パスワードを忘れた? アカウント作成
13975741 story
インターネット

「7pay」問題、セブン&アイの対応に懸念の声 90

ストーリー by hylom
それ以外にも謎の事象が色々ありましたし 部門より

先日、セブン&アイ・ホールディングスがスマートフォン決済サービス「7pay」のサービス終了を発表したが、これに関連するセブン&アイの対応について懸念の声が出ている(Impress Watch)。

まず指摘されているのが、不正アクセスがリスト型攻撃によるものだと発表されたこと。パスワードを使いまわしておらず、リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっていることが報告されているが、セブン&アイ側がこれらについては曖昧な言及しかしていない。そのため、リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。

また、同社は外部のセキュリティ会社とも協力して調査を行ったが、その結果は公開されていない。そのため、7payに実際にどのような問題があったのか、またそれ以外のシステムには問題はないのか、外部のユーザーが判断できない状況になっている。

こういった状況から、セブン&アイの既存サービスにおけるセキュリティについても疑う声や、セブン&アイ側は実際にシステムにどのような問題があったのか理解できていないのではないかと疑う声が出ている状況となっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年08月07日 9時06分 (#3665391)

    一番懸念されるのは、7Payの導入に伴ってnanacoポイントの還元率を半分にした件への対応。

    とりあえず、8月10日から9月末までは、ポイント2倍キャンペーンを実施して還元率を元に戻すみたいだけど、期間限定キャンペーンだからなあ。
    https://www.sej.co.jp/cmp/nanaco1908.html [sej.co.jp]

    • Re:nanacoポイントの還元率 (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2019年08月07日 11時01分 (#3665492)

      一番懸念されるのは、

      今回のトラブルで40万円抜かれたというおっさんがテレビのインタビューで、記者会見はしても被害者にはまだ何の連絡もない、と文句を言ってたけど、それに加えて

      「何より腹が立つのは、7Payのキャンペーンでもらえるはずの『おにぎり』がまだもらえてないことだよ!」

      だって。食べ物の恨みは恐ろしい。

      親コメント
    • >一番懸念されるのは、7Payの導入に伴ってnanacoポイントの還元率を半分にした件への対応。

      これ、1p/100円だったのが1p/200円になったので。
      普段、珈琲一杯,PETボトル1本,おにぎり一個だけを買っていた場合、全くポイントがつかなくなってますね。
      ポイント還元のありがたみも無くなったので、だんだん使わなくなった。

      #チャージした金額(どうせ使う) or 週/月間利用料金 でポイント付与してくれたら良いのに。

      親コメント
    • by Anonymous Coward

      へー、既に多くのポイントシステムが有る中で
      新規性のないnanacoを登場させたときから、近寄るのを避けてたので
      他人事でしかないな

      # せめて後出しならいいところを増やしてから出せよ、と

      • by Anonymous Coward on 2019年08月07日 10時37分 (#3665468)

        nanacoはポイントシステムではなくて電子マネーですぜ。

        まぁ、Edyとかsuicaあるじゃんと言われたら言葉が無いが、それでも2007年開始だから歴史がある方。
        ガラケーのおサイフケータイでも使えたし、当時は新規性あったと思うね。

        親コメント
        • by Anonymous Coward

          でも、Edyやsuicaがすでに決済手段として広く実績を積み重ねてたのに対して、nanacoとWaonは系列企業でしか使えないので「ポイントカードにプリペイド機能が付いただけ」という印象が大きかったです
          # 地道に取扱店を広げるWaonに対して、nanacoは未だに「ポイントカード+α」という認識です

          ついでに、Tポイントからの離脱を図るファミリーマートが「ポイントカード+α」としてファミペイを出すのはわかりますが、
          すでに「ポイントカード+α」を持っている7&Iが7ペイを出す理由がいまだに分かりません
          # ユーザ側にも企業側にも何のメリットがあるんだろう

  • 無問題 (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2019年08月07日 8時11分 (#3665348)

    >また、同社は外部のセキュリティ会社とも協力して調査を行ったが、その結果は公開されていない。
    公開されていない、という事実が公開されていればそれでOK。
    ユーザーはそういう企業と付き合うかどうか自由に判断出来る。

    今回みたいな経営者の脆弱性に対しては技術的説明なんて不要という話もあるらしい :)

    • by nemui4 (20313) on 2019年08月07日 8時50分 (#3665382) 日記

      >今回みたいな経営者の脆弱性に対しては技術的説明なんて不要という話もあるらしい :)

      あの会見に出ていた人たちや、サービス前に大見栄切っていた取締役たちがそのままだとしたら不安ですね。

      親コメント
    • by Anonymous Coward on 2019年08月07日 12時39分 (#3665553)

      結果はともかく、どのセキュリティ会社にどの程度の規模でチェックしてもらったかは公表すべきだと思う。

      今回の対応でセブン側の信用が落ちているのだから、外部のセキュリティー会社の信用を利用して、
      あのxx社がチェックしたのだから大きな穴は塞がったのだろうという事にしないと。

      親コメント
    • by Anonymous Coward

      「問題のある会社であることが指摘されて、広く知られているので問題ない」ですか。

      ますます指摘する必用がありますね。

  • ユーザ名とパスワードのリストが盗まれて攻撃されたものも
    第三者サービスのリストを使って攻撃するリスト型攻撃も
    混同して、いまだに区別できずにいる感じ

    そもそものリスト漏れの原因が社内政治と絡んで何も手が打てないようにも見える

  • by miishika (12648) on 2019年08月07日 8時11分 (#3665349) 日記
    あまり外野が口出しをするとヒントを与えることになって、自らまともな調査を行わなくなるので
    黙っていた方がいいと思う。
    • by Anonymous Coward

      >自らまともな調査を行わなくなるので

      自らまともな調査を行っているのかもわからない
      ってのが今まさに問題視されてるわけですが。

      • Re:口出し無用 (スコア:5, おもしろおかしい)

        by gyokuto (45996) on 2019年08月07日 10時59分 (#3665487)

        「7pay は、しゃーないんで 止めまーす!
         Omni7? あの子は ダイジョブダイジョブ!
         あ、ついでに、そのうち nanaco pay (仮) とか始めるんで、よろしこ!」
        って、7payを生贄に なんもなかったことにしようとしてますもの…。

        親コメント
      • by Anonymous Coward

        7「なるほど、調査すれば良かったのか!全然気付かなかった!ナイスヒント!」

        • by Anonymous Coward

          対応のドタバタでバージョン管理がおろそかになって問題とソースが対応しなくて精密な解析ができなかったんだったりして。

    • by Anonymous Coward

      従業員十人以下の町工場レベルなとこなら(稼働や費用的な都合も合わせて)ともかく、
      セブン&アイクラスの業者がそういう認識なら経営者の頭が煮えてるとしか思えない。
      外部としてもそんな経営者であること前提の批判とかできるわけがないだろ。
      そんなんだったら世の中のあらゆるサービスが使えんわ。

    • by Anonymous Coward

      「叱られるのも華のうち」のまさに散り際でしょう
      言ってあげたほうがなんぼかまし

      イトーヨーカドー、大手スーパーの中では良かったほうだったのに
      今後は店舗の品ぞろえなんかにも影響が出てくるね。
      安かろう悪かろう戦略だとイオンに負け、ブランド志向では百貨店に負け
      オンラインはグダグダで、でもコンビニオーナーから搾取はできてるから
      典型的な緩やかな死だね

      • by hjmhjm (39921) on 2019年08月07日 13時29分 (#3665585)

        イトーヨーカドーは、今後なんかじゃなくて、とっくにいろいろ問題がある、みたいな話だったような。
        スーパー系の中でもとくに。

        親コメント
      • by Anonymous Coward on 2019年08月07日 13時48分 (#3665592)

        イトーヨーカドーは、惣菜がまずくなった。
        一時期、醤油炒飯(醤油+オカカで強火で炒めた奴は、炒飯ではなく焼飯と呼んで欲しい)があって
        500gの大盛りをよく買っていたんだが、いつの間にか無くなった。
        鮭炒飯が、じとっとしてなんか生臭くなった。(飯はパラパラで鮭の身はパリパリしてたのに)

        店内パン屋の焼き立てパンもまずくなった。フランスパンが焼き立てなのにシナシナ。
        しかも、なんか白っぽい(まさか・・・生焼け?)
        ドイツパン置かなくなった。日が経つと鈍器になりそうな黒くてずっしりとしたライ麦パンが好きだったのに。
        (でも、なんか白くて丸い田舎パンなるものが増えたが・・・・どこの田舎だ?)

        親コメント
  • by mars12 (28939) on 2019年08月07日 10時35分 (#3665466) 日記

    セキュリティとかサービス改善しようが、もう関わらないって判断する人も多いだろう。
    これから経営始めようかってオーナーもセブンのフランチャイズは二の足踏むだろうし。
    本当に終わってしまうかもしれない。

  • by Anonymous Coward on 2019年08月07日 8時10分 (#3665347)

    あのザル対応を見たら、まともな技術力がないのは一目瞭然
    同様に、二段階認証すら知らない人間が記者会見に出ていたのだから
    ハッキング被害の全容解明なんてとてもとても…
    とりあえず「リスト型攻撃」って言っときゃいいだろみたいなノリだろ
    サルに文明の利器を作らせたらこんなもんよ

    • by Anonymous Coward on 2019年08月07日 8時50分 (#3665383)

      > 二段階認証すら知らない人間
       
      あのえらいさん、みずほ出身ですから筋金入りなんですよ。

      親コメント
      • by Anonymous Coward

        大企業の中の職種や立場は専門知識が足りなくて、専門性を外部に丸投げしているところが日本では珍しくないかと。

        • Re:We're the fuckin' animals (スコア:5, すばらしい洞察)

          by Anonymous Coward on 2019年08月07日 11時51分 (#3665524)

          ・7payのためにわざわざ設立された株式会社セブン・ペイの代表取締役社長
          かつ
          ・7&iグループの金融関係を統括する株式会社セブン・フィナンシャルサービスの取締役専務執行役員

          が「専門知識が足りなくて、専門性を外部に丸投げ」なのはさすがに論外かと

          親コメント
        • by Anonymous Coward on 2019年08月07日 11時16分 (#3665502)

          他の業種ならそれでも良いけれど、Webサービスの会社でそんなのは通用しないでしょ。

          親コメント
          • by Anonymous Coward

            職責でキッチリ分離されて居れば、Webサービスの会社に経営や金融のプロで技術のプロでは無い人が居る事は何も不思議ではない。

            まあそういう人なら無駄に出しゃばらず「詳しくは専門の人間が説明します」ってやれば良いのですけど。

        • by Anonymous Coward

          大企業の中の職種や立場は専門知識が足りなくて、専門性を外部に丸投げしているところが日本では珍しくないかと。

          そりゃ専門的な部分は専門職に任せるべきだとは思います。
          でも、ペイメントサービスを提供する会社の代表が、ペイメントサービスの基本的な仕組みすら知らないのはさすがにマズいのでは?
          知識が「足りない」ではなく「無」ですからね・・・

  • by Anonymous Coward on 2019年08月07日 8時22分 (#3665359)

    日本のセキュリティ戦略がサイバーノーガードからサーバーデコイに進化した。

  • by Anonymous Coward on 2019年08月07日 10時51分 (#3665480)

    商品の大部分を定価販売だが
    商品の仕入れはどのスーパーよりも叩いて安値仕入れとも聞く
    利益率は40-50%ではないだろうか?
    商品メーカは長年泣いている
    内部告発も幾度となく握りつぶしとか・・・

  • by Anonymous Coward on 2019年08月07日 11時31分 (#3665509)

    なんで7Pay関係無い者までまきぞえ喰うのか?
    それって顧客データが流出したの隠してないか?

    • by Anonymous Coward

      > なんで7Pay関係無い者までまきぞえ喰うのか?

      そりゃ7Pay側じゃなくてオムニ7側に脆弱性があったからですよ。
      外部ID連携しているとアウトっていうのは既に公知の事実ですが、
      この調子だと他にも大穴があっても驚きません。

      > それって顧客データが流出したの隠してないか?

      認証に大穴が空いていたわけで、顧客データはもちろん流出したでしょう。

  • by Anonymous Coward on 2019年08月07日 11時53分 (#3665525)

    セブンイレブンのサービスを利用しようかどうか考えていたけど,セキュリティ上危険そうだとわかったので,利用しません.
    無駄な検討時間を減らしてもらえて,ありがたい.

  • by Anonymous Coward on 2019年08月07日 12時30分 (#3665547)

    > リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっている
    > リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。

    パスワードを誰でも変更できる脆弱性があったんじゃなかったっけ。
    パスワードを忘れた時のためのページに「新しいパスワードをこちらに送る」みたいなメールアドレス欄があって
    誰でも使えたっていう。
    違う?

  • by Anonymous Coward on 2019年08月07日 12時38分 (#3665551)
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...