしょう
言ってあげたほうがなんぼかまし
イトーヨーカドー、大手スーパーの中では良かったほうだったのに
今後は店舗の品ぞろえなんかにも影響が出てくるね。
安かろう悪かろう戦略だとイオンに負け、ブランド志向では百貨店に負け
オンラインはグダグダで、でもコンビニオーナーから搾取はできてるから
典型的な緩やかな死だね
Re:口出し無用 (スコア:2)
イトーヨーカドーは、今後なんかじゃなくて、とっくにいろいろ問題がある、みたいな話だったような。
スーパー系の中でもとくに。
Re:口出し無用 (スコア:1)
イトーヨーカドーは、惣菜がまずくなった。
一時期、醤油炒飯(醤油+オカカで強火で炒めた奴は、炒飯ではなく焼飯と呼んで欲しい)があって
500gの大盛りをよく買っていたんだが、いつの間にか無くなった。
鮭炒飯が、じとっとしてなんか生臭くなった。(飯はパラパラで鮭の身はパリパリしてたのに)
店内パン屋の焼き立てパンもまずくなった。フランスパンが焼き立てなのにシナシナ。
しかも、なんか白っぽい(まさか・・・生焼け?)
ドイツパン置かなくなった。日が経つと鈍器になりそうな黒くてずっしりとしたライ麦パンが好きだったのに。
(でも、なんか白くて丸い田舎パンなるものが増えたが・・・・どこの田舎だ?)
これだけダメだと (スコア:2)
セキュリティとかサービス改善しようが、もう関わらないって判断する人も多いだろう。
これから経営始めようかってオーナーもセブンのフランチャイズは二の足踏むだろうし。
本当に終わってしまうかもしれない。
We're the fuckin' animals (スコア:0)
あのザル対応を見たら、まともな技術力がないのは一目瞭然
同様に、二段階認証すら知らない人間が記者会見に出ていたのだから
ハッキング被害の全容解明なんてとてもとても…
とりあえず「リスト型攻撃」って言っときゃいいだろみたいなノリだろ
サルに文明の利器を作らせたらこんなもんよ
Re:We're the fuckin' animals (スコア:5, 興味深い)
> 二段階認証すら知らない人間
あのえらいさん、みずほ出身ですから筋金入りなんですよ。
Re: (スコア:0)
大企業の中の職種や立場は専門知識が足りなくて、専門性を外部に丸投げしているところが日本では珍しくないかと。
Re:We're the fuckin' animals (スコア:5, すばらしい洞察)
・7payのためにわざわざ設立された株式会社セブン・ペイの代表取締役社長
かつ
・7&iグループの金融関係を統括する株式会社セブン・フィナンシャルサービスの取締役専務執行役員
が「専門知識が足りなくて、専門性を外部に丸投げ」なのはさすがに論外かと
Re:We're the fuckin' animals (スコア:1)
その手の役割が期待された立場の人間ならそれはそれでいいんだけど、その彼が自分で質疑応答までやる判断をした点は間違いでしたね。
一切の説明は担当者に丸投げして、自分は責任を取るポーズを見せるためにお詫びの言葉だけを繰り返すマシーンに徹するべきでした。
Re:We're the fuckin' animals (スコア:1)
他の業種ならそれでも良いけれど、Webサービスの会社でそんなのは通用しないでしょ。
Re: (スコア:0)
職責でキッチリ分離されて居れば、Webサービスの会社に経営や金融のプロで技術のプロでは無い人が居る事は何も不思議ではない。
まあそういう人なら無駄に出しゃばらず「詳しくは専門の人間が説明します」ってやれば良いのですけど。
Re: (スコア:0)
大企業の中の職種や立場は専門知識が足りなくて、専門性を外部に丸投げしているところが日本では珍しくないかと。
そりゃ専門的な部分は専門職に任せるべきだとは思います。
でも、ペイメントサービスを提供する会社の代表が、ペイメントサービスの基本的な仕組みすら知らないのはさすがにマズいのでは?
知識が「足りない」ではなく「無」ですからね・・・
サイバーノーガード (スコア:0)
日本のセキュリティ戦略がサイバーノーガードからサーバーデコイに進化した。
Re: (スコア:0)
デコイか?
Re: (スコア:0)
デコイというよりは被害担当艦
Re:サイバーノーガード (スコア:1)
デコイというよりはトラップかホール?
Re: (スコア:0)
こういうのはフツーに『自爆』だと思うんだ。
もともと隠蔽体質の企業?! (スコア:0)
商品の大部分を定価販売だが
商品の仕入れはどのスーパーよりも叩いて安値仕入れとも聞く
利益率は40-50%ではないだろうか?
商品メーカは長年泣いている
内部告発も幾度となく握りつぶしとか・・・
認証の一括強制削除 (スコア:0)
なんで7Pay関係無い者までまきぞえ喰うのか?
それって顧客データが流出したの隠してないか?
Re: (スコア:0)
> なんで7Pay関係無い者までまきぞえ喰うのか?
そりゃ7Pay側じゃなくてオムニ7側に脆弱性があったからですよ。
外部ID連携しているとアウトっていうのは既に公知の事実ですが、
この調子だと他にも大穴があっても驚きません。
> それって顧客データが流出したの隠してないか?
認証に大穴が空いていたわけで、顧客データはもちろん流出したでしょう。
ありがたい対応 (スコア:0)
セブンイレブンのサービスを利用しようかどうか考えていたけど,セキュリティ上危険そうだとわかったので,利用しません.
無駄な検討時間を減らしてもらえて,ありがたい.
大きな脆弱性あったんじゃなかった? (スコア:0)
> リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっている
> リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。
パスワードを誰でも変更できる脆弱性があったんじゃなかったっけ。
パスワードを忘れた時のためのページに「新しいパスワードをこちらに送る」みたいなメールアドレス欄があって
誰でも使えたっていう。
違う?
駄々洩れ (スコア:0)
https://www.businessinsider.jp/post-195187 [businessinsider.jp]
Re:普通はいちいち公開しない (スコア:2, 参考になる)
ちゃんと元記事を読めよ。
7payを生贄として終了するけど、7idは継続するの。
それで、7idにセキュリティ上の懸念があるのでは?
という話。
Re: (スコア:0)
つかこのコメ見て改めてここの記事見たけど、すごいな。ある意味ものすごいな。
元記事は7iD名指ししているのにここじゃ「既存サービス」ってしてるせいでなんか「7pay」以外の印象が薄まってる。
間違いではないし、ことは7iDのみならずセブン&アイのすべての顧客向けネットサービス(それを統合するのが7iDではあるが)に対する懸念という意味ではより正確だが、
書き方ひとつで印象がこうも変わるとはな。
あと7iDはFelicaのクレジットプラットフォームのiDと、見た目の印象が被るからやめろと言いたい(言いがかり
セキュリティの根本原因を報告している例はいくらでもあります (スコア:1)
専門家のコメント [twitter.com]です。ご査収ください。
Re: (スコア:0)
そのように何が問題かわかってないことが問題なのです。
被害を把握しきれているのか自体も不明ですし。
普通は公表するから問題になってるという意味なんですよ。
ゴシップ誌とか古い感覚で気どり顔をするのは醜悪ですよ。
Re:パスワードは使いまわしていない (スコア:2)
そうやねぇ
悪気が無くても勘違いしてるとかよくあるし
Re:パスワードは使いまわしていない (スコア:1)
> ぶっちゃけユーザの話は信用できないからな。
パスワードを使いまわしてないのに被害にあった件は、決済処理の専門家から、信頼できる証言が出てますよ。
7payのみならず、オムニ7の外部ID連携に大穴があって、やりたい放題だったって件も説明してないし、
虚偽説明で誤魔化そうとしてるのは明らかでしょう。
『7iDやオムニ7は「他の同種のサービス」と比較し、遜色ない』という説明は失笑モノ。
オムニ7は影響範囲が自社以外にも及ぶので、こういう幕引きにしようとしてるってとこでは?
Re: (スコア:0)
これ?
https://twitter.com/methuselah3/status/1146333934587789312 [twitter.com]
嘘言っているとは思わないけど、勘違いの可能性は?
エビデンスなんもないよね?
他に例外の人はいないの?
調査会社と結託してセブンが隠蔽しようとしてる可能性も否定しないよ。
でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。
そういうことを言っている。
Re:パスワードは使いまわしていない (スコア:1)
> これ?
この人です。
> 嘘言っているとは思わないけど、勘違いの可能性は?
その方面の専門家ですし、たしかTVでもこの人は証言してましたし、勘違いの線はほぼないでしょう。
> でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。
・パスワードのリセット機能に穴があり、それを使った不正利用が可能だった
・外部ID連携機能に穴があり、それを使った不正利用が可能だった
ってあたりを説明していない以上、セブンの言い分が信用できないのは確定しているのでは?
なお、オムニ7の脆弱性は昔から存在し、不正利用したグループはずいぶん前から今回の攻撃の準備をしていたでしょうから、
パスワード使い回しによる不正利用が多数あったという点は正しいと思います。
セブンの発表の問題点は、それ以外の不正利用もあったという点を誤魔化しているところです。