Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「7pay」が全面的にチャージ停止 - 「7iD」のPW再設定機能は修正中

具体的な被害額については調査中だが、コンビニの一般的な利用単価を踏まえ、比較的大きな額となる1万円以上をチャージし、ほぼ同額を同日中に利用されたケースを同社では調査。4日6時の時点で想定される被害規模を約900人、約5500万円と試算した。今回の不正アクセスに起因し、利用者に被害が生じた場合は補償する方針だという。

アカウントを奪われた詳しい原因についても同じく調査中としている。同社は、被害が生じるケースとして、同サービスで利用する「7iD」のIDやパスワードで推測可能な文字列を使用し、クレジットカード決済で同じパスワードを設定している場合を挙げ、注意喚起を行った。

一方で「7iD」側におけるアカウント管理の不備も指摘されている。パスワードを忘れた際に利用する再設定機能において、本人確認にメールアドレス、生年月日、電話番号など、本人以外でも容易に入手できる情報のみで、登録時とは異なるメールアドレスへ再設定のメールを送信できる仕様となっており、第三者が乗っ取り可能だった。

同社はサービス開始前に脆弱性がないことを確認していたと説明。登録したメールアドレス以外にもメールを送信できる仕様を採用した理由について、利用者の利便性を考慮したと釈明した。

同社は批判を受け、緊急対応としてユーザーインタフェース上の入力フォームを非表示に変更。ただし、同月4日21時の時点でも同機能そのものは有効となっている。同社は問題を認識しており、同機能を利用できないよう修正作業を進めているという。

(Security NEXT - 2019/07/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

偽「Amazon」からのSMSに警戒を - 不安煽るさまざまな文面
建築関係者向け書籍サイトに不正アクセス - クレカ情報流出の可能性
ネットバンク利用者3割強が2要素認証を利用 - MMD調査
「不在通知」スミッシングの相談倍増 - キャリア決済で被害も
新潟ご当地グルメの通販ショップに不正アクセス
機械学習活用したクレカ不正検知サービスを提供 - SBPS
グラビアサイト利用者のクレカ情報が流出 - 小学館グループ会社
「ドコモ口座」利用、携帯電話番号の登録必須に
カプコン、ランサム被害を公表 - 個人情報最大36.4万件を窃取された可能性
2020年上半期、捜査機関による開示要請は1822件 - LINE