2019年7月1日からサービスが開始したセブンイレブンが始めたQRコード決済サービスの「7pay(セブンペイ)」で不正アクセスや不正利用の被害が相次いでいます。
7pay(セブンペイ)不正利用の原因について、またTwitter上などで特に話題となっているパスワード再設定の画面に存在する問題点、被害額の補償について紹介します。
7pay (セブンペイ)不正利用の原因は?
7pay(セブンペイ)不正利用の原因はなんでしょうか?
7pay (セブンペイ)の支払い方法や使い方は?
7pay(セブンペイ)は少し前に話題となったpaypay(ペイペイ)やLINEペイなどと同じく、キャッシュレス決済の方法の一つであるQRコード決済を利用した支払い方法をセブンイレブンが運営しているものです。
現在日本には7pay(セブンペイ)以外にも、ファミリーマートなども独自のQRコード決済サービスを開始しています。
7pay(セブンペイ)の支払い方法は
- スマホにセブンイレブンアプリをダウンロード、会員登録をする。
- アカウントにレジやATM、クレジットカードなどから現金をチャージする。
- 会計の際に自身の支払いバーコードを提示して店員がスキャンすると支払い完了。
となります。
肝心なのは自分自身の支払いバーコード(QRコード)を他者にバラされてはいけない点です。
7pay (セブンペイ)不正利用の原因は何?
|
|
|
すでにサービス開始から数多くの7pay(セブンペイ)不正利用が確認されており、原因は調査中とのことですが今までのQRコード決済サービスの例からある程度の原因は推測することができます。
- アカウントの不正ログイン
- クレジットカードからの身に覚えのない入金
- 不正利用
アカウントの不正ログインの原因は?
パスワードの使い回し、推測可能なIDやパスワードの利用によって、総当たりでログインを試したときに突破されやすくなります。
また、不正ログインが可能になりやすい環境が7pay(セブンペイ)には作られているため、ツイッター上では特に話題となっています。
パスワード再設定に関する問題点はのちほど紹介します。
クレジットカードからの身に覚えのない入金
スキミングや今までにクレジットカードを利用した際に情報を抜き取られているなど、クレジットカード情報を入手されている可能性があります。
不正利用
不正にログインすることができてしまっている場合には、自身のバーコード(QRコード)を手に入れることができてしまうため、誰にでも不正利用することが可能になってしまいます。
|
|
|
7pay (セブンペイ)パスワード再設定の問題点や被害額や補償は?
7pay(セブンペイ)パスワード再設定に関する問題点がツイッター上で特に話題となっており、いったん修正されたかと思われていましたが、それでもまだ知識が少しあれば今でも不正ログインが簡単にできてしまう環境にあることについて、
また被害額や補償に関して紹介します。
7pay (セブンペイ)パスワード再設定の問題点は?
2019年7月4日現在、Android版アプリとiOS版アプリでも仕様が異なっていたりしますが、今までの経緯を踏まえるためにも紹介していきます。
2019年7月3日時点で、7pay(セブンペイ)の新規会員登録を行う際に生年月日の入力が必要なく、実質的には「メールアドレスとパスワードのみ」で登録できてしまうことが話題となりました。
7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
生年月日を入力しない場合には自動的に生年月日が「2019年1月1日」、性別は「女性」が設定されるようになっており、QRコード決済サービスを試してみたい人たちは横着をしてメールアドレスとパスワードのみで登録をしている可能性について指摘されます。
そして2019年7月3日から7pay(セブンペイ)のクレジットカード不正利用の被害報告が上がり始めます。
従来通りのパスワードを使い回していたことが原因かと思われましたが、使い回しをしていない人も被害に遭っているという報告があります。
そこで問題となったのがパスワード再設定の問題点です。
7pay(セブンペイ)のパスワード再設定の画面では、「生年月日」、「電話番号」「ID (メールアドレス)」が分かればパスワード再設定ができます。
なぜかここで「送付先メールアドレス」を新たに設定することができ、第三者のメールアドレスにパスワード再設定のURLを送ることができてしまいます。(下の画像)
この点に関してはその後、修正がなされて「送付先メールアドレス」の項目がなくなりました。
パスワード再設定画面が変更されても残る問題点は?
パスワード再設定画面が修正されたかに思われていましたが、7pay(セブンペイ)のずさんな対応が滲み出ている事態が即座に発覚します。
omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww
こ れ は 大 草 原 が 広 が るwwwwwwwwwwwwwww pic.twitter.com/oPm53QTbdl— ねこ吸い (@8796n) 2019年7月4日
ただ単に「送付先メールアドレス」の項目が見えないようにされているだけで存在しており、「送付先メールアドレス」の項目を私たちが少し知識を持っているだけで再表示させてしまうことができてしまいます。
まさかと思って非表示フォームに別のメールアドレス入れて送信したら、そこにリセットトークンが届いたwwwww#7pay はまだ任意のメアドでアカウント乗っ取り可能。
どこまで無能なんだ… https://t.co/92612ab4Du
— Miyahan (@miyahancom) 2019年7月4日
実際に再表示させて今でも機能しているのかを確かめたところ、別のメールアドレスでパスワード再設定が可能だったという報告が上がっています。
7pay(セブンペイ)の運営会社は2019年7月4日の会見で
普段スマートフォンを使っている人がPCを使ってパスワードを変更する場合、携帯キャリアのメールアドレスが使えない。
そういった人のために用意していた
と話しています。
「送付先メールアドレス」が表示されている時の言い訳としてはまだ一理あるかもしれませんが、今の状態はこの説明とも食い違うユーザーのことを考えた問題ではなく問題の対処方法を知らないようにしか見えません。
7pay (セブンペイ)不正利用被害額や補償は?
7pay(セブンペイ)の運営会社は
新規登録を停止する準備をしていること、
セブンイレブンのレジやATMでの現金チャージ、電子マネー「nanaco」ポイントからのチャージについて、7月4日14時で停止したこと、
既にクレジットカードやデビットカードのチャージは停止したことを発表しました。
2019年7月4日朝6時の時点では被害者数は約900人、被害額は約5500万円以上であること、被害にあったユーザーすべてに被害の補償を行う方針を示しています。
まとめ
・7pay (セブンペイ)の支払い方法や使い方は?
会計の際に自身の支払いバーコードを提示して店員がスキャンすると支払い完了するため、自分自身の支払いバーコード(QRコード)を他者にバラされてはいけません。
・7pay (セブンペイ)不正利用の原因は何?
- アカウントの不正ログイン
- クレジットカードからの身に覚えのない入金
・7pay (セブンペイ)パスワード再設定の問題点は?
7pay(セブンペイ)のパスワード再設定の画面では、「生年月日」、「電話番号」「ID (メールアドレス)」が分かればパスワード再設定ができます。
なぜかここで「送付先メールアドレス」を新たに設定することができ、第三者のメールアドレスにパスワード再設定のURLを送ることができてしまいます。
・パスワード再設定画面が変更されても残る問題点は?
ただ単に「送付先メールアドレス」の項目が見えないようにされているだけで存在しており、「送付先メールアドレス」の項目を私たちが少し知識を持っているだけで再表示させてしまうことができてしまいます。
・7pay (セブンペイ)不正利用被害額や補償は?
2019年7月4日朝6時の時点では被害者数は約900人、被害額は約5500万円以上であること、被害にあったユーザーすべてに被害の補償を行う方針を示しています。
いつもたくさんのコメントありがとうございます。他にも様々な情報がありましたら、またコメント欄に書いてくださるとうれしいです。
にほんブログ村