7Payが9月末で終了 モバイル決済の落とし穴

事例

みなさま、暑い中お疲れ様です(^^♪
チョット前の話ではあるのですが、7Payがサイバー攻撃を受けて、アカウントの乗っ取りなど、問題が発生し、9月末で終了することになりましたね><
やっぱ、オンライン上にお金を置いておくということのリスクを考えなきゃあかんと思います!
責任者と思われる人が、2段階認証についてもよくわかっていない状況でした...
参入したはいいけど、技術が追いついていなかったみたいですね~

どんな被害?

まず、不正利用の被害額は 3861万5473円 Σ(・□・;)
被害人数は808人!
不正利用ってどんなんだったのかというと、登録していたクレジットカードやデビットカードで勝手にチャージされて、どっかの誰かさんが支払いをその7payで行ったというわけです。
クレジットで登録していた人は、タイミングによっては引き落としを止めることはできますが、デビットカードの人(クレジットの人でも間に合わなかった人)は引き落とされてしまいます、、、

セキュリティーのあまさ

今までの セブン-イレブンアプリを更新すると、モバイル決済ができるようになってたそうですが、7&iグループ統一アカウント「7iD」のセキュリティに欠陥があったようです。
まず外部アカウントでログイン、具体的には Yahoo!、Google、Facebook、Twitter、LINE で認証することができてたわけです。

「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
https://www.businessinsider.jp/post-194660

7pay側との認識のずれ

ところが、7payの会見では、外部連携との関連性はないと返答。
原因はリスト型攻撃によるパスワードの突破との見解でした。
ちなみにリスト型攻撃とは、第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスして、利用者のアカウントで不正にログインしてしまう攻撃です。
しかし「個別のお客様についてはお問い合わせにより応対する」とだけ回答 。
要は大半はリスト型攻撃だけど、全てかどうかはわからないため、個別に対応しますと、いうことなのかな?ちょっと私も細かくはわかりませんが、、
二段階認証がされていなくて、セキュリティーに問題があったことは認めているようです。
また個別のチームでは適切に管理していたが、全体としての統括は不十分だったと((+_+))
この二点に関してはほとんどの人が認識している通りだと思いますが、今後の調査については非公開だそう↓ ↓ ↓
外部セキュリティー企業と連携して、ということは明かしていますが、守秘義務により企業名は明かさない、調査結果の報告も未定、各省庁にするようなことは言ってますが...

また再開したい

7pay側はこんなことを言っています↓
経営判断上サービス継続は得策ではない。お客様の保護という観点からもサービス廃止やむなしと判断した」とコメント。今後当面はnanacoやクレジットカードを自社サービスとして重視する方針を示しています。
一方で、7payで失敗した「スマホ決済」にそのものについては今後も成長すると見込み、体制を見直した上で再参入する意図を示しています。後藤氏は「しっかり体制を準備して、新たなサービスで再度参画できるか、チャレンジしていきたい」と語りました。

まぁ、確かにモバイル決済は手数料やお店側の加盟が安く済むというメリットがあり、海外ではかなりの割合で進んでいます。
でもそういった成功例をしっかりと見ていって、セキュリティーは最低限できてないとまずい、、
今回の件で、ますますモバイル決済をはじめ現金以外の決済方法に不安を抱く人も出てきたはず↓
信頼を取り戻すのはそう簡単ではないぞーぉ!!
今回の事件を今後に活かして欲しい!

メルマガもやってます。登録よろしくお願いします!
*******************
ブログでは書かない、メルマガ読者様に向けた限定公開の、ちょっといつも以上に踏み込んだことを書きます。
ほぼ週一でお送りいたします!
◆下記フォームにメールアドレスをご入力ください(^^♪
*******************

メルマガ購読・解除 ID: 1687987
社会問題XYZ



バックナンバー powered by まぐまぐトップページへ

コメント

%d人のブロガーが「いいね」をつけました。