Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

決済サービス「7pay」廃止へ - 原因「PWリスト攻撃」と説明

20190801_si_001.jpg
廃止の理由を説明した後藤氏

コード決済サービス「7pay」で不正利用が発生した問題で、セブン&アイ・ホールディングスは、同サービスを廃止すると発表した。

同サービスは、7月1日にスタートしたが、直後に不正利用が発覚。チャージ機能を停止し、サービス再開に向けてセキュリティ対策に取り組んでいた。

その後、OpenIDによる連携を中止。直近7月30日には関連する「7iD」のパスワードリセットを実施したが、8月1日に開催した記者会見で9月30日に「7pay」を廃止することを急遽発表した。

セブン&アイ・ホールディングスの代表取締役副社長でセキュリティ対策プロジェクトの総責任者を務める後藤克弘氏は、廃止の理由について、サービス再開に向けた対応を完了するまでに時間を要し、その間は支払いのみの不完全なかたちになると説明。顧客においても依然不安を感じており、サービスの継続が困難であると判断したという。

またシステムの認証レベルが不十分だった点や開発、リスク管理体制に不備があったことを認める一方、今回の不正利用に至った直接的な原因については、同社以外で入手したアカウント情報を用いて、なりすましによりアクセスする「パスワードリスト攻撃」の可能性が高いと述べた。

20190801_si_002.jpg
記者会見の模様

(Security NEXT - 2019/08/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

「7pay」が被害状況を更新、807人3860万円の被害を認定
「7iD」のパスワードを一斉リセット - セブン&アイHD
「7pay」不正利用被害、1574人3240万円を認定
「7pay」不正利用問題で対策プロジェクトを立ち上げ - セブン&アイHD
「7pay」が全面的にチャージ停止 - 「7iD」のPW再設定機能は修正中
「7pay」で不正利用被害 - 使い回しなど推測容易なPW利用は危険