7Payで不正ログイン発生して約900人が被害に!?被害額はなんと約5500万円!?
情報についてまとめてみました。
7Payで不正ログイン発生して約900人が被害に!?被害額はなんと約5500万円!?
7Payで不正ログイン発生しているようです。なんと約900人が被害になっているようです。
被害額は約5500万円のようです。以下は本文の引用文です。
セブン&アイ・ホールディングスは4日、
コンビニエンスストアのセブン-イレブンで使えるスマートフォン決済「7pay(セブンペイ)」
で第三者の不正アクセスによる支払いの被害があったと疑われる人数と金額が、
同日午前6時までで、約900人の計約5500万円に上ると発表した。
同社によると、2日に顧客から「身に覚えのない取引があったようだ」との問い合わせを受けた。
3日に社内調査を実施した結果、不正利用が発覚。
クレジットカードおよびデビットカードによるチャージを停止したという。
同社は「本件で被害にあわれたお客さまには、全ての被害に関して補償を行う」としている。
セブンペイはスマホアプリに表示されるバーコードをレジで読み取ると、
チャージしておいた電子マネーで支払いが済む決済方法。同サービスは1日に始まったばかりだった。
→https://www.sankei.com/economy/news/190704/ecn1907040007-n1.html
実際にTwitterでも不正利用の被害にあっている人がいますね。
7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn
— 岬太郎 (@frogeye9999) July 2, 2019
7payで不正利用発生!
クレジットで計18万円チャージされ
内、9万円がセブンイレブンJR錦糸町駅前店で使われる!クレジット会社への連絡→済。担当者からの折り返し待ち
7payのパスワード変更→済。
クレジットカードの紐付け解除→済。
7pay運営への電話→つながらず。メール送信済み。— ぬのびき@2019年はJGCプレミア! (@nuno_chann) July 3, 2019
【写真】7payで不正アクセス被害に会いました。
今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。
1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX
— Tack C. Mizoguchi (@ttack1122) July 3, 2019
ちなみに被害額の5500万は店舗で使用済みの額です。つまりまだ被害額全体は大きい可能性が高いですね。
今回の7Payの不正ログイン被害額は全て補償になるようです。
しかし、当初の規約では不正ログイン「保証一切なし」ということで追い返されていたようです。
大事になっていなかったらユーザーは泣き寝入りするしかないかったと考えれば、
あまりにもズボラなサービスだと思いますね。
7Payでなぜ不正ログイン被害が起きたのか?
7Payでなぜ不正ログイン被害が起きたのかをご紹介したいと思います。
詳しくはこちらの記事に掲載されているので一度目を通しておくと良いです。
→https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/
パスワードリセット
7Payでなぜ不正アクセス被害が起きたのかですが、7Payは新規会員登録は生年月日なしで登録できます。
未選択の場合は「生年月日2019/01/01…」と設定されています。
7IDのパスワード再発行ページは登録メールアドレスと誕生日の欄以外に送付先メールアドレスの欄があり、
誕生日、登録メールアドレス、電話番号が分かれば
他人のメールアドレスでパスワード再発行ができてしまいます。
つまりメールアドレスだけで登録すると、
メールアドレスを知っている悪意ある第三者が7Pay乗っ取れるということです。
二段階認証(多要素認証)が存在しない
7Payには、二段階認証(多要素認証)が存在しないです。
二段階認証とはパスワードとは別で電話番号のSMSで本人確認する仕組みです。
7Payには二段階認証が無いので会員ID、メールアドレス、パスワードが
第三者の端末から乗っ取ることが容易だということです。
7Pay不正ログイン被害の会見もかなりヤバメ!?
7Pay不正ログイン被害の会見もかなりヤバメでした。
・社長がSMS認証をツイッター(SNS)だと勘違いする
・全面停止にはしない(チャージ、新規登録停止のみ)
・まだ原因不明
・セキュリティチェックの段階では問題無かった
大手企業が、個人情報取り扱い不備を自白しており、
二段階認証もしらずにオンライン決済というセキュリティガバガバ設計で、
欠陥があるのにもかかわらず、稼働停止せずに垂れ流しするようです。
こんなやっつけ仕事で大手がキャッシュレスアプリを作るなら作らないほうが良いと思うんですよね。
ナナコカードのほうがまだ安心できますからwwww
7Payで不正ログイン発生して約900人が被害に!?被害額はなんと約5500万円に対してSNSの反応は?
どうやら日本では7payがすごいことになってて、会見でも技術的な会話が噛み合ってないみたいだ。改めて今日のUS企業のCEOとのやりとりがコンストラストされる。CEOといえども細部を理解し、その場で部下に技術的な提案をして物事を決めていた。リーダーが関わるに値しない業務はない、と言わんばかり。
— Junpei Ozono (@jostandard) July 4, 2019
二段階認証を知らない社長は、パソコンを使えなかったどっかの大臣と同じレベルかな? あほな大臣は辞めた。バカな社長も出処進退は潔く。あまりにも利用者、被害者が気の毒だよ。#7pay #小林強社長
— 綾川太郎 (@at4goldmedal) July 4, 2019
#7pay はアプリ、ログイン、セキュリティを認識の甘さでガバガバ仕様でリリース。
当然7payの責任なんだけど、会見の様子を見てると、自分たちはしっかり作ったうえで乗っ取られた。被害者である。という認識が感じられた。
まず現状把握すらできてない。
補償もカード会社がやる!ってもうね。。。— asazen (@asazen) July 4, 2019
7payの闇の深さって、
「これセキュリティやばくね?」
って絶対、内部で気付いてた奴いるはずなんだよね。このレベルだと。
それが言えない環境なのね。— みや (@Meganentity) July 4, 2019
7pay会見に関する反応をタイムラインで見ているわけだけれど、日本の大企業の中で、テクノロジーを理解している人が(特に役員レベルの意思決定や権限を持つ層で)どれほど冷遇されているか、その結果としていかに無残なことが起きるか──その決定的なモデルケースになったようだ。
— 丹治吉順 a.k.a. 朝P (@tanji_y) July 4, 2019
責任者がパーフェクトに無能。もう議論の余地がなく、ここの決裁系サービスは『使ってはならない』が正解。#7pay
— モフ・トラックボーラー丁稚 (@Mofu_Master) July 4, 2019
7pay、不正アクセスされて原因分かってないのにサービス止めないの最高にロック
— こじま (@kozzeyz_bot) July 4, 2019
7payの件を見て、きっとここに至るまでにこの仕様はまずいと声をあげた人は多かれ少なかれいたものの、こういう方面の知識がないのに意思決定権がある偉い人たちに無視されてしまったんだろうなぁと思う位には大人になりました。
— かおにゃお総書記@バンコク (@kaolynn) July 4, 2019
7payの件、中のエンジニアさん達は地獄だろうな。
既出の脆弱性は気づいていたのか、気づく余裕もなかったのか、はたまた気づいて指摘したが理不尽な仕様を押し通されたのか。こういうのって可能性の問題だから、理解のない人を説得しにくいんだよなぁ。
— モリケイスケ (@hotei40) July 4, 2019
こないだ7pay始まったと思ったらもう終わって草
— やましー (@LL_YMC) July 4, 2019
7payの件、劣化したオッサンに引っ張られたまま日本が終わりに向かう感が凄い。
小売業トップのセブン&アイ・ホールディングスのトップの認識がアレってヤバすぎんだろw
家族経営の地方中小・零細起業と違うんだよ…#7pay— しろまるこ@資格の勉強中 (@shiro_maru_ko) July 4, 2019
まとめ
日本はITリテラシー低すぎてまともにソフトウェアやアプリが作れないってことがわかりましたね。
大手でこれですからね。やはりITリテラシーが企業の重役やトップで理解している人が少ないんでしょうね。
