はやくも7payで不正利用と聞いて


7月1日からセブンイレブン、ファミリーマートでそれぞれ独自のQR決済サービスが開始され、さっそくセブンイレブンの7payで不正利用の報告が上がっている模様。

で、7pay運営からのお知らせはこれ。

■不正アクセスされるケース(一例)
・ログインID・パスワードが分かりやすいものになっている
・クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一のものになっている  等

え…?ログインIDとパスワードが分かりやすかったり、クレジット系のそれが同一だったら不正利用できるってどういうこと???

おサイフケータイはどうなってるの?

例えば、iDやnanacoのような所謂おサイフケータイはSIMと連携しているので、仮にアプリのアカウント情報が漏れたところで実害に結びつく影響はないはず。

Apple Payや Google Payは?

SIM連携がないのでアカウントを盗難されるとダメだけど、不審な端末でサインインがあると警告メールが届いたり、不審端末からのサインインはブロックしてくれたりする。(それでも気をつけないといけない)

じゃあpaypayは?

解説サイトによると、初回ログイン(つまりアプリにアカウント情報を登録する)時にSMS認証が行われるとのこと。それなら、不審端末からのログインも検知できるしログイン自体成功しないはず。

同じ日にスタートしたファミペイは?

こちらもpaypayと同じくSMS認証でアカウント情報が登録されるとのこと。

え、それじゃあ7payはなんなの?

セブンイレブンアプリがリリースされた直後になんとなくインストールしてアカウント登録をしてnanaco連携だけしていたのを思い出した。確か機種変更前の端末でのこと。
今現在の端末にアプリをインストールすると、セブンアイディ(7ID)によるログインを要求される。つまり「アカウント情報はあるが、アプリにアカウント情報を登録していない」状態。試験には理想的。

ログインIDとパスワードを入力し、ログインボタンをクリック。繰り返すが、この端末ではアプリのインストールをしたばかりで、ログインしたことはない。アプリに7IDの情報は登録されていない状態である。

結果:何の追加認証もなく普通にログインできた。nanaco連携も引き継いでた。

怖すぎてその先の7payの利用開始や、あまつさえクレカ登録とかはできなかった。恐らく本人端末で7pay利用開始してクレカ登録してれば、他の端末ではセブンイレブンアプリをインストールして、その人のアカウントでログインするだけで7payが利用できる状態になっているものと思われる。

今やいろんなところでアカウント情報が漏洩しているので、そういうデータを入手した人たちがチャレンジし放題っていう状況であると推察される。

検証としては不十分で申し訳ないが、これは早急に対策が必要なんじゃないだろうか。ていうかサービス一旦休止した方がいいんじゃあ…

【追記】こんなツイートがあった。

…チャージパスワード変えてもダメって、総当たり可能ってこと?ますます謎が深まる。

【2019-07-04追記】

ようやく事態の重さに気づいたのか、現金チャージのみに制限かけた模様。おっそ。

7payに関する重要なお知らせ
https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190703_01.pdf

現在、一部のアカウントが第三者にアクセスされる被害が確認されております。つきましては、取引の安全が確認されるまでの間、クレジットカード及びデビットカードでのチャージを停止させていただき、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージのみとさせていただきます。再開の目途がつき次第、ご案内をいたします。



この記事が気に入ったらサポートをしてみませんか?