7 月 1 日にセブンイレブンのモバイル決済サービス「7pay(セブンペイ)」がリリースされたようですが。
開始早々アクセス集中によるサーバーエラーでアプリが使えない状況が発生したとか。
そのうえ不正利用による被害が発生しているようで Twitter 上では酷いことになっています。
被害の内容としては 7 アプリ(7pay は 7 アプリの 1 機能として統合されている)に不正ログインされ、登録していたクレジットカードから残高を勝手にチャージされ使用されてしまうというもの。
7 アプリを利用するには「7iD」のアカウントが必要なのですが、このアカウントが第三者に不正アクセスされたもよう。
ログインにはアカウント情報以外の本人確認が無く、アカウント情報さえわかってしまえば簡単にログインできてしまう仕様なんだとか。
しかも「オムニ 7」というセブン & アイの通販サイトからパスワードの再設定を行う場合、必要なものが 7iD に登録したメールアドレスと誕生日だけで、パスワード再発行メールを送る先を個別に指定できる仕組みになっていたらしい。(自分が試した段階では「送付先メールアドレス」の項目は非表示になっていた)
そのため本人が気づかないうちにパスワードを変更することが可能な状態だったとのこと。
挙句に iOS 版は誕生日の入力が必須ではないらしく、その場合固定の誕生日が勝手に登録されるため実質パスワードの再設定に必要な情報はメールアドレスだけとなる。
つまりどこかから手に入れたメールアドレスのリストを固定の誕生日と組み合わせて総当たり攻撃を行えば、アカウントのパスワードを不正に変更することができる可能性がある状態だったということ。
しかも被害が発生していた当時はパスワードを変更してもアプリから自動でログアウトされることが無く、犯人がログインした状態が維持されていたとのこと。(自分が試した段階ではパスワードが変更されると自動でアプリからログアウトされるようになっていた)
この状態では運営が推奨しているパスワードの変更を実施したところで意味が無い。
ちなみにこの問題は 7 アプリだけでなく 7iD を使っているオムニ 7 でも同様の被害が出る可能性があります。
今日開かれた緊急会見で
「オムニ 7 の方では不正アクセスは確認できていない」
と発表があったそうですが、心配な方は問題が解消されるまではオムニ 7 のクレジットカード情報も削除しておいた方が無難かもしれません。
緊急会見ではこの他に
- 4 日朝時点の概算で被害者は 約 900 名、被害額は約 5500 万円
- チャージサービスは停止しているが残高での決済は可能
- 不正アクセス元は海外の IP だったため海外からのアクセスを遮断した
- 不正アクセスの原因については調査中
- サービス開始前にセキュリティ審査を行ったが脆弱性の指摘は無かった
- パスワード再設定メールの送信先が個別に指定できるのはキャリアメールを使用している人がパソコンなどで操作をする場合に備えて
- 全ての被害に対して補償を行う
- 現時点では会員情報の流出についてのリスクは認識していない
などが発表されたそうな。
PayPay の時もなかなか酷かったですが、それを上回る酷さですね。
一部ではサービス開始時のサーバーエラーはこの不正アクセスによる影響だったのではないかという憶測も出ていたりします。
重要なメールの送信先を個別で指定できるようにする問題は、前にドコモオンラインショップでスマートフォンを不正に購入されてしまう被害が出た際に指摘されていたのに改善されていなかったわけですからね。
理由として「キャリアメールを利用してる人のため」とか言ってますが、そういう人のためにサイトをスマートフォンでの表示に対応させているんじゃないんですかね?
色々と思うことはありますが、今後の対応に注目したいともいます。
引用元1:「被害は全額補償」「不正は海外IPから」──7pay緊急会見 – Engadget 日本版
引用元2:「7pay」で不正利用の報告相次ぐ、セブン側は注意喚起 (更新)チャージ停止 – Engadget 日本版
引用元3:開幕3日で不正利用被害報告、「7Pay」に何があったのか:モバイル決済最前線 – Engadget 日本版
引用元4:7payで不正利用が多発…数十万円被害も 対応含めすべて「検討中」 – ライブドアニュース
引用元5:7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) – 個人 – Yahoo!ニュース
引用元6:「7pay」で不正アクセス被害 「クレカから勝手にチャージされた」報告相次ぐ 運営元はID・パスワード変更を推奨 – ITmedia NEWS
引用元7:7payで不正利用、数十万円の被害も | マイナビニュース
引用元8:7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき
引用元9:「二段階うんぬん」7Pay緊急会見、不正アクセス被害額5500万円 – すまほん!!