「7pay」が全面的にチャージ停止 - 「7iD」のPW再設定機能は修正中

具体的な被害額については調査中だが、コンビニの一般的な利用単価を踏まえ、比較的大きな額となる1万円以上をチャージし、ほぼ同額を同日中に利用されたケースを同社では調査。4日6時の時点で想定される被害規模を約900人、約5500万円と試算した。今回の不正アクセスに起因し、利用者に被害が生じた場合は補償する方針だという。

アカウントを奪われた詳しい原因についても同じく調査中としている。同社は、被害が生じるケースとして、同サービスで利用する「7iD」のIDやパスワードで推測可能な文字列を使用し、クレジットカード決済で同じパスワードを設定している場合を挙げ、注意喚起を行った。

一方で「7iD」側におけるアカウント管理の不備も指摘されている。パスワードを忘れた際に利用する再設定機能において、本人確認にメールアドレス、生年月日、電話番号など、本人以外でも容易に入手できる情報のみで、登録時とは異なるメールアドレスへ再設定のメールを送信できる仕様となっており、第三者が乗っ取り可能だった。

同社はサービス開始前に脆弱性がないことを確認していたと説明。登録したメールアドレス以外にもメールを送信できる仕様を採用した理由について、利用者の利便性を考慮したと釈明した。

同社は批判を受け、緊急対応としてユーザーインタフェース上の入力フォームを非表示に変更。ただし、同月4日21時の時点でも同機能そのものは有効となっている。同社は問題を認識しており、同機能を利用できないよう修正作業を進めているという。

（Security NEXT - 2019/07/04 ） ツイート

PR

関連記事

部分開示文書で個人情報の墨塗り漏れが判明 - 相模原市
福井県の味噌蔵通販サイトに不正アクセス - 個人情報流出のおそれ
アップデートしたシステムの不具合で会員情報が閲覧可能に - JBBF
「クレジットカード・セキュリティガイドライン5.0版」が公開
日東製網、四半期決算を延期 - ランサムウェア被害の影響で
学生服通販サイトの旧サイトに不正アクセス - クレカ情報流出の可能性
なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性
ヘアケアツール通販サイトに不正アクセス - 個人情報流出の可能性
鹿児島農産品の通販サイトで個人情報流出の可能性 - クレカや認証情報も
東京ヴェルディの通販サイトに不正アクセス - クレカ情報が流出