「7pay」が全面的にチャージ停止 - 「7iD」のPW再設定機能は修正中

具体的な被害額については調査中だが、コンビニの一般的な利用単価を踏まえ、比較的大きな額となる1万円以上をチャージし、ほぼ同額を同日中に利用されたケースを同社では調査。4日6時の時点で想定される被害規模を約900人、約5500万円と試算した。今回の不正アクセスに起因し、利用者に被害が生じた場合は補償する方針だという。

アカウントを奪われた詳しい原因についても同じく調査中としている。同社は、被害が生じるケースとして、同サービスで利用する「7iD」のIDやパスワードで推測可能な文字列を使用し、クレジットカード決済で同じパスワードを設定している場合を挙げ、注意喚起を行った。

一方で「7iD」側におけるアカウント管理の不備も指摘されている。パスワードを忘れた際に利用する再設定機能において、本人確認にメールアドレス、生年月日、電話番号など、本人以外でも容易に入手できる情報のみで、登録時とは異なるメールアドレスへ再設定のメールを送信できる仕様となっており、第三者が乗っ取り可能だった。

同社はサービス開始前に脆弱性がないことを確認していたと説明。登録したメールアドレス以外にもメールを送信できる仕様を採用した理由について、利用者の利便性を考慮したと釈明した。

同社は批判を受け、緊急対応としてユーザーインタフェース上の入力フォームを非表示に変更。ただし、同月4日21時の時点でも同機能そのものは有効となっている。同社は問題を認識しており、同機能を利用できないよう修正作業を進めているという。

（Security NEXT - 2019/07/04 ） ツイート

PR

関連記事

リサイクル着物の通販サイト、クレカ情報流出のおそれ
ビジネスフォン通販サイト、個人情報流出の可能性
ネット印刷サービスにサイバー攻撃、個人情報流出か - ウイルコHD子会社
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
オーガニック食品の通販サイトで個人情報流出の可能性
作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
健康靴の通販サイト、個人情報流出の可能性
Amazon関連ドメイン取得、3週間で700件以上 - プライム感謝祭を標的か
ランサム被害でシステム障害、生産に大きな影響なし - 美濃工業
包装資材の通販サイトで侵害被害 - 詳細は調査中