キャッシュレスは信用できないことが、今回のセブンーイレブンの不正で発覚した。
致命的なセキュリティーホールを作ったセブンーイレブン。
一体、どうしてこんなに簡単にパスワードがリセットできるようにしたのか?
ある種のサイバーテロではないか?
セブン銀行も手がけるセブンーイレブンがやらかしたミスということに驚きだ。
Yahoo!より、
「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
7/4(木) 17:56配信 ITmedia NEWS
https://headlines.yahoo.co.jp/hl?a=20190704-00000075-zdn_n-sci
記事より、
・モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月4日、緊急会見を開いた。被害額は全額補償するという。運営元のセブン・ペイ小林強社長は「詳細については調査中。いろいろな角度から精査しないといけない」と語ったが、全体を通してセブン&アイ側の“認識の甘さ”が垣間見えた会見だった。
・7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。
・同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だった。
・小林社長は、不正アクセスの発覚から現在までの経緯を説明。2日に「身に覚えのない取引があったようだ」という利用者からの問い合わせがあり、社内で調査した結果、3日に不正利用の事実を確認。カスタマーサポートの緊急ダイヤルを設置し、公式サイトでIDとパスワード管理について注意喚起した。
・同日にクレジットカードとデビットカードによるチャージを停止し、4日にセブン-イレブン店頭レジやnanacoポイントなど全てのチャージ機能を停止した。7payの新規登録受け付けも「近々で停止する」という。決済機能は引き続き提供する。
・同社の調査では、不正アクセス元のほとんどが海外IPのため、海外からの通信を遮断したとしている。小林社長は「対応が遅くなったという認識はない」と語った。
・記者から「パスワードリスト攻撃ではないか」と指摘されると、小林社長は「その可能性も含めて調査中である」と答えた。
・今回の事件で特に問題視されているのが、「パスワードリセットの仕様」だ。7payは「セブン-イレブン」アプリに実装された決済機能。「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。
・ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調
・なぜ「登録時と別のアドレスでパスワードリセットできる仕様」にしたのか。清水執行役員は、PCから(パスワードリセット)操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った、と説明した。
・これだけの被害が出たものの、「ユーザーの利便性のために」サービスの全面停止には踏み切らなかったセブン&アイ
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
