手当たり次第に書くんだ

7payの不正使用問題

細かい点はここでは書かないが、ネットのニュースを引用すると下記のような問題があったようだ。

J-CASTニュースより

「2段階認証?」。2019年7月4日に行われた緊急会見で、7pay運営会社セブン・ペイの小林強社長は、記者からの質問にこんな戸惑いを見せた。

この認証は、パスワードでの認証に加えて、携帯電話番号によるSMS(ショートメッセージサービス)を利用して本人確認をするものだ。

7payでは、2段階認証を行っていなかったが、会見では、その理由が明確ではなかった。セブン-イレブンのアプリの一機能として7payがあり、この認証と同じ土俵で比べられるか分からないとだけ答えていたからだ。

ところが、ネット上では、2段階認証を使わない決済への異論がIT関係者らから相次いでいる。

使わないと、パスワードが漏洩した場合に、別のスマホを使ってアカウントを乗っ取られ、不正使用されてしまう恐れがあるからだ。

また、セブンのアプリでは、メールアドレスと生年月日、電話番号が分かれば、パスワードを勝手に変えられてしまう恐れも指摘されている。別のアドレスにパスワードのリセットをするためのメールを送ることができる仕様になっており、別のスマホでもパスワードを変えられるわけだ。

このことについて、会見では、携帯メールが使えないパソコンでの利便性を考えたと説明していた。

今回の不正使用について、経産省は7月5日、事態を重く見て、対策の徹底を求める要請を業界に対して行った。

ざっくりと問題点を分けると、それぞれ関連性はあるものの下記の2つになると思う。

  1. 2段階認証の仕組みが設けられていない
  2. 別のメールアドレスにパスワードをリセットするためのメールを送ることができる仕様

1点目は、ここ数年の認証が必要となる新しいシステムでは当たり前に実装されており、それをセブンイレブンのような大企業が行うサービスに実装されていないのが驚きだ。2点目は既にこのような脆弱な仕組みが仕様(仕様ということは7payを作った人たちはこれを正式な挙動として認識しているのだ・・・)としてリリースされている点に驚く。仕様であるがために前段に例えばWAFのようなセキュリティ対策が実装されていても防ぎようのないものだ。つくづくシステムのセキュリティはひとつひとつの考慮の積み重ね大事だなと思わされる。

これを機にpayの乱立が無くなんないかな。

7payの不正使用問題

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トップへ戻る