https://www3.nhk.or.jp/shutoken-news/20190711/1000032592.html
7pay 外部IDログイン停止
07月11日 17時07分
不正利用が相次いだスマホ決済サービスの「7pay」について、「セブン&アイ・ホールディングス」は、被害の拡大を防ぐため12日からSNSなど外部のIDを利用したログインをできなくすることにしました。
7payの不正利用では、およそ900人が不正ログインの被害にあい、被害額は5500万円に上る可能性があり、会社は、7payへのチャージや新規登録を停止しています。
これに加えて12日午後からは、7payのアプリにログインする方法についても一部を制限することにしました。
具体的には、FacebookやLINE、それにYahoo! Japanなど5つの外部IDを利用したログインをできなくします。
ただ、会社が独自に発行する「7iD」と呼ばれるIDでは、これまで通りログインできるということです。
会社によりますと、不正利用の被害はおさまりつつあるということですが、外部の専門家の指摘を受けて今回の措置を決めたということです。
会社では、本人確認のための「2段階認証」の導入や、1日あたり30万円だったチャージの上限額の引き下げなどの対応策をすでに決めていて、原因の究明とともに今後もセキュリティー対策の強化を進める方針です。 Authy使えばよかったんじゃないの?
バカでも2段階使えるだろ、それなら。
友人は新規のメールアカウントとパスワード
他のサイトでは一切使用していない物で
7ペイを作ったら被害を受けたと言っていた
となると外部ID連携と漏洩は関係ないって事
キャッシュレス決済に関する監督官庁って基本的に経産省だよな?
これって金融庁とかもっとアタマの良い省庁に担当変えた方が良いんじゃねーのw
0068名無しさん@1周年2019/07/11(木) 18:05:45.69ID:YTcEpRKW0
omuni7ってのがそもそもログイン甘かった、そこに7payも使えるように機能追加した
これがね、もうね、俺も7/1見た時衝撃が走ったw
銀行口座(デビット専用の別口座)登録して試してみようかと思ってたけど、いきなり機能追加だったのでとりあえず様子見にしていたらこれだよ…
0069名無しさん@1周年2019/07/11(木) 18:09:32.23ID:NAlQBmd10
セブングループの他のアカウントも
退会したほうがいいかな?
今日からはしばらくはpaypay使えよ。
セブンはペイペイに感謝しねーとなw
0071名無しさん@1周年2019/07/11(木) 18:11:32.19ID:5NKYLtx70
セブンぽいー
>>57
suicaで調教された外人が現状のnfcに切れたから商機なのにねえ >>6
新規登録を再開したら貰えるようになるんじゃね?
それまでの辛抱だな。 社長、2段階認証知らなかったのにもうここまで勉強死んだな
0075名無しさん@1周年2019/07/11(木) 18:17:50.63ID:YTcEpRKW0
2段階認証 って言葉だけ踊っているけど
個人的には、多要素認証で統一して欲しい
事件発表の前日知らずに登録したわ
まだ2回しか使ってないけどやっぱ面倒でも現金決済がいいのかね
0077名無しさん@1周年2019/07/11(木) 18:21:46.25ID:YTcEpRKW0
銀行口座をスマホアプリでってのもそうなんだけど
あとWebページもそうだから、まぁ一般的に金預ける系サイトについては、認証については気を付け無いと狙われたらやられちゃうってことなので
そういうデジタル決済系専用のデビットカード(口座)作るのが、とりあえずの自衛策なんじゃないかな
給与口座とかメイン口座は別で、給料日とかの自動振り込みで決済専用口座にいくらか入れるという感じで…
おれは2つくらいそういうの持っているよ
0079名無しさん@1周年2019/07/11(木) 18:29:40.87ID:65UQ4fyi0
全部止めて返金しろよ
そこまでして提供するものなのかこれ?
そしてそこまでして使うものなのか?
0083名無しさん@1周年2019/07/11(木) 18:37:21.60ID:1C3hO2gA0
>>41
自分はヤマダのポイントを勝手に使われて警察に相談したら被害者が自分じゃなくてヤマダになるらしくて立件が難しいと言われたよ。クレカの不正利用だって被害者はカード会社になるんだろうから警察にとっては現金の方が楽だと思う 0084名無しさん@1周年2019/07/11(木) 18:42:17.73ID:mHrE1/Ry0
メルペイだと被害起きても電話がないから、メールでやり取りをすることとなるwwwしかも、日本語の分からない外人の定型文コピペwww
>>83
中ゴキ詐欺乙
そんな理由で御免ならそもそもだれもカードなど作らないんだよ 1日30万円って一体おにぎり何個買う想定してんだよ
0087名無しさん@1周年2019/07/11(木) 18:55:00.53ID:huJkFaq10
ダダモレpay
0088名無しさん@1周年2019/07/11(木) 18:56:38.02ID:/cnTNuak0
いつになったらチャージ再開するんだはよ再開しろや
再開の目処たたないんならnanacoのポイント元に戻せや!
>>58
一切責任ないならそりゃセキュリティーザルになるわ 0092名無しさん@1周年2019/07/11(木) 19:50:23.56ID:sjJ5vHeK0
今日7月11日はセブンイレブンの日です。
皆さん、7payで買い物しましょう。
0093名無しさん@1周年2019/07/11(木) 19:56:54.19ID:OfJnv2nE0
ナナコはどうなるニカ?
0094名無しさん@1周年2019/07/11(木) 19:57:36.56ID:gtxq70VV0
もうサービス停止したら?
乞食決済なんて使いたくないね。
つか、そもセブンは"購買憂慮店"になったし(ファミマは忌避店)
0096名無しさん@1周年2019/07/11(木) 19:59:14.65ID:0MAqSvzH0
> 不正利用の被害はおさまりつつある
まだ続いてて笑った
またこんな糞サービスのせいで情弱たちは「現金が一番」とか言い出して
未来永劫日本は現金払いが主流になっちまう
0099名無しさん@1周年2019/07/11(木) 21:17:46.01ID:mXZ8PtAM0
なんか色々スマホ決済始めてみたけど、PayPayもLINE PayもD払いも1ヶ月で5000Pくらい溜まってた
セブンは使わないな
ぽつんぽつんと後出し停止醜いね
いっそチャージ金全部返せよ
被害は収まりつつあるって、未だに被害受けてたんか?
7payだけ何か対策したって付け焼刃
7銀行やオムニ7共通の7idからして腐ってるんだからどうにもならんわな
>>100
それがいやだから停止しないんだろw
本来ならゼロからやりなおさなきゃいけないレベルなのに 7-IDがセキュリティホールじゃないですかーやだー
> 被害の拡大を防ぐため
被害拡大防ぐならサービス止めろよw
>>101
そもそも使われた金は戻らないんじゃ?w 0109名無しさん@1周年2019/07/12(金) 01:53:06.29ID:FnMiNuRH0
誰が補償するんだろ。規約通り補償なしかな?
さっきセブンでおにぎり2つ買ったんだけど、合計250円だったんで500円玉出したのよ。
そしたら東南アジア系の男のバイトがお釣りを250円出したわけ。
俺はイラっとしてバイトに「おにぎり2つが250円なのに、どうしてお釣りも同じ250円なんだ!?レジをやり直せ!」と言ってやったのよ。
そしたらレジ裏から店長らしきおっさんが出てきて「申し訳ありません。このバイト君もまだ慣れてない様なので。お代は結構ですのでこれからもよろしくお願いします。」
とおにぎり代をタダにしてくれたのよ。
まぁ、俺も誠意ある謝罪だったんで、納得できないながらも250円払って店を出たのよ。
で、100mくらい歩いて我に帰ったんだが、500円で250円の物を買えば、お釣りは250円でもいいんじゃないかと。
240円のお釣りは260円だからいいけど、ひょっとして250円のお釣りは250円の可能性があるって事に気付いたわけ。
これじゃあ、俺はただの馬鹿じゃねえかと考え、もうあのセブンじゃ買い物できなくなると思い、もう一回セブンに引き返したんだけど、さっきの店長らしきおっさんとバイトがなんか笑ってるのよ。
「あっ!これは俺のことで笑ってるな」と思ったんで、もう店に入ることはなく会社に向かった。
0111名無しさん@1周年2019/07/14(日) 07:15:26.82ID:77NwCXsk0
7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://imgur.com/upload
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。
日経 xTECHの取材で2019年7月12日までに分かった。
外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。
「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。
外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。
同認証システムは7payを含めて同社の複数のアプリが使っている。 0112名無しさん@1周年2019/07/14(日) 07:16:10.20ID:3Sm8mIgi0
やっぱりトークンが漏れてたか
0113名無しさん@1周年2019/07/14(日) 07:18:44.79ID:77NwCXsk0
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。
★7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。
あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。
「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。
前述の脆弱性と不正利用との関連は明らかになっていない。
0114名無しさん@1周年2019/07/14(日) 07:20:33.94ID:77NwCXsk0
> さらにハッシュ化されたパスワードまで取得できたという。
馬鹿かよ
パスワードの開示には他サイトは二重三重のセキュリティかけてるってのに