7payクレジットカード不正利用：第三者乗っ取りがあり得る致命的な2つの弱点（三上洋） - エキスパート - Yahoo!ニュース

セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ（セブンイレブン） クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃（

[zakkie]

末尾の提言が賢明。> “どうか今すぐサービスを止め、原因究明・補償・対策に取り組むことを強く望みます。それができないなら、私は「セブンイレブンは信用できない」と言うしかありません。”

[ta-c-s]

7/11にいろいろ仕掛けようと画策してただろーにそこまで持たなかったという

[LM-7]

セキュリティの素人が設計して、セキュリティの素人がレビューして、セキュリティの素人が承認したの？

[eru01]

第三のアドレスにパスワードリセット送信できるって設計したやつ脳みそにうんこ詰まってんの？名前と生年月日、メールアドレスの3つ組なんてかなりの人間がどこかしらの流出食らってんだからなんの符号にもならんわ

[brakun]

たまたま7payで問題が発覚しただけで7iDそのものに欠陥ありだからオムニ7もサービス停止しないとダメじゃん

[yazuka08]

大手のサービスでここまでザルなのも珍しい。

[chokovi]

セキュリティがガバガバだけど、不正働いた人、すぐによく気がついたよなとは思う。

[tetsutalow]

良記事．IDにかかるリスクが跳ね上がってるのに安易に決済機能を入れてしまい，よく見るとそもそも作りがシロウトでしたって感じ．

[demcoe]

これ作った人は生年月日を他人に知られると死ぬ文化圏だという可能性は？

[theatrical]

セブンイレブン本部無能すぎないですかね。ただでさえひどい扱いの店舗オーナーとかが、本部の無能のせいで、客から罵倒されないか心配である

[luthyphen]

『7/4 7時追記　高木浩光氏によれば、なんとiOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力。つまり未登録の人は生年月日なしでパスリセットができるそうです。』

[pochi-mk]

これ、設計をした人、設計を承認した人、実装した人、テストした人、の今の気持ちが気になる。誰かがどこかで気がついているはずなんだろうけど、プロジェクトとして走らざるを得ない状況...

[ys0000]

nanaco有効活用すればよかったのに、ほんと馬鹿だよなぁ。企画がIT音痴しかいない。ほんと勿体ない。

[sinsinchang]

自分の立場が絶対揺るがない時に攻める時のこいつらの活力ってすげーなって思う

[tettekete37564]

セキュリティーっつうか、これど素人でも気づく仕組みだろ。例えば Anonymous FTP 立てて誰でもファイル読み書きできることをセキュリティーホールって言うか？

[ewq]

私もすぐ退会したけど、「退会した後も個人情報を一定期間保有することがあります」って出てこわっ！となった

[ext3]

社長は何で停止させないの？無知なの？

[yatta47]

わかりやすい。本当、最後の一文に尽きる。

[hatayasan]

“第三者であっても「メールアドレス（セブンイレブンアプリに登録したもの）」「生年月日」「電話番号」がわかれば、パスワードを変更できるわけです。”

[Barton]

これほどザルな仕様だったとはなあ…。よくこんなのでデプロイしようと思ったものだ。第三者に情報とられまくりだろ…。バカめと言ってやれ。「バカめ」だ。

[chakichaki]

“カード”

[nishik-t]

omni7に登録してなかった自分を褒めたい。

[tattyu]

これ7pay使ってないけどセブン系のサービス使っている人が被害に遭う可能性まで出てきましたね。

[porquetevas]

セブンペイ関連記事どれも面白いな。生後半年のユーザーどんだけいるんだろう

[ToTheEndOfTime]

もはや日本の製品やサービスは品質高いなんてとても言えないですね…。

[sdkd6611]

しかしほんとうに今時セキュリティまわり難しい 気楽に試そうという気には中々ならんな

[chikisio]

これが新決済の脆弱性呼ばわりされてるのウケる。パスワード平文なんかと比べ物にならんわw

[utbak]

コンビになどでは便利になるが不正利用や乗っ取りなど絶対に起きないシステム考えてよね１

[tdam]

ガチでホンマにヤバイやつ

[norinori2232]

コンビニ最大手で銀行までもってるセブンがこれっていう現実がやばい

[fujisong]

普通であれば考えられないようなトンデモ仕様って、社内政治が原因であったりするのかな？

[kazukan]

気になるのはこれで不正使用されたクレカ代金の補償はクレカ会社なのかセブンなのか。セブンは落ち度ないって言い張って法廷闘争かな

[Cru]

なるほど7/11に合わせて仕掛けるために急いだせいで、品管不十分だったか。それ以前の問題の気もするが。

[k-takahashi]

『クレジットカードを登録する重要なアプリにも関わらず、二段階認証がない』『その結果、上記のパスワードリセットを悪用すると、第三者が別のスマホでセブンイレブンアプリを乗っ取ることができてしまう』

[doksensei]

日本中のIT屋さんが一所懸命頑張って令和を迎えたというのに、例話の炎上案件がみんな昭和レベルなんだけどどうすんだこれ

[zakinco]

はい。バーコード決済競争から7pay脱落～。

[Adeptus]

業務停止命令レベルだなあ

[B-CHAN]

すごいなセブンイレブン。 近年まれに見る欠陥仕様で不正アクセスを引き起こした。 原因は完全にセブンイレブン。

[tokidokiou]

（本部に無能な奴しかいないからな…）

[Lagenaria]

小手先の対応しか出来ないのならサービス停止すべき