orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

7Pay不正利用関連の情報をまとめる

f:id:orangeitems:20190704113415j:plain

 

はじめに

毎日のようにセブンイレブンを使っていて、7payが始まるのは知っていたのですが様子見していました。そうしたところ、不正利用の話が各所で炎上しています。状況を把握すべくこれまでに入っている情報をまとめます。

 

メディア記事

 

2019/7/3 19:08 ITMedia

www.itmedia.co.jp

セブン・ペイが7月1日に提供開始したコード決済「7pay(セブンペイ)」が、不正利用されていることが判明した。
 セブン&アイ・ホールディングスによると、7月3日の午前に、「身に覚えのない取引があった」とユーザーから申告があり、一部のアカウントが第三者にアクセスされ、不正に取引されたことが確認された。問い合わせ件数や被害の規模については「調査中」とのこと。

 

私自身何とかペイを使った経験がなかったのでよく理解できたのですが、アプリにクレジットカードやデビットカードからお金をチャージし、店頭ではアプリを使うんですね。

アプリへのログインに使うIDは、「セブンID」と呼ばれていてこれがメールアドレスとのことです。セブンIDにログインするためのパスワードは半角の記号・英字・数字を2種類以上組み合わせた8文字以上とのことで、p@ssw0rdでも通ってしまうのですね。そしてチャージするために別に設定するパスワードは「認証パスワード」と呼ばれ別管理となっていますが、これもセブンID用のパスワードと同じものを使えてしまうことが指摘されています。

今はクレジットカードやデビットカードからのチャージだけが止められているそうですが。じゃあ既にアプリにチャージされたお金はまだ使えます。パスワードが漏れていたら不正利用は止まらない・・ということになりますね。

 

2019/07/03 22:58 マイナビニュース

news.mynavi.jp

しかし、7payアプリに登録したクレジットカードから不正チャージが行われ、同アプリで身に覚えのない購入履歴が見つかったとの報告がインターネット上で相次いだ。Twitter上では一人あたり数万~数十万の被害が報告されており、被害を報告した後のセブン&アイ・ホールディングス側の対応に不満を持ったユーザーも少なくない。

同社は3日、「現在、一部のアカウントが第三者にアクセスされる被害が確認されている」と公式サイトで告知。クレジットカード及びデビットカードでのチャージを一時停止する措置をとった。なお、セブン銀行ATMでの現金チャージ、nanaco ポイントでのチャージ、セブンイレブン店頭レジでの現金チャージは引き続き提供する。

 

被害が広がっているのに、システム自体の利用をストップしていない。しかもチャージもクレジットカードやデビットカード経由は止めているけれども、現金でのチャージは止めていない。

というのは、危機管理にリスクが残る対応とはなりますね。原因がわかるまですべて止めるのが安全であるとは思います。

(一方で、チャージしてしまったお金が一時的に使えなくなり、お金返せ!となるのを恐れたのかもしれませんね)。

 

2019/7/4 6:55 Yahoo!ニュース

news.yahoo.co.jp

セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。

メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。

さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。

 

こちらは著名な三上洋さんの記事です。

驚くべきことに、パスワードのハッキング方法がまるっと書かれています。

この方法を使えば、第三者であっても「生年月日」「電話番号」「メールアドレス」さえ入手すればでパスワードリセットができ、かつリセットしたパスワードを利用できます。

かつ、iOS版で新規登録する際に生年月日を省略すると、自動的に2019/1/1となる脆弱な仕様が見つかっています。

記事中では、「システム停止するべき」と書かれておりこのご意見に賛同します。

 

2019/7/3 かえざくらのつぶやき

www.kaesakura.com

アカウント情報変更して、ログイン情報を変えたにも関わらず、セブンイレブンアプリはログインしっぱなし。自動でログアウトされないみたいです。

もし既にパスワード再発行メールが届いてしまった人、もうアカウント消すしかどうしようもないかもしれません。

 

ブログの情報ですが無視できないお話です。

すでに第三者が不正にログインしてしまっていると、いくらログイン情報を変えても意味がない。ログアウトされないらしいです。

これはやっちまった感がありますね。

 

2019/7/4 togettter

togetter.com

 

こちらは不正チャージで実際に被害に遭われたかたのツイートです。

セブンイレブンのコールセンターにはつながらず、クレジットカード会社にて対応してもらったとあります。現場の混乱が手に取るようにわかります。

セブンイレブンも事の重大さを鑑み、本件に関しての24時間のコールセンターを開いたようですね。

 

www.7pay.co.jp

【本件に関するお問い合わせ窓口】
7pay お客様サポートセンター緊急ダイヤル
0570-012-113
7 月 4 日(木)9:00 以降についてはこちら
0120-192-044
※24 時間/年中無休

 

2015/12/9 ZDNet

japan.zdnet.com

 セブン&アイは2013年8月30日に業務要件を固めはじめ、2014年7月からシステム開発を始めた。今年10月にプレオープン、11月にomni7はグランドオープンした。omni7のシステム開発にあたり、日本オラクル、NTTデータ、NEC、野村総合研究所(NRI)を中心に複数ベンダーで構成するチーム体制で臨んだ。

 

7Payをはじめ、セブンイレブンの基盤はomni7というシステムであることは有名です。今回の7Payに関わったベンダーがどこかは公開されていないのですが、とにかく今回の7Payの問題は要件定義段階で問題を抱えていたと言わざるを得ません。

実装段階でも実装者から問題提起があったと考えるのが自然ですが、リリースまでたどり着いてしまったということになります。

また、7Payにたどり着くまでにOmni7があったため、脆弱性は結構有名で、それを今回利用者が増加するにあたって攻撃者からつかれたと考えるべきでしょうね。

リリースから3日で大規模な問題が起こるというのは、伏線があるということが理解できます。

 

www.omni7.jp

2018年6月1日より「オムニ7会員」から「7iD会員」に会員名称が変更になりました。
会員ID・パスワードはそのままご利用いただけます。

 

バッチリ伏線がありますよね。今回問題になっている7iDそのものは、最近実装されたわけではないということです。

 

感想

流れを追っていくと、今すぐ7Payは少なくとも止めた方がいいということはわかります。複数の有識者が声をそろえて主張されているのがよくわかります。

7iDも、オムニチャネルということでセブンイレブン意外にもグループの様々なシステムに利用されていて、影響は大きいなというのが率直な感想です。

多くのSIerが絡んでいる話で、関心を持って今後の状況を把握していきたいと思います。

 

クレジットカード最強だな、と今のところ思っています。

 

追記(2019/7/4 14:50)

www.nikkei.com

セブン&アイ・ホールディングス(HD)が始めたスマートフォン決済サービスで不正アクセスによる被害があった問題で、同社は4日、約900人計約5500万円(4日午前6時時点)の被害を確認したと発表した。既に停止しているクレジットカードとデビットカードのチャージ(入金)に加え、現金などでのチャージも停止する。サービスへの新規登録も一時、停止するという。

 

現金からのチャージも止めるんですね。

被害者は今のところ900人。まだ気が付いていない人もいるんじゃないでしょうか・・。