7pay不正利用、会見がありました。

本日、セブン&アイが7pay不正利用について会見がありました。


現状行っている対応及びとしては、
・チャージを全て停止
・7payの新規登録は停止
・海外からのアクセスを遮断
・チャージの利用は継続中(不正利用者か判別できないため)
・被害金額は全額保証
・事前のセキュリティ診断では脆弱性は見られなかった。
・不正判明のアカウントは順次凍結している。

パスワード変更手順に問題があったのではと指摘が出ている点について、リセットメールを登録メール以外に送付出来るような仕様としていたのは、「お客様の利便性を図るため」と回答していました。


アプリで登録していて、パスワードを変更するときは、生年月日、ID、画像認証(変形して表示された文字を入力)、送付先メールアドレス(今は表示されていない)が必要です。
生年月日は、アプリでログインすると、登録情報で確認することができます。


また、元々パソコンのネットショッピングで登録していて、パスワード変更するときには、生年月日、登録電話番号、ID、画像認証(変形して表示された文字を入力)、送付先メールアドレス(今は表示されていない)が必要です。
セブンネットショッピングなどにパソコンからログインすると、登録情報に生年月日、電話番号が表示されます。


そのため、ID・パスワードを知ってログインした犯罪者は、変更するための情報を知りうる可能性があり、登録者以外のメールアドレスにパスワードリセットメールを送付することができたことになります。

また、パスワード変更要求はログインしていなくても出来るため、パスワードを知らなくても、メールアドレスと生年月日のセット、またはメールアドレス、生年月日と電話番号の3点セットの情報を持っていた場合は、その情報を入力して、登録情報と一致したときには、 登録者以外のメールアドレスにパスワードリセットメールを送付することができたことになります。

現在では、送付先メールアドレスを入力出来ないようになっているため、登録メールアドレス以外にリセットメールが届かないようになっています。


利便性を考えてということは、お客様目線からいうと一つの考え方としてありますが、セキュリティからいうと今回は裏目にでたと思います。

原因を早急に突き止めて、対策を講じていただきたいと思います。

「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について : 株式会社セブン&アイ・ホールディングス