おはようございます。
konta_01です。
今回は今話題の7pay(セブンペイ)についてです。
そんな7payについて、「何が問題だったのか」「不正利用されていた場合どう対応するか」というところに焦点を当ててお話しします。
ではスタート!!
7pay(セブンペイ)とは
7payとはここ最近話題となりつつある「バーコード決済」サービスです。
paypayやファミペイ、line payといった類似サービスも存在しますがセブンイレブンで利用できる新サービスとして2019年7月1日(月)に利用開始となりました。
そんな新サービスですが、利用開始直後からあってはならない大問題が発生しました。
不正利用問題
その大問題とは不正利用です。
7payではクレジットカードを登録することで7pay決済をする時にクレジットカードで引き落とすという購入方法がございます。今回はこのクレジットカードで購入するというシーンで不正利用が発生いたしました。
これはクレジットカード情報をアプリに入力して利用している方が被害にあわれています。
その原理とはとてもシンプルで、「クレジットカード情報が入力されているアプリを別端末から乗っ取る」というものです。
乗っ取るといってもそう簡単にできないやろ・・・という方もいると思いますが、その方法について次項で説明します。
乗っ取りの方法
これについてはTwitterで出回っており、既に把握している方もいらっしゃるかもしれません。そのツイートがこちらです。
7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
うわあアア…… pic.twitter.com/e2DTyVR1Qy
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
7payはパスワードをリセットするのに「生年月日」「電話番号」「メールアドレス」の3点が必要です。(AndroidOS,iOSの端末によって仕様が異なるようです。それはそれでだめでしょ...)
で、新規登録の時に生年月日を設定しないと「2019/01/01」で自動設定されると...。
パスワードリセットに必要な情報で「2019/01/01」が決まりましたね。
あとはメールアドレス、電話番号を入力していくのですが、この2点は取引されていますからね。。
皆さんも迷惑メールやよくわからない電話が来たことありませんか?
これは「ブラックマーケット」いわゆる闇市場で個人情報が販売されていてその結果あなたにメールや電話が届いているといった状況です。
そんな時はメールアドレス、電話番号を変更することをお勧めします。
今回の乗っ取りした人も既に生きている「メールアドレス」「電話番号」は把握していて、後は「生年月日」を入れるだけの状態だったのでしょう。
その生年月日が「2019/01/01」で確定しているのですからあとは持っている「メールアドレス」「電話番号」の数だけ試してみるだけですね。
乗っ取りが成功したらそのアプリ内でクレジットカードが紐づけられていれば当たり。
あとは利用するだけです。
これが乗っ取りの方法となります。
もし乗っ取られたら?
現在はチャージの機能を利用停止しているため、これ以上の被害は出ない見込みです。
(なお、既にチャージされている分については利用できてしまいますのでご留意ください)
もしも乗っ取られてしまった方がいて、まだ何もしていないという状況なのでしたらまずは登録したカードの会社に連絡をしましょう。
その後7pay運営にも連絡します。
「セブンイレブンアプリ」のカスタマーセンターが窓口となります。
■0120-711-660
(7:00~23:00 年中無休)
今回の件を受けて緊急窓口も設置されています。
■0570-012-113
各自冷静にご対応をお願いいたします。
最後に
もともとプログラマーだった私の意見ですが、そもそもセキュリティ云々ではなく、会社として技術力が低すぎる、テクノロジーを利用するにあたっての認識の甘さが招いた事態かなと考えます。
会見についても「何も知らない、理解していない」ということを露呈しただけと酷評されていますね。
大体、何のための情報登録なんですかね。。
未登録なら「2019/01/01」に設定されるって。。
バリデーションしてないんですね、、、え?バリデーションをご存じない?
それで個人情報を取り扱うアプリを作ろうとしていた......?
欠点だらけやん。
事前にセキュリティ審査をやって脆弱性はなかったと会見で言っていますが、そもそも何をもって脆弱性はなかったと言っているんですかね。
あとセキュリティって攻撃を理解している人が検証しないと意味ないっすよ。
理解していない人がいろいろ触って「んー大丈夫じゃね?」って言ってそれで脆弱性はなかったって言っているなら本当に危機的状況ってことを理解してくださいね。
ちゃんとデバッガー雇ったのかな?
私は数年程デバッグの経験もあるからその辺も気になっちゃいますね。
今後の7payの動向もチェックですね。
それではまた!!