７ｐａｙ「組織的攻撃の可能性」専用パスワードでも被害 | NHKニュース

スマホ決済サービスの「７ｐａｙ」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「７ｐａｙ」の情報が何らかの形で抜き出されていた可能性があると指摘しています。 こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がＮＨＫの取材に応じました。 「７ｐａｙ」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。 男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたというこ

[megumin1]

本文読みましたけど要約すると原因が何ひとつわかっていないってだけですよね？この専門家のいう「高度で組織的なサイバー攻撃が行われた可能性がある」って、たんに「明日は晴れの可能性がある」と同じくらい適当。

[mkusunok]

登録から1時間も経たずに乗っ取られてる人もいるようで、リスト型攻撃やセッション乗っ取りで説明しづらいのは確か。Struts 1だしDB丸ごと抜かれているリスクは私も議論してるけど確証もなくテレビで語る勇気はないな

[potnips]

サービスが止まらないことが使用者の利便性確保だと思ってるんだろうけど、サービス止めないと逆に信用を失墜させるよ。ここまで話題が広がると利便性を優先するリスクが大きい。セブンの落日。

[taimatu]

組織内部に犯罪者グループのスパイがいるということかな

[ryunosinfx]

これ総合すると内部犯か、仕様の穴か、ミドルウェアの設定ミスか、FWの０デイ攻撃かのどれかじゃね？（名推理）アレだけガバい穴が空いていた以上何処に穴があっても驚かないけど・・・止めないのは無責任よね。

[mouki0911]

まだ原因分からないのかよ

[mrpotas]

原因わかってるけど、偉い人のせいになるから別の理由ひねり出してる最中なんじゃねーの？

[ksugimori]

この記事のニュース価値はここでしょ。 “男性の場合、パスワードは変更されていませんでした。” / なんか最近セブンは馬鹿にしていいみたいな空気があって嫌だなあ。

[brakun]

これが事実ならオープンIDを停止して7iDのパスワードを作らせてる理由がわからない。そしてどこも触れてないけど、チャージの際に必要な認証パスワードはどうやって突破されたのか

[paradisemaker]

これ、普通に 7iD が穴だらけであることはとっくの昔に界隈では知られていて、カモリスト作って決済系サービスが連携されるのを待ってたんだと思うよ。そうでないと数日で中国から出し子を手配するなんてできないもん

[and_hyphen]

これだけじゃ何とも...「パスワードリスト攻撃じゃなかったのかな？」くらいで...

[ewiad420]

原因突きとめられる人もいないし、外部に委託したらお金かかるし、変なツッコミ入れられるし、なんとなくぼやかしてみんな問題のことは忘れ、かつ、7payはガンガン使ってくれるようにならないかな…。

[daybeforeyesterday]

うーむ

[samu_i]

ガバガバで何もわからんってこと

[nakamurataisuke]

コンティンジェンシープランどーなってんの？重大インシデントに該当するレベルの問題発生しても、今後の被害拡大が懸念される状況でもサービス止めない（旧サービス状態への切り戻し）ってどんな判断からなんだ？

[mangakoji]

すげえ。止めてないのか。あまえんぼ過ぎるだろ。それとも誰かの生命に関わるんか?>止めないの

[unamuhiduki12]

サーバー侵入されてんじゃねえか

[beed]

メールアドレスだけ（誕生日は設定しなくても登録できた）わかれば第三者がパスワードを勝手に変更してログインし放題の7Payさんに、パスワードリセット以外の不具合が見つかったって話？

[myrmecoleon]

“「７ｐａｙ」のシステムでは、第三者がパスワードを変更できた可能性が指摘されていますが、男性の場合、パスワードは変更されていませんでした。”へえ。パスワードリセット以外にも脆弱性あったのね。

[birds9328]

ここまでやられるともう一般人的にはお手上げ…

[kazuya53]

本当にサービス止めろよ。アカウント盗まれた状況わかってないのにそのまま運営続けるとか頭おかしい。

[securecat]

パスワードリセットが簡単すぎてメアドと誕生日の入力が漏れてたら登録直後にリセットかけられてるみたいなやつ？ それか平文でDBごと？ つーかそもそも内部犯行？

[Surume]

この方はオムニ7(7iD)によるログインだったのか、OpenIDによるログインだったのか、そこが知りたかった。あともしオムニ7(7iD)によるログインだったのなら、アカウントを作った時期

[otihateten3510]

7pay「集団ストーカーに襲われています」

[onesplat]

まぁパスワード変更フローハックするのとソフトウェアの脆弱性を利用してサーバーに侵入するのは必要とされる技術力が大きく異なるからな。そういう意味で「高度で組織的なサイバー攻撃」って言ってるんだろ

[watapoco]

まあサービスはたたもうか。

[whirl]

"「７ｐａｙ」のシステムでは、第三者がパスワードを変更できた可能性が指摘されていますが、男性の場合、パスワードは変更されていませんでした。"

[RCHeLEyl]

サーバー側とか組織的攻撃ってことは、それらに対する対策や防御をしていなかったのか、行き届かなかったという事？ますます技術力的に大丈夫かという気が。

[shinp]

データのハッシュ化がされてないとかの以前に、変換する前の生情報が何処かに漏洩しててそれをヲチされてる可能性があるってことよね。logファイルとか…

[NOV1975]

内部犯行って言っちゃえよ。言えないなら記事の趣旨はなんなのか

[taguch1]

やっぱり他の穴もあったか。

[aya_momo]

NHKのニュースはなぜか誤読される。そういう例もあるというだけなのに。はてブで同じ話題が上がったときはそんな反応はなかった。

[Panthera_uncia]

アホが逐次報告しても傷口が広がるだけという事例

[Lat]

どんな仕様かわからないが、パスワードをハッシュ化+saltならDBを丸ごと抜かれても即特定されることはないはず。ひょっとしてハッシュ化すらしてない？

[dollarss]

「専パスでも被害！」…7は悪くないよ凄腕のﾊｶｰだよ！と言いたいのだろうが逆な。「漏洩またはブルートフォース対策がさっぱりですw」「もうどうしていいかわかりません」の意味だからな。ユーザのせいにできない

[Eiichiro]

サーバー脆弱性ではなく、アプリの脆弱性(https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/)が本命で間違い無さそう。7payのお知らせにも記載あり。条件によるが個人情報ダダ漏れもありえる。マルウェアでログイン後即時お知らせ可

[LM-7]

パスワードリセットされていない例が複数報告されているし、より大きな穴が空いている可能性がある。どうやって攻撃されたか分かってないのにサービスを停止しないセブン。

[death6coin]

「「調査中で申し上げられない」 「７ｐａｙ」の不正利用の原因について「セブン＆アイ・ホールディングス」は「現在調査中で申し上げられることはありません」とコメントしています。」うっわぁ。完全停止しろよｗ

[Sinraptor]

見出しは「7pay サーバ自体に脆弱性か」だろ。組織的に攻撃されたから仕方ない、みたいな見出し付けんな。

[uturi]

システムが問題じゃなくて組織的な犯行なんだと思い込みたいあたり、抜本的な改善は難しそうだな……