7payの不正利用、実は「原因不明」
7payの不正利用に関して、パスワードリセットの仕組みや2段階認証の仕組みが問題と
して挙げられていましたが、それだけでは説明できないものがある様です。
・【Impress Watch】「原因が不明」という最大の問題。7payの
セキュリティ問題を考察する
https://www.watch.impress.co.jp/docs/series/suzukij/1195163.html
モバイル決済の専門家が登録した他のサイトでは利用していない16桁の
パスワードにと、さらに別のチャージ用パスワードを設定していて不正利用された
事例があり、チャージ用パスワードが突破された理由が説明出来ないとの事。
・【Engadget】開幕3日で不正利用被害報告、「7Pay」に何があったのか
:モバイル決済最前線
https://japanese.engadget.com/2019/07/03/3-7pay/
その為、直接的な原因となる別の脆弱性が存在する可能性があり、「原因不明」
という事になります。
こうした状況になった要因としては、短期間で開発した事と、当初単独アプリの予定
だったのが、昨年末にセブンイレブンアプリへの追加機能とする事に変更され、
アプリの開発企業が変更された所にある様に思います。
・【Business Insider JAPAN】【極秘入手】7pay開発の内部資料。
「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
https://www.businessinsider.jp/post-194302
「7iD」や「オムニ7」と紐付けする形となり、システムが複雑化して脆弱な部分が
残ってしまったのではないかと感じました。
44 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
IDとパスが流出した経緯が不明、という事実と
不正に入手したIDとパスが利用できる環境。
この2つが存在してしまったという話でしょう。
2段階認証等のセキュリティがしっかりしていれば、うっかりIDとパスが流出しても、被害が防げた可能性が高い。
そこが今回の問題だったのかと思います。
すべての人がセキュリティに精通している訳でも無いでしょうし、IDやパスの使いまわしはありえる話です。
しかし企業側はそれをふまえて安全なシステムを構築しなければならないかと思います。
上記は私の個人的な感想です。
悪意のある
第三者が、
他人のユーザー情報に
アクセスできる
状態になっていた、
という事でしょうか?。
被害にあった方が誕生日をどのように設定していたか気になります。
7payではパスワードリセットが他のメールアドレスに送ることができるという仕様でした。会員ID(メールアドレス)、電話番号、生年月日が一致すると、パスワードを突破しなくても、リセットをして正当な新しいパスワードを手に入れることができたということのようです。こうなるとパスワードがオリジナルだったのか、強固な桁数だったのかは関係なくなります。
リセットに要する情報のひとつに生年月日があります。誕生日は月日だけでも1/365、年も含めると膨大な数になりますが、7payの登録では、誕生日を「未登録」にすることができ、「未登録」にすると、2019年1月1日に設定される仕様だったそうです。
ということは、誕生日を2019/1/1としてパスワードリセットを狙ったのではないかと推測していますが、被害に合われた方の誕生日の登録の件は漏れ聞こえてこないので、よくわかりません。
メールアドレス、電話番号、生年月日が三拍子そろったなんらかのリストがあったのか、メールアドレス、電話番号のリストがあり、生年月日に2019/1/1をセットして総当たりを行ったのか。
いずれにしても変わった「仕様」が通ってしまった結果引き起こされたものと思います。
わりとよくみかける会員ID=メールアドレスですが、私はこのことそのものが良くないと思っています。
確かに、パスワードの使い回しをしていた方が被害を受けているケースが
多いのですが、モバイル決済の専門家が個別にログインとチャージ用の
別々のパスワードを設定していても突破されて被害に遭っているそうです。
これは、他のサイトで流出したパスワードで被害に遭ったのではなく、
7payそのものからチャージ用パスワードが漏れている恐れがあります。
確かに2段階認証があれば食い止められるものだとは思いますが、そもそも
チャージ用パスワードが漏れている問題を解決しないと安心して使える
状況にはならないでしょう。
>ghさん
はい、その可能性が存在するのではないかと思います。
>t-ushiさん
登録した人のセキュリティ意識が低くて被害に遭ったケースもあるとは
思いますが、そうじゃなくても被害に遭っているケースがあるので
その点が気になりました。
>kleiberさん
私もそう思います。
>ダータンスヒルビリーさん
その点はどちらなのか確かに分からないですね。
>xiangpi(シャンピ)さん
上記URL先の記事は、ログインパスワードとチャージパスワードを別にしても
被害にあった事が書かれています。
そして、使い回しもしていない状況で被害に遭ったという事は7payそのもの
からパスワードが漏れている可能性があると思いました。
怪しいシステム開発会社に下請けとして仕事を投げていたらその可能性も
考えられますね。(^^;
今の状況ですぐに再開すると再び不正利用の問題が出てきそうに思います。(^^;
今回の一件は、みずほ銀行に並んで、ITの教科書に載ること間違いなしなのでガンガン公開してこれからの教訓にしてほしいですね。
「第三者委員会の設置」をお役所様からゴリゴリやっていただきたい。
あの会見は、自社システム自体のセキュリティに問題がある事をを認識して
おらず、セブン自身も被害者という意識を持っていた様な印象でした。
「社内ではセキュリティに関して問題ないと考えている」という発言も
繰り返しありましたが、そもそも不正利用が多発している時点で問題が
ある訳で、あれでは説明になっていないと思います。
現状ですと外部から調査を行う事も必要かもしれませんね。
ホント、どうするのでしょうねぇ(^^;
(普通はここまですれば企業側の責任は果たせたと思えそうですが)
あと、「企業として対策は十分」という趣旨の会見をしてましたが
「なるべく早く原因を究明、対策をしたい」のみ発言しておくべきだったと思います。
(「被害者についての救済は原因究明と平行して前向きに検討する」こんな感じでしょう)
自社に問題が無いような会見での発言は、被害者に「企業の落ち度があると被害者が証明しない限り、こちらに落ち度は無いから保障しない」と言っている印象でとても悪かったですね。
当初セキュリティが甘甘で話題だったペイペイも
今はチャージ毎にSMS認証になってます。(すべてのチャージか不明ですが)
2段階認証にSMS利用の1タイムパスワード、
モバイル端末には手間も少なく良い手だな~と思ってます。
今回の一件は情報漏洩を疑った方が辻褄が合うようです。
情報漏洩だとするとやっかいな事になりそうです。
二段階認証は、パスワードの使い回しをしていた場合に不正利用されてしまう
ものを防ぐものですが、そもそもセブンペイからチャージ用パスワードが流出
する等別の問題も存在しそうだなと思いました。
なので、セブンペイの話は二段階認証が無かった事だけが問題という形で
片付けてはいけないものでしょう。
PayPayの場合はクレジットカードのセキュリティーコードが何回も入力
出来ていた事が問題になりましたが、問題としては7payの方が根幹に関わる
部分に脆弱性が存在する恐れがあるのでより問題が大きい印象です。
はい、仰る通り7pay自体からの情報漏えいが疑われると私も思ってます。
なので、認証を強化しただけでは対策として不十分だと思いました。
つまり今後も信用できない!
この結果報告だと7Payは使えない烙印押された気がします。
ただでさえ後発Payなのに一からやり直しは無理な気が・・・
どこかのPayとジョイント組んで仕切り直しが早いような^^;
内部犯行の可能性が浮上してますから、何処と組んでも同じ犯罪が繰り返されるかもしれませんよ。
リアル「トロイの木馬」状態ですからね。
中国のIPからアクセスしてた犯人グループ(?)に情報を流してた内通者の「犯人」は誰なのか?そこを詰めないと、どうにもなりません。
逮捕された、中国人の出し子二人から、供述が取れればいいんでしょうけど。
中国の協力を得て、中国警察と共同で、一刻も早く犯罪組織が摘発できます様に。
7ペイのセキュリティに関する仕様の腋の甘さは紛れもない事実ですが、今回の事象はクラッキングではなく、情報漏えい(根拠無く言ってしまえば、意図的な情報抜き取り)を疑わせる事象ではないかと感じさせます。
セキュリティ技術の穴という観点ではなく、人間の悪意の観点からの調査が必要では無いでしょうか。
☝の発言、解り難かったので訂正します。
訂正前:セキュリティ技術の穴という観点ではなく、人間の悪意の観点からの調査が必要では無いでしょうか。
訂正後:外部にいる悪意の人間がセキュリティ技術の穴を突いたという観点ではなく、内部の悪意を持った関係者の活動では無いかという観点からの調査が必要では無いでしょうか。
失礼しました。
あれは他社の漏洩が原因でPayPayに問題はなく、今回は7Payから漏洩した可能性ありで取引中止になったんでしょうかねー??
いえいえ。
ペイペイは、正解がわかるまでパスワードの答え合わせが出来る、という大問題があったじゃないですか。
犯罪者が、
「手軽に、何度でも、安全に」
利用できるパスワードチェッカーという極悪仕様は、他社の責任なんかではありませんよ。
被害者が増えるだけです。
普通のクレカやiDなども使えますし利用者にはそれ程メリットがない様に思うのですが
50%の+上限の制限でしょう。
私は一回の上限や還元の合計の制限が驚くほどでなければやらないと思います。
paypayの1回目の還元のレベルなら祭りとして参加するかもです。(コンビニ以外で使えるかも現在は知りませんが)
paypayを始める時は恐ろしいリスクを感じながらでした。
(私は被害にあいませんでしたが、実際世の中を騒がすレベルでしたね)
ただ、近々に十数万円分家電が買いたいという要望とマッチしたので始めました。
十数万の20%で何万円もバックしてもらいましたからね。
(その何万円分も、20%を回収しながら継続利用したのでさらに得がありました)
それに比べるとな~ってなりそうなんで、今回の件も含めて考えちゃいますね。
ソフトウエア開発を中国の企業にでも依頼したのでは、バックドアが
開いていて IDとパスワードが盗めるって事が出来るのかなぁ?
今日も3人目の女性の中国人アルバイトが捕まってるし まだまだ収まっていない
そもそも依頼側がしっかりしたところなら、ソースコードの提供も求めますから、後々に解析すればバックドアも判ります。
どこの国とかではなく、どの信頼できるソフトハウスに依頼するかでしょう。
データーの流出なら、データーベースからの取得ですから、バックドアとは限りませんね。
これまでの経緯から、多くの犯罪集団が群がっている印象があるのですが、中国の犯罪集団もそのうちの一つに過ぎないのでは?(複数の中国犯罪集団や国内、その他の国の犯罪集団)
どう聞いて、さまざまに7payのシステムや対応がお粗末で、対応に時間がかかりすぎで、一報を聞いてから参加した個人クラッカーもいるのではと、思うほどです。(さすがにいないかな?)
---
認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
…
他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
--- 引用おわり
世耕さんが、記者会見で言ってた様な
経産省がガイドラインで求めている基準を満たしていない
みたいな、そもそもからして論外!
な所がありますからね。
それに加えて関係者なのかクラッキングなのか、そういう犯罪性のある穴の存在まで問われてる、と。
滅茶苦茶過ぎる話ですけど。
"[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明"
日経 xTECH
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn
衝撃的。
外部IDでログインを止めたのは、そういう事だったんだ。
でも、それすぐに発表しなきゃ駄目じゃん。
ほんと、どうなってんの?
>セブン間抜けすぎるが、
>これを中国人がすぐに見抜いて
>犯行に及ぶまで手際がよすぎる
>システム設計に中国人が関与したか、
>内通者がいたとしか思えない
って指摘があって。
確かに、内部に犯人グループにつながってる人間が居る、と考えないと辻褄が合わないですよね。
店舗で実際にカード使った中国人が、微博で勧誘された、ってのはいつの話なのか?
かなり組織的に準備してないと。
オープン即日で脆弱性割り出して、アカウント乗っ取って、買い出し実行犯集めて、それを回収して…ってやって。
コンビニで5500万円買い込むって、相当ですからね。
事前に情報を入手してないと、実行不可能ですよ。
1,最初っから、そのつもりで開発の中に入り込んでるのか。
2,それとも、中の人を買収でもしたのか。
3,それとも「自分の個人情報なんて大した事ないから平気平気」ってネットで流されてる罠を本気にして、ザルスマホそのまま使ってる人が中に居て、何かを抜かれて遠隔だけで開発中のシステムや仕様書を覗かれた、のか?
まあ、何にしても。
やらかした以上、甘かったと、批判されるだけです。
これからはもっと、真面目に警戒しないと、いけないんでしょうね。
もはや独自QRコード決済は断念した方が良い気がしますね。
今からシステムを見直した所で中々信用されないでしょうし。(^^;
>wagamiさん
日経 xTECHの記事どうもありがとうございます。(^^
開発会社をしっかり管理できず丸投げしていたのがそもそもの問題という
感じがしますね。
外部IDの問題はかなり致命的なものですし…
>4Lavieさん
確かに情報の漏れ方からして内部犯行が行われている可能性は否定でき
ませんね。
>さとさん
PayPayの時はクレジットカードのセキュリティコードが無制限に入力出来た
事についてはPayPay側に問題がありました。
あれは入力制限を設けないと駄目です。
ただ、7payの問題の方がより深刻ではあります。(^^;
>クリームメロンソーダさん
今でもチャージ出来ないだけで決済処理は出来るのですよね。
顧客の保護の為にはすべて止めた方が良い気がしますが何故そうしないのか
謎です。
>crypterさん
確かに必要性に乏しい感じがしますね。(^^;
>よっちおじさん
中国の企業だからといって必ず問題が起きる訳ではありませんが、確かに
二次請け、三次受け等で怪しい企業が入っていても不思議ではないですね。
>Jijingさん
私もそう思います。
開発に携わる人間に問題があれば起こり得る事の様に感じました。
>amiyyさん
認証連携プロトコルってかなり基本的な所ですよね。
マイネ王でも外部IDからの登録が出来ますがそんなトラブルは聞いた事が
ありませんし、相当深刻な問題があったのではと思います。
>ねこねこねこりんさん
実績のある決済サービスに関してはそれ程心配いらないと思います。
ただクレジットカードに関しては、毎月の明細をチェックして見に覚えの
ない請求が無いかはチェックする必要はあります。
あまり還元が多いのも逆に心配になります。(^^;
パスワードの再設定で残高が消えたという報告が他でも相次いでいる様ですが
同じIDの場合は消える事が無い様です。
・7payパスワードリセットで残高が消える?→セブン広報「消えません」
SNS上のウワサを否定
https://nlab.itmedia.co.jp/nl/articles/1907/31/news073.html
元々のIDとは違うもので接続している恐れがあるようなのでもう一度確かめ
られた方が良いでしょう。
電話番号を覚えていないのでパスワードの再設定が出来なくなりました。
残高が少しは残っていたので、焦ってます。
問い合わせを出しましたが、返事を待つ他ないです。
ポイントのみの利用で銀行やカードを登録してないのに決済できた。という話があるらしい。
不安はなくならない。
また同じようなトラブルを…
確かにその状況ですと待つしかないですね。
>k.o.mさん
でしょうね。
還元なしだと使う方は中国などの外国人観光客が中心になりそうな気が
します。(
まあ、お得にならなければそうした利用自体減るかもしれませんが(^^;
>かくいちさん
支払ってないのに決済処理が終わったという扱いになるとは…(^^;
決済処理が複雑になりすぎて問題が起きてしまった様に思います。
>swift707さん
残額が残っている方はさっさと使った方が良いかも…(^^;
セブンイレブン関係でお金に関わる登録は現状ですと確かにリスクが
ありそうで避けた方が無難だと思います。
>amiyyさん
別なシステムでトラブルが起きる可能性は否定できませんね。(^^;
>k.o.mさん
あっという間でしたね。
今回の一件は今年の一夏の思い出になりそうです。(苦笑)
>クリームメロンソーダさん
消費者にとって7payを継続する事によるメリットが殆ど無いので
終了して正解かなと思います。(^^ゞ
もう挽回する体力使うより他社と共同したが早いですね。
予想ではnanacoはTポイントに移動してPayPay共同体が強いかな?
それともLINEPay?楽天Payだったらビックリ仰天です!
コンビニ業界ではトップなんで今後の展開に注目ですね。
mineoPayだったら腰抜かします(笑)