「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”

残高チャージ、新規登録を停止 決済機能はそのまま 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。 同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る（4日午前6時時点、店頭決済額を想定）。登録者数は150万人強だった。 小林社長は、不正アクセスの発覚から現在までの経緯を説明。2日に「身に覚えのない取引があったようだ」という利用者からの問い合わせがあり、社内で調査した結果、3日に不正利用の事実を確認。カスタマーサポートの緊急ダイヤルを設置し、公式サイトでIDとパスワード管理について注意喚起した。 同日にクレジットカードとデビットカードによるチ

[zakusun]

いや、有ります。明確に。パスワードリセットの仕様の部分が致命的に仕様上の脆弱性です。技術的な脆弱性ではなく、仕様的に脆弱です。というかザルです。

[zinota88]

欠陥を認識できない体制こそが脆弱性...

[sakuya_little]

「脆弱性は無い」と断言するやつは一切信用できないのは業界の常識だが。

[kazumi_wakatsu]

「バカは風邪を引かないんじゃなくて、風邪を知らないだけ」って話を思い出す

[gabill]

門や塀は(確認されてる限り)頑丈だけど、鍵が水道メーターの所に置きっ放しだった。

[doroyamada]

ITmediaはセブンイレブンの出稿がほとんどないだろうからちゃんとツッコミ入れられるけど、テレビ局はできんやろうな。

[shibacow]

脆弱性と言うよりは仕様バグやね。脆弱性とは、XSSとか、SQLインジェクションなどの実装に起因するから。脆弱性は該当箇所を直せば良いが、仕様バグはサービスに直結のため、よりやばく影響範囲も広い。

[aosiro]

トップに脆弱性の説明からしなきゃいかんのか、担当者は大変だな

[ryun_ryun]

"小林社長は「対応が遅くなったという認識はない」と語った" 大炎上してる中でこんなことを言っちゃう社長。危機管理能力が皆無。日大のアメフト事件知らなかったのかな。

[tattyu]

最近こういう「事案をなかった事にする」ってのあちこちで見るな。ほんと悪い文化。色んな角度で見るまでもなくガバガバのセキュリティホール。

[ext3]

頭おかしいわこいつら。利便性も何も始めたばっかで使ってる奴なんてそんなにおらんやろ。とっととサービス停止させろ。止めるとなんかこれ以上損害でもあんのか？

[mozukuyummy]

完璧に仕様通りに作ったのに悪い心のスーパーハッカーにクラックされたんだ、というストーリーにしておきたいのね。残念ながら株価はこの経営陣に騙されて上がってるので、被害者ぶりっ子戦略は今のところ成功してる

[rin51]

ハイパーノーガード戦法

[UME]

この状況で脆弱性が見つけられない担当者や関係者は解雇でいいと思う。経営層も同じ

[pollyanna]

「探したけど見つからなかった」が通るのは（通しちゃダメだけど）政権に都合が悪い公文書だけなので、こういう言い訳を安易にマネしちゃいけないんだよ……。

[naqtn]

原因がシステム外でない限り、脆弱性が見つけられなかったテストはダメなテストで、テストを作り出したプロセスに問題があるわけだが。

[MzdA0w73tg]

反省の色が伺えなさすぎて草。厚顔無恥を体現しておられる。

[uskey]

「サービスに脆弱性はいませんでした」「いませんでした」「いませんでした」

[pandaporn]

社長がセキュリティホール

[xev]

仕様バグが残ったままリリースということですね。

[cham_a]

他のpayでは購入できない事が殆どなAmazonギフト券を購入できるのもどうなんだか。そこも狙い所にされてしまったのでは。

[shiju_kago]

こいつら不正利用者の共犯だって自覚はないんだろうか。まさか自分らが被害者だと思っているのか？

[taro-r]

これだから誕生日登録するの嫌なんだよなぁ。

[Jinhachi]

早速オムニ7のアカウントを削除した。今後二度とセブンイレブンのネットサービスは使わない。

[MCBYND]

すげーハッカーにやべーくれーのハッキング喰らったんで！ということか。

[deokisikun]

nanaco作ってた会社に発注すれば良かったんじゃね？

[hiroyuki1983]

7pay使うような層は登録したメアドも忘れてるだろうなという配慮だったんだろうな

[tanority]

言い方や文章だけだから問題もあるだろうけど。 やっぱなんか自分がやらかしてしまった、そして解決に全力を尽くすって感じがしないんだよな

[chaz_21]

脆弱性は経営陣

[BIFF]

「予め不正使用できるように設計されている」のは「仕様通り」であって「脆弱性」じゃないということだよね。。

[ukayare]

脆弱性診断と品質管理は別物というのがよくわかる

[alt-native]

7iには個人情報預けられない。それは分かった。

[masayoshinym]

"「脆弱性は見つからなかった」"火に油を注ぐ結果になるとどうしてわからなかったのか甚だ疑問である。

[nlogn]

実装で脆弱性は見つかっていないが、もともとの仕様に脆弱性があるという話。

[tomo31415926563]

「パスワードリセットを他のアドレスからできるようにしろ！」「それは危険です！」「いいからやれ！」みたいなやり取りがあったのかな。

[awkad]

これ絶対ベンダは気づいてるけど仕様で押し切られたやつだ。全然技術わかってないのに「俺はわかってる俺がきめる」っていうタイプの人間がキーマンにいたんだろうなあと想像。

[aaa_too_zzz]

実際の不正利用はこのパスワードリセット機能を使ってアカウント乗っ取りをしたんだろうか？そこまでは公開されないか

[north_god]

パートナーというか主従関係で、余計な事に蓋をしておく人が頭角を出す組織なんやろな

[blueeyedpenguin]

無知の上に軽率すぎる。セブン＆アイの他のサービスも使われなくなるよ。

[mujisoshina]

いっそのこと脆弱性が無いことを安倍内閣に閣議決定してもらえばよいのではないだろうか。