社会人のための勉強クラブ

これからの社会を生きていくために。

トップ > 時事ネタ > 7payに脆弱性!メールアドレスと電話番号さえ分かれば不正利用できる仕様だった!?

7payに脆弱性!メールアドレスと電話番号さえ分かれば不正利用できる仕様だった!?

時事ネタ

f:id:cg-life:20190704201446p:plain

こんにちは!『社会人のための勉強クラブ』部長のしーじーです。

 

今回は、セブンイレブン独自の決済サービスである7payの不正利用問題についてお話したいと思います。

発生の経緯

 2019年7月2日

・7payを利用していた顧客より「身に覚えのない取引があったようだ。」との問い合わせがセブンイレブンに寄せられる。

 

2019年7月3日

・調査の結果、不正利用があったことが発覚。

お客様サポートセンター緊急ダイヤルを設置。

・顧客に7payホームページにてIDとパスワードの管理の注意喚起を呼び掛ける。

クレジットカード、デビットカードでのチャージ機能を停止。

 

不正利用が疑われる人数及び金額

約900名/約5,500万円

 

顧客への対応

被害に対する補償。

お客様サポートセンター緊急ダイヤル(tel/0120-192-044)での対応。

 

今後の対応

7payの新規登録の停止。

クレジットカード、デビットカードだけでなく全てのチャージを一時停止。

 

 不正利用発生の原因

パスワードリセットのメールを7pay登録時のメールアドレス以外に送れる仕様になっていたこと(他のサービスでは通常、パスワードリセットメールは登録時のメールにしか送れない)。

また、パスワード再設定時の本人確認がID(メールアドレス)、電話番号、生年月日のみであったこと。しかも、アプリ版(iPhoneのみ)だが生年月日は任意の項目で設定していない場合は2019年1月1日に設定される仕組みであったこと。

 

つまり…

メールアドレスと電話番号さえ分かれば不正アクセスが出来たということになります。

こんなのどこかで入手できそうですし、知り合いなら余裕で分かりますよね。

f:id:cg-life:20190704214607j:plain

(引用)YAHOO!ニュース https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/

僕はどちらかと言えば真新しい決済システムを使用するのをためらう性格ですし、以前PayPayでも不正利用問題があったので使用していませんでした。

今回の不正利用及びその原因のニュースを見て、正直どうしてこんな状態でサービスを開始したのか本当に謎です。

特に登録したメールアドレス以外にリセットメールが送れる仕様だった部分には本当に驚きました。

~payの中で7payは後発のサービスですし、PayPayの時の教訓もあったでしょうに非常に残念です。

やはり、こういうお金が絡んでくるサービスは開始後すぐに飛びつかずにしばらく見に回るのが無難だと思います。

日本人は他国に比べて現金決済信仰の強い国ですし、国をあげてキャッシュレス化を推進したところで、(一企業のこととは言え)こういう問題が頻発すると「やっぱり現金が安心じゃないか!!」という流れになってしまいますね。

 

ちなみに、7payって登録すると何か貰えたのか調べてみると…

f:id:cg-life:20190704201421p:plain

いや、おにぎり1~2個って笑

 

では、また次回。