1. まとめトップ

【7pay】アカウントが簡単に乗っ取られてしまった理由を解説

話題となっている7payの被害問題ですが、何が問題だったのか調べてまとめました。色々な欠陥があったみたいですね。

更新日: 2019年08月03日

2 お気に入り 2422 view
お気に入り追加

この記事は私がまとめました

BKB250さん

7payとは

セブン・イレブン・ジャパンが2019年7月1日から日本全国にある2万店以上の店舗でセブン&アイグループによるコード決済サービスである「7pay(セブンペイ)」と同時に、「PayPay」「LINE Pay」「メルペイ」「アリペイ」「WeChat Pay」の5社のサービスの利用が開始となります。

7pay(セブンペイ)はコンビニの国内最大手であるセブンイレブンが7/1に開始した新しいQRコード決済です。

厳密にはセブン&アイ・ホールディングスとセブン・フィナンシャルサービス、そしてセブン銀行の3社が共同出資して設立した株式会社セブン・ペイがサービスを運営します。

アプリをスマホインストールすることで簡単に支払いができ、各種ポイントも貯めることが可能。

現金払いよりもお得に買い物ができます。

不正利用によって開始4日で900人、5500万円の被害が・・・

サービス開始から4日で謝罪会見――。コンビニエンスストア業界の圧倒的な王者であるセブン&アイ・ホールディングス(HD)の子会社が、全国のセブン-イレブンの店舗で7月1日に始めたキャッシュレス決済サービス「7Pay」で、不正利用が発覚。4日に運営会社である7Payの小林強社長らが都内で記者会見して謝罪した。

何者かが利用者のアカウントに不正にアクセスし、利用者が登録していたクレジットカードやデビットカードからお金をチャージ。セブン-イレブンの店舗で、タバコなど単価が高く換金性のある商品を購入していたケースがあったという。

セブン&アイ・ホールディングスによると、7月4日午前6時時点での想定被害者数は約900名。推定被害金額は約5500万円にのぼる。ただし、これらの数値は実際の被害金額ではなく、7月1日のサービス開始から3日間で「1万円以上のチャージを行い、その同額を当日中に支払った人」の累計数からの試算だという。

不正利用の原因について同社は「現在調査中」としており、チャージ、および間もなく実施する新規登録停止中の間に調査を進めるとしている。なお、停止期間は定められておらず、同社は「なるべく早いタイミングで再開したい」と話している。

会見の中で同社は被害の補償に関しては「すべての被害に対して、我々が補償するのが基本原則」と話した。被害を受けた場合やそのほか不安に感じられるサポートについては、既に設置している緊急ダイヤルで問い合わせるようにアナウンスしている。

生年月日などが分かればパスワードを変えることが可能な状態だった

現在考えられる不正アクセスの原因は「パスワードの再設定機能」の不備です。

パスワードの再設定には下記の3つが必要です。

この3つを知っているとパスワードの再設定が可能です。

しかも”任意のメールアドレス宛”にパスワードリセットメールを送ることができてしまいます。

このことについて、会見では、携帯メールが使えないパソコンでの利便性を考えたと説明していた。

つまり生年月日が未設定の会員に対して電話番号の数字8桁×2(080と090)の総当たりをすることで、簡単に不正アクセスを仕掛けることが出来た訳です

そのため、セブン-イレブンアプリで使われていた7iDは、メールアドレスと電話番号などが分かればパスワードのリセットが可能で、かつ第三者が別の端末で乗っ取ることが可能な状態になっていたのです。

つまり、利用者本人がセブンペイでクレジットカードの初期登録を実行した後、セブンペイの脆弱な仕様の隙を突いて悪意のある利用者が乗っ取る。

その上で登録されたクレジットカードで追加入金して換金可能性の高い商品を購入するという形で被害が相次ぎました。

【7payクレカ不正利用】アプリ問題点の検証記事書きました▲電話番号・生年月日でパスリセット▲第三者アドレスに送信可能▲二段階認証なし/7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - Y!ニュース news.yahoo.co.jp/byline/mikamiy… pic.twitter.com/OPM6jeusLm

7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます pic.twitter.com/Zn3uBPuas0

パスワードリセットに必要な"誕生日"を設定をしない場合、デフォルト値が入力されてしまう

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5

二段認証システムも無かった

1 2