【追記有り】セブン・ペイ 、脆弱性の原因となった(?)経営陣の認識
2019/07/08追記
日経ビジネス 7pay不正利用、経営陣に技術を見る目とビジョンはあったか
https://business.nikkei.com/atcl/seminar/19/00030/070500035/
に、7ペイには2段階認証忘れ以外の脆弱性が存在する可能性を指摘する記述がありました。
私は取り敢えず削除します。
(退会手続きは別途必要なのか要チェックです)
<<引用開始
7iDのパスワードリセット以外にも攻撃手法が存在していることが考えられるが、(略)リスト型攻撃の可能性も低い。つまり、これまでに報じられてきていない別の脆弱性や仕様上の欠陥があることが強く示唆される。
引用終了>>
===
セブン・ペイの騒動に関して、マイネ王にもいくつかスレッドが立っていますが、技術仕様の問題では無く、経営の認識について愕然とした記事がありましたので情報共有します。
日経ビジネス「セブンペイ、抱えていた「不発弾」の代償」
https://business.nikkei.com/atcl/gen/19/00002/070400508/?n_cid=nbpnb_mled_epu (無料ユーザ登録必要)
<<引用開始
2段階認証がなかったことについて、セブン・ペイの小林社長は会見で「セブンペイの基本設計は、7iD、セブン-イレブンアプリがあり、その機能としてペイがある。2段階認証を採用するアプリと同じ土俵で比べられるのか分からない」と話した。
引用終了>>
ITmedia「「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”」
https://www.itmedia.co.jp/news/articles/1907/04/news113.html
(要約:社長は2段階認証を知らなかったとの疑念を持たれる)
繰り返しになりますが、愕然としました。
ご存じの情報だったら重複ご容赦下さい。
ただ、極論を言えば、ある事業者サービスが脆弱かどうかは、コンシューマにとってはどうでもいいのです。特に競合他社が沢山あるばあい、単に選ばなくなるだけですから。(結果として経営上成績の悪化になるので、外野ではなく、もっと事業者が必死にならないといけないんです)
経営陣の中誰ひとり中身を理解してないのならそれはそれで問題な気もしますが・・・・
その下の幹部クラスが知らないと問題なんでしょうね。
一番は担当者・・・・ソフト会社等々・・・・
知る知らないは関係無く責任負うのは経営者です。
・パスワードリセットを登録外のメアドに送れる(※1)
・本人確認用の誕生年月日や性別が任意入力の上、デフォルト値が公開
・※1が非表示になったが、単にCSSで非表示にしているだけでフォームは生きており、相変わらず登録外のメアドに送れる。
・SMS認証とSNS認証を混同してる発注元のトップ。
・不正利用後に緊急連絡先を急遽作ったのに、いきなりその電話番号につながらない。
・利便性が最優先で、ユーザーが泣いても決済だけは止めな~い!
(状況がどんどん変わっているため情報が古くなってる可能性があります)
「社長が二段認証という言葉を知らなかった」というのが事実です。
会見で記者から二段認証について質問され、「二段認証?」と社長が詰まった時点で担当の執行役員が代わってあげるべきでした。
24時間営業、セブン&アイ社長交代、など経営面のゴタゴタを納得させるような場面で残念な気持ちになりました。
に戻してよ‼ 🐼(^▽^)
チャージと利用のパスワード同じに設定できたり、メールアドレスがIDだったりと。乗っ取られたアプリは無効になり、対処ができない仕様。
こんな仕様でクレカと連携させたのは不思議です。
テレ東ニュース動画の、31分00秒のシーンです。
記者の質問の意味がわからず、その後、記者から二段階認証の意味を教えて貰うという、セブン本社が頭を抱えているであろうシーンが続きます。
テレ東ニュース(公式チャンネル)から
https://youtu.be/3-pzOV0OLyw
被害がこれ以上広がる前に、運営会社はまともな対応して欲しいですね。
事件の方は、既に、出し子役の中国人が捕まって自供も取れてる様ですけど。
中国本土からアクセスしてた上の連中まで、中国警察に協力して貰って、きちんと捕まえて欲しいですね。
コンビニNo1が乗り遅れまいと7月1日スタートにこだわった結果、セキュリティ検証が甘かった。あるいは見切り発車した。
…ということなのでしょうね。
昔、「頭がまっしろで・・・・」と耳打ちしてた会見もありました😰
んで、こんなトラブルまでやからしたら使うのをやめます...
日本って独自規格好きですよね。
大陸からの渡航者対策じゃないの?
と思ってる僕…
そうみたいですね。ありがとうございます。
では訂正して、
・SMS認証をそもそも知らなかった発注元のトップ
…あれ?こっちの方が酷い?
メリットだけで利用者の事を全然考えていない気がします。
少しでも顧客の情報収集の為に登録件数を増やせる様、簡略化しすぎたのが
今回の被害を生んでしまった印象です。
ユーザーに喜ばれる様にするにはどうすれば良いかという視点が欠けて
いる為に安全性の部分が疎かになったのだと思いました。
それと、データばかりやたら集めて経営が上手くいくのかというのも
疑問です。
データから導き出される一般的な考えが常に正しい訳ではなく時には、
経営者自身が考えたり判断する事も大切でしょう。
個人的には鈴木さんが退かれてからはセブンの魅力が少し落ちてきた
印象があります。
・鈴木敏文という天才——セブンイレブンのすべてをつくり、
追われた男
https://gendai.ismedia.jp/articles/-/48647
もはや、セブン独自のシステム利用によるポイントメリットは、nanacoにクレカチャージをし、翌月そっくりnanacoからクレカへ戻す(クレカ請求の決済)くらいか…。
貰うのはクレカのポイントだが、20万円やれば、1000円にはなる。
仮想現金を事業として行う会社のトップは、具体的なセキュリティ機能の詳細を作り込む能力を持つ必要は無いとしても、(技術知識/評価能力を持つ部下を適切に活用して)、自社の商品に求められるセキュリティレベルをはっきり認識し、実装されたセキュリティ技術がその要求を満足しているか自分の責任で判断すべきです。
本文にある引用部分を私なりに翻訳すると、
「最初は割引チケットを仕舞っておく紙箱レベルのアプリとしてセブン-イレブンアプリを作ったので、セキュリティはそれなりで良かった。
後からその箱に現金を入れられる機能を追加しただけ。セキュリティのレベルを見直す?ナニソレ?
最初から現金を入れられる金庫アプリとなぜ同じ土俵で比べられるの?え~、分からない!」
って言ってる様に聞こえてしまいました。
セブンイレブン社長『そうですね、よくわかんないから社内の専門家を集結させて子会社作ります! セブン・ペイ社長よろしくね』
セブン・ペイ社長『ハイ!わかりました。 ・・・さて、どう進めればいいんだろうか?』
誰もトレンドを掴まずに現状ツールに機能追加してまあいいかって感じかも?
セブンアプリ立ち上げて
ワンクリックでセブンペイに登録されたし
お金を扱う雰囲気が全くなかったので
クレジットカードの登録はしたくなかったね
ま、あれを放置は、流石にできませんよね。