1. まとめトップ

第三者がパスワードを再発行?『7pay』でクレジットカード不正利用被害が多発

7payは登録していない第三のメールアドレスにパスワードリセットメールを送信できる。オムニ7にも同様の問題が見つかった。SMS認証など2つ目の認証がない。第三者による乗っ取りのリスクがある。

更新日: 2019年07月04日

1 お気に入り 1266 view
お気に入り追加

この記事は私がまとめました

wappameshiさん

7payで不正利用被害が発生している

7月1日に始まったスマホ決済『7pay』で、3日にはすでに不正利用被害報告が出ている。
アカウント不正ログイン、第三者によるクレジットカードからの入金とその利用が見つかっている。

7payは会計時にアプリのバーコード画面を提示し、店員に読み取ってもらうことで支払いが完了するサービス。

7payでは1日のリリース以降、ユーザーが第三者にアカウントを乗っ取られる被害が発生。

アカウントにひも付いたクレジットカードから電子マネーが不正にチャージされ、買い物に使われるというケースが相次いだ。

ツイッターでは不正チャージされたという報告が見つかっている

【写真】7payで不正アクセス被害に会いました。 今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。 1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX

7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn

#7pay に昨夜登録したら、今朝方20万円不正にチャージされて奪われてしまいました。

7payアカウント乗っ取り被害に会いました。 昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。

#7pay クレジットカードでの見に覚えがないチャージはきょうの12時過ぎから断続的に10回、計30万円行われましたが、通知はクレジットカードチャージのレシートメールのみ、そもそもアプリにログインされたことなどはわかりませんでした

#7pay メールに気づいたのは30分後、すぐに7セブン-イレブンアプリにログインしようとしましたが乗っ取られているのでログインに手間取りました その後、お困りのときはから検索すると、コールセンターの問い合わせ先が出てきました しかし2時間以上つながりません

セブン-イレブンアプリのログインは 7 IDにて利用 ログインパスワード、認証に利用するパスワードは別のものを利用していました #7pay

#7pay クレジットカードの登録には3DSecureを使って登録、その後は都度のパスワードによりチャージできる仕組みですが、そのパスワードはアプリへのログインとも違うものを登録していましたが、2段階どちらも突破されました なお桁数は16桁、使いまわしはしていません

セブンイレブンが7月3日午後にはチャージを停止した

セブン&アイホールディングスは、2019年7月3日頃よりスマートフォン決済サービス「7pay」で不正利用が発覚したと発表した。

7pay運営元のセブンペイは、「ログインIDやパスワードに簡単な文字列を設定していると被害に遭いやすい」と注意喚起。

セブン&アイ・ホールディングスは、クレジットカードとデビットカードによる7payへの電子マネーのチャージを一時停止した。再開時期は未定。

取引の安全性を確認するまでは、セブン銀行ATMでの現金チャージ、セブンイレブン店頭レジでの現金チャージ、nanacoポイントでのチャージのみに対応する。

7payにセキュリティリスクが見つかった

ITジャーナリストの三上洋が『7pay』のセキュリティ問題について解説している。
自分が登録したメールアドレスとは別のメールアドレスに、パスワードリセットメールを送信できる。

7payのアプリは「メールアドレス・生年月日・電話番号」がわかると、パスワードリセットができ、かつ別の端末から第三者が乗っ取ることができる。

なんと登録しているアドレスとは別のアドレスに、パスワードリセットメールを送信できるのです。

パスワードリセット申請画面に謎の入力項目があった。

「登録メールアドレスとは関係のない別のアドレスに、パスワードリセットのリンクがメールで届いたのです。クリックしたところ、パスワード変更ができてしまいました」

三上氏は実際に試してみた。ただし元のメールアドレスにも通知が届きます。

つまり第三者であっても「メールアドレス」「生年月日」「電話番号」がわかれば、パスワードを変更できるわけです。

ここに言う「メールアドレス」とは最初にセブンイレブンアプリに登録したものです。

7pay不正利用の調査テスト途中経過。別スマホに7iDのメール+パスワードを入れたところ、元端末は自動ログアウト。新端末にすべて取られる形。電話番号認証などはない。今の所濃厚なのは「7iDに他でも使っていたメール+パスワードを使ってしまった人がリスト攻撃被害にあった」ことか(まだ推測段階) https://t.co/OgwDasG2N4

7payのセキュリティには問題がもう一つある

二段階認証とはパスワードとは別に、電話番号のSMSなどで本人確認をするしくみのこと。パスワードが漏えいしたとしても、第三者が悪用できないようにするしくみです。

1 2