「7pay」が全面的にチャージ停止 - 「7iD」のPW再設定機能は修正中

具体的な被害額については調査中だが、コンビニの一般的な利用単価を踏まえ、比較的大きな額となる1万円以上をチャージし、ほぼ同額を同日中に利用されたケースを同社では調査。4日6時の時点で想定される被害規模を約900人、約5500万円と試算した。今回の不正アクセスに起因し、利用者に被害が生じた場合は補償する方針だという。

アカウントを奪われた詳しい原因についても同じく調査中としている。同社は、被害が生じるケースとして、同サービスで利用する「7iD」のIDやパスワードで推測可能な文字列を使用し、クレジットカード決済で同じパスワードを設定している場合を挙げ、注意喚起を行った。

一方で「7iD」側におけるアカウント管理の不備も指摘されている。パスワードを忘れた際に利用する再設定機能において、本人確認にメールアドレス、生年月日、電話番号など、本人以外でも容易に入手できる情報のみで、登録時とは異なるメールアドレスへ再設定のメールを送信できる仕様となっており、第三者が乗っ取り可能だった。

同社はサービス開始前に脆弱性がないことを確認していたと説明。登録したメールアドレス以外にもメールを送信できる仕様を採用した理由について、利用者の利便性を考慮したと釈明した。

同社は批判を受け、緊急対応としてユーザーインタフェース上の入力フォームを非表示に変更。ただし、同月4日21時の時点でも同機能そのものは有効となっている。同社は問題を認識しており、同機能を利用できないよう修正作業を進めているという。

（Security NEXT - 2019/07/04 ） ツイート

PR

関連記事

Apple、約170万件の不正アプリ停止 - 20億ドル超の不正クレカ取引を阻止
革服通販サイトに不正アクセス - システム移行後に判明
手芸用品通販サイトに不正アクセス - 個人情報流出の可能性
「Apple」装うスミッシング攻撃 - アカウント情報やクレカ情報を詐取
コード決済サービス「FamiPay」装うフィッシングに注意
ランサム被害の暗号化データにクレカ情報も - 日本盛
コスメ通販サイトに不正アクセス - 個人情報流出の可能性
ベビー用品サイトに不正アクセス - 個人情報流出の可能性
「TRINUS STORE」でクレカ情報の流出被害 - DBから顧客情報も
クレカセキュリティGLが改訂 - 2025年までに「EMV-3Dセキュア」原則導入