Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「7pay」が全面的にチャージ停止 - 「7iD」のPW再設定機能は修正中

具体的な被害額については調査中だが、コンビニの一般的な利用単価を踏まえ、比較的大きな額となる1万円以上をチャージし、ほぼ同額を同日中に利用されたケースを同社では調査。4日6時の時点で想定される被害規模を約900人、約5500万円と試算した。今回の不正アクセスに起因し、利用者に被害が生じた場合は補償する方針だという。

アカウントを奪われた詳しい原因についても同じく調査中としている。同社は、被害が生じるケースとして、同サービスで利用する「7iD」のIDやパスワードで推測可能な文字列を使用し、クレジットカード決済で同じパスワードを設定している場合を挙げ、注意喚起を行った。

一方で「7iD」側におけるアカウント管理の不備も指摘されている。パスワードを忘れた際に利用する再設定機能において、本人確認にメールアドレス、生年月日、電話番号など、本人以外でも容易に入手できる情報のみで、登録時とは異なるメールアドレスへ再設定のメールを送信できる仕様となっており、第三者が乗っ取り可能だった。

同社はサービス開始前に脆弱性がないことを確認していたと説明。登録したメールアドレス以外にもメールを送信できる仕様を採用した理由について、利用者の利便性を考慮したと釈明した。

同社は批判を受け、緊急対応としてユーザーインタフェース上の入力フォームを非表示に変更。ただし、同月4日21時の時点でも同機能そのものは有効となっている。同社は問題を認識しており、同機能を利用できないよう修正作業を進めているという。

(Security NEXT - 2019/07/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「7pay」不正利用被害、1574人3240万円を認定
QRコード決済事業者向けのコンサルサービス - BBSec
BPJの被害は約32.7億円、秘密鍵奪われ - 退避試みるも9割超流出
8割強が「QRコード決済」を認知 - 利用中は15.6%
バイク用品通販サイトに不正アクセス - クレカ情報が被害
「7pay」不正利用問題で対策プロジェクトを立ち上げ - セブン&アイHD
経産省、キャッシュレス決済事業者に不正対策要請 - 「7pay」でガイドライン守られず
石井スポーツ通販サイトに不正アクセス - クレカ情報流出の可能性
フォトブックサービスに不正アクセス - クレカ情報約1.5万件が流出か
「7pay」で不正利用被害 - 使い回しなど推測容易なPW利用は危険