7payの不正利用の問題が大きな話題となっています。
セブンイレブンは不正利用されたクレジットカードからのチャージは停止していますが、7payによる決済機能はまだ利用できる状態。
まだ7Payを利用していない方は、とりあえず利用開始をしないで不正利用の原因が判明し、完全に解決するまで待ちましょう。
すでに7payに登録してしまった方は、現時点分かっている問題点を確認し、パスワード変更やアカウント変更などで対処するしかなさそうです(むしろ退会してしまっても、とさえ思う)。僕も登録済みだったので調べてみました。
問題点については次の記事が詳しく、
その中で指摘されているのは、
7iDのパスワードリセット(再発行)がセキュリティ上最悪な仕様に
なっていることです。
メールアドレスと誕生日(iOS版ではこれさえ不要)、電話番号さえわかれば、簡単にパスワードを再発行できてしまう、
という恐ろしいほどの糞仕様なのだそうです。
整理しておくと、セブンイレブンアプリでは、2つのパスワードがあります。
- アプリ自体のアカウント「7iD」およびパスワード(Googleなどの他のSNSアカウントログインも可能)
- チャージ用パスワード(クレジットカード/デビットカード登録時)
まず前者の方に次のような問題が報告されています。
- SMS認証など2つ目の認証(二段階認証など多要素認証)が設定されていないため、第三者が乗っ取り可能
- ログインアカウント7iD(omni7)のパスワードリセットで、生年月日と元のメールアドレスが分かれば、他人のメールアドレスからもパスワードリセット可能(登録メールアドレスとは関係のない別のアドレスに、パスワードリセットのリンクが届いていしまう恐ろしい仕様)
- iOS版アプリでは新規会員登録時に生年月日を設定せずに登録可能(その場合「2019/1/1」が自動入力され登録)
上の画像はiOS版アプリ。「送付先メールアドレス」は登録メールアドレスとは全く関係ないメールアドレスを入力可能。
上の画像はiOS版アプリ。7iD新規登録で、生年月日未設定で登録可能。その場合は「2019/1/1」に。
なお、Engadget 日本版によれば、Googleアカウントと紐づけて会員登録した場合はこの問題の影響を受けないそうです。
加えて、
- チャージ用パスワードは試行回数そのものに制限がない
という報告もあります。
これってPayPayが不正利用されたときと同じではないでしょうか。
セブンイレブンは過去から何も学んでいないのでしょうか。
このお粗末な仕様を悪用してアカウントを乗っ取り、チャージ用パスワードに対してパスワードリスト攻撃が行われたかと推測されていますが、被害を受けて報告しているユーザーが独自且つ強固なパスワードを設定していたそうです。したがって、今回の攻撃の原因が上記ではないかもしれず、別の手段で攻撃が行われている可能性も捨てきれません。
ともかく、セブンイレブンによる正確な原因究明がなされるまで、いたずらに怖がる必要はありませんが、すでに7Payに登録してしまったユーザー(僕もそうです)は早急に対応をしなくてはならないと思います。
追記7月4日その1:クレジットカードは登録してないし大丈夫と思っていたら要注意。
「例えばユーザー本人がセブンイレブンのレジで現金による多額のチャージを行った後、不正アクセスを受ければ、チャージした分を不正利用される可能性がある」(MdN Design Interactive)。
根本的に解決されるまで現金チャージもやめておいた方が無難です。つまり今なお7payが使える状態になっているのが問題なのです。
(追記ここまで)
もし被害を受けてしまったら、次のサポート電話に相談してみてください。
- 7payお客様サポートセンター緊急ダイヤル 0570-012-113
- 7月4日(木)9:00以降についてはこちら 0120-192-044
- ※24時間/年中無休
また、現状報告としては、
が大変参考になるかと思います。
記事では実際に30万円の不正利用されたユーザーなどの事例とともに、いったい7Payに何が起きているのか、を知らせています。
アプリの問い合わせでこんな文言が表示されたら、本当に怒り心頭ではないでしょうか。
当社所定の方法により、7payにログインし、7payマネーが第三者に使用された場合であっても、当社は一切責任を負わないものとします。
ここで参照した記事では、いずれもセブンイレブンアプリの酷い仕様とセブンイレブンの対応・姿勢を批判しています。
すぐに7payの利用をやめた方がよいと提言もされています。
正直僕もそう思うしかないような、そんな状態かと思います。
追記7月4日その2:セブンイレブンはニュースリリース(PDF)を発行し、7月4日午前6時現在で約900人・約5500万円が被害にあった可能性があると発表しました。
被害は全て補償するとしたほか、全てのチャージを一時停止するとしました。
すでにクレジットカードおよびデビットカードからのチャージは停止されていますが、それに加えてセブン‐イレブン店頭レジ・セブン銀行 ATM での現金チャージ、nanaco ポイントからのチャージもすべて停止されます。なお既にチャージ済みの金額については引き続き利用可能。
同社によれば、今回の被害は、第三者がなんらかの方法で「7pay」利用者のアカウントにアクセスし、本人になりすまして登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン‐イレブン店舗で商品を購入する等と把握されています。
追記7月4日その3:これはヤバすぎる・・・
追記7月5日その1:4日の処置でも完全とは言えず、7iD自体に問題が含まれており、「7iDはオムニ7を含むセブン&アイグループ全体のネット通販およびリアル店舗事業に関わっており、事態はより複雑である可能性が高い」(Impress Watch)。
追記7月5日その2:経済産業省が今回の被害発生を受け、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を要請しました。
キャッシュレス推進協議会が策定した不正利用防止のための各種ガイドラインを遵守していなかったと指摘。
追記7月6日:セブンイレブンは7月5日、セキュリティ対策の強化を発表(ニュースリリース)。
再発防止および今後のセキュリティ強化に向けてセキュリティ対策プロジェクトを設置し、今後導入予定の対応策(一例)として、
- 「7pay」二段階認証の導入
- 「7pay」チャージ 1 回あたりの上限額の見直し
- グループ横断的・包括的なセキュリティ設計コンセプトの見直し
- セキュリティ評価方法および範囲の見直し
を挙げています。
追記7月11日:実際の被害事例から次の推察。問題はより深いと考えてよさそう。
「2段階認証」や「パスワードリセット」の問題ですべてを説明できるわけではなく、現状の7pay問題のステータスを一言で説明すれば「原因は不明」であり、「すべての可能性が存在する」という状況にある。
ゆえにこの2つの問題を小手先の対策で塞いだとして、おそらく根本的な問題は何も解決していないだろう。短時間でクレジットカードのショッピング枠を換金可能な高額商品の買い物に割り当てられる仕組み(7pay)が実装されたことで、それまで潜在していた脆弱性が利用されてしまった可能性が高いのではないかと筆者は推測する。
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】-Impress Watch
