X



【7pay】外部IDログイン停止
■ このスレッドは過去ログ倉庫に格納されています
0001みつを ★2019/07/11(木) 17:13:36.17ID:iplHW2Q09
https://www3.nhk.or.jp/shutoken-news/20190711/1000032592.html

7pay 外部IDログイン停止
07月11日 17時07分

不正利用が相次いだスマホ決済サービスの「7pay」について、「セブン&アイ・ホールディングス」は、被害の拡大を防ぐため12日からSNSなど外部のIDを利用したログインをできなくすることにしました。

7payの不正利用では、およそ900人が不正ログインの被害にあい、被害額は5500万円に上る可能性があり、会社は、7payへのチャージや新規登録を停止しています。
これに加えて12日午後からは、7payのアプリにログインする方法についても一部を制限することにしました。
具体的には、FacebookやLINE、それにYahoo! Japanなど5つの外部IDを利用したログインをできなくします。
ただ、会社が独自に発行する「7iD」と呼ばれるIDでは、これまで通りログインできるということです。
会社によりますと、不正利用の被害はおさまりつつあるということですが、外部の専門家の指摘を受けて今回の措置を決めたということです。
会社では、本人確認のための「2段階認証」の導入や、1日あたり30万円だったチャージの上限額の引き下げなどの対応策をすでに決めていて、原因の究明とともに今後もセキュリティー対策の強化を進める方針です。
0002名無しさん@1周年2019/07/11(木) 17:14:42.77ID:tGWtDXth0
セブン銀行も電話番号だけでパスワード変えれるみたいだけど大丈夫なんか?
0003名無しさん@1周年2019/07/11(木) 17:15:02.43ID:ICoz7EUR0
最初からやれ
0004名無しさん@1周年2019/07/11(木) 17:15:03.57ID:Wr66FvD70
7を利用する必要のなかった俺は勝ち組だな
0006名無しさん@1周年2019/07/11(木) 17:15:16.45ID:j8gECvlF0
>>1
それよりも登録出来なかったせいでオニギリが貰え無かった
10日までやるって言ってただろ詐欺企業
謝罪と賠償しろや
オニギリ食わせろや
0008名無しさん@1周年2019/07/11(木) 17:15:55.34ID:tMjci7gj0
セブンはダメダメだなあ
セキュリティの基本がわかってない
0011名無しさん@1周年2019/07/11(木) 17:16:39.60ID:wgz2n3JI0
俺も数えてないけど100個くらい登録したのに…
0012名無しさん@1周年2019/07/11(木) 17:16:41.71ID:8W7dInX40
オムニのほうは大丈夫?
0016名無しさん@1周年2019/07/11(木) 17:18:02.23ID:8nDtbcud0
いや全部いったん停止しろよ
中途半端はヤバいぞ
0017名無しさん@1周年2019/07/11(木) 17:18:17.78ID:aYZO0BYO0
コンクリで固めちゃうのか?
0018名無しさん@1周年2019/07/11(木) 17:18:21.95ID:robjbr8j0
NFCのほうがいいのに、なんで日本はこんな馬鹿なことしてるんだ?
0020名無しさん@1周年2019/07/11(木) 17:19:19.69ID:8fS9sxjV0
> 不正利用の被害はおさまりつつある

ということは今なお不正利用されまくってるってことかよ
それを承知していながらサービス停止しないで
ただ新規の登録を停止

見事に人柱だなw
0021名無しさん@1周年2019/07/11(木) 17:19:48.18ID:J3lDcnm+0
レジ袋の話とも絡んでる政府案件なのかもなー
0022名無しさん@1周年2019/07/11(木) 17:20:25.26ID:wcb45w7h0
セブンのネット通販のオムニ7は、今も
グーグル、ツイッター、ヤフーとか、
どこからでもログインできるというセキュリティーの甘さ。
0023名無しさん@1周年2019/07/11(木) 17:20:43.21ID:NbyqdWi50
まずすべてをゼロにしろ。
ゲームのリセットするようなものだろ。
0024名無しさん@1周年2019/07/11(木) 17:20:49.08ID:PBev4ylE0
>>1
>不正利用の被害はおさまりつつある

収まってないのかよ?
まだ被害者増え続けてるってことだよな?
全面停止すべきじゃないの?
0025名無しさん@1周年2019/07/11(木) 17:21:27.29ID:7wBhC/0l0
まだチャージも新規登録もできないわけ? もうやめたら? 企業であることを
今どきこんな会社もあるんだと驚いたわ
0026名無しさん@1周年2019/07/11(木) 17:21:31.61ID:f6euQPQV0
電子マネーに貧乏人、コジキ、中国人、韓国人のイメージがべったり付いちゃってるんだけど
クレカを多機能化すりゃまだ良かったのに
0027名無しさん@1周年2019/07/11(木) 17:21:41.56ID:aQxNkRKn0
>>18
他社がやってるのに、自社がやらずに商機を逃したら責任問題になる
だとか
顧客の動向が分かればイベントの稟議も通しやすくなる
だとかって言う、安心面でどうしても踏み切ってしまう

そこんとこ分かった上で担当者に営業を仕掛けて、キンタマ握っちまうんだよな
0028名無しさん@1周年2019/07/11(木) 17:23:09.16ID:hM3ueHTZ0
おにぎり一個百円とか高えよ
0029名無しさん@1周年2019/07/11(木) 17:23:19.74ID:7axk5tD/0
7payって今後不正対策が充分にされたとして積極的に使いたいって思うお客さんそう多くない気がする
名前変えたりするのかな
0030名無しさん@1周年2019/07/11(木) 17:24:09.64ID:hM3ueHTZ0
東南アジアや中国なんて百円も出せば食いきれないくらい出てくるぞ
0031名無しさん@1周年2019/07/11(木) 17:24:50.79ID:RjX8pXOk0
まてまて、おまえんとこのIDの方がヤバくないか?
0032名無しさん@1周年2019/07/11(木) 17:24:51.97ID:xUKhus1o0
7のATMしか使わんから
ああとレジで振込支払いのみ
ざまあ
0034名無しさん@1周年2019/07/11(木) 17:25:26.22ID:robjbr8j0
>>27
組織としてバカなんだな
0035名無しさん@1周年2019/07/11(木) 17:25:38.46ID:ZSDvZZxg0
この対応見てると非のないはずのセブンイレブン店舗ですら行きたくなくなってくるから不思議だわ。
0037名無しさん@1周年2019/07/11(木) 17:27:00.31ID:YEUvZtj00
関わってる人から事情聞いたよ
セブン側の担当者がとにかく無茶な納期を要求してたらしい
0039名無しさん@1周年2019/07/11(木) 17:27:19.15ID:98WnZdnh0
中国人犯罪者を舐めすぎなんだよ>>1
0040名無しさん@1周年2019/07/11(木) 17:28:08.96ID:wcb45w7h0
>>36
せっかくだから
おにぎり、昨日、もらっておいた。
17日までだよ
0041名無しさん@1周年2019/07/11(木) 17:28:43.64ID:SSmILMNI0
ところで不正にチャージされた人たちって補償されないの?
0043名無しさん@1周年2019/07/11(木) 17:29:10.96ID:8FCXEUEd0
底が全部抜けたバケツをなんとか修理して使いますみたいなw
0044名無しさん@1周年2019/07/11(木) 17:29:16.21ID:8nDtbcud0
いったん全部停止して単体テストからやり直せ
部分的に結合を解いたところで意味ないと思うぞ
0045名無しさん@1周年2019/07/11(木) 17:29:40.70ID:zDiMUi4m0
>>2
いつどこからいくら引き落とされました、とメール来るのはセブン銀行だけ
メールなんだからせめて金額と引き落とし先は伏せろよ
こんなセキュリティ感覚だと今後も不安で仕方ない
0046名無しさん@1周年2019/07/11(木) 17:29:48.82ID:/eeq5Y7L0
>本人確認のための「2段階認証」の導入

0047名無しさん@1周年2019/07/11(木) 17:30:51.07ID:wcb45w7h0
>>38
オムニは英語だよ。
omni オムニバスのオムニ。

オモニじゃないw
0048名無しさん@1周年2019/07/11(木) 17:32:21.99ID:P/+LXNvl0
そもそも本来の居住地以外の決済通すなよ
共犯
0051名無しさん@1周年2019/07/11(木) 17:36:52.39ID:TZeKtQgF0
>>6
おにぎり一個貰うために40万持っていかれた爺さんかわいそう
0053名無しさん@1周年2019/07/11(木) 17:39:14.57ID:I3FrC52s0
これだけ巨大な実体物流を構築しているのに
セブンネット〜OMNIのシステムの糞さに呆れて随分前から使わなくなった
昔は他にないコンビニ受け取りが便利で良く使ってたんだけどな
0054名無しさん@1周年2019/07/11(木) 17:39:43.48ID:b28ldWKB0
世のジジイとババアが全員くたばったらNFCで問題ないからバーコードなど要らん
0057名無しさん@1周年2019/07/11(木) 17:43:53.07ID:+Q69yS4l0
FelicaもNFCの一種なのだが
日本の通勤ラッシュに対応するために高性能にしすぎて
結果として日本のガラパゴス規格で終わってしまったのが運の尽き

スマホにFelicaチップを搭載してないと使えないので
導入コストが高くつくうえに、日本向けスマホを持たない外国人観光客・ビジネスマンは利用できない
0058名無しさん@1周年2019/07/11(木) 17:46:09.01ID:Sjc9s42K0
>>41
第三者に不正使用されても知らね!とお問い合わせ案内で告知してたけど…
被害者を詐欺と見る事は出来ないとか何とか…
一応補償するっぽい。

当社は責任を一切負いません掲載時の写真
https://i.imgur.com/SAV6qJA.jpg
0059名無しさん@1周年2019/07/11(木) 17:48:44.94ID:KFHLXQKT0
今頃か
話にならん
0060名無しさん@1周年2019/07/11(木) 17:52:59.69ID:YTcEpRKW0
なぜ別アプリじゃなくて7andyアプリに同梱したのか
まずはそこが疑問なのと、SNSのID連携によるリスク等について、時間たってからでいいから詳細知りたい
0061名無しさん@1周年2019/07/11(木) 17:53:06.67ID:Sjc9s42K0
>>57
導入する企業側がシステム組み上げる必要が有ったのも、普及には敷居が高くなってたわな…
0063名無しさん@1周年2019/07/11(木) 17:54:38.81ID:7TdAyCKB0
外部IDに2段階認証を設定しているので、そっちの方が安心感があるんだが
0065名無しさん@1周年2019/07/11(木) 17:57:51.34ID:b28ldWKB0
Authy使えばよかったんじゃないの?
バカでも2段階使えるだろ、それなら。
0066名無しさん@1周年2019/07/11(木) 17:58:38.11ID:KQB6PhKy0
友人は新規のメールアカウントとパスワード
他のサイトでは一切使用していない物で
7ペイを作ったら被害を受けたと言っていた
となると外部ID連携と漏洩は関係ないって事
0067名無しさん@1周年2019/07/11(木) 17:58:57.77ID:spt4yS890
キャッシュレス決済に関する監督官庁って基本的に経産省だよな?

これって金融庁とかもっとアタマの良い省庁に担当変えた方が良いんじゃねーのw
0068名無しさん@1周年2019/07/11(木) 18:05:45.69ID:YTcEpRKW0
omuni7ってのがそもそもログイン甘かった、そこに7payも使えるように機能追加した
これがね、もうね、俺も7/1見た時衝撃が走ったw
銀行口座(デビット専用の別口座)登録して試してみようかと思ってたけど、いきなり機能追加だったのでとりあえず様子見にしていたらこれだよ…
0069名無しさん@1周年2019/07/11(木) 18:09:32.23ID:NAlQBmd10
セブングループの他のアカウントも
退会したほうがいいかな?
0070名無しさん@1周年2019/07/11(木) 18:10:23.74ID:/Cpbjhkm0
今日からはしばらくはpaypay使えよ。
セブンはペイペイに感謝しねーとなw
0071名無しさん@1周年2019/07/11(木) 18:11:32.19ID:5NKYLtx70
セブンぽいー
0072名無しさん@1周年2019/07/11(木) 18:13:18.75ID:J3lDcnm+0
>>57
suicaで調教された外人が現状のnfcに切れたから商機なのにねえ
0073名無しさん@1周年2019/07/11(木) 18:13:28.10ID:gnsQdPhO0
>>6
新規登録を再開したら貰えるようになるんじゃね?
それまでの辛抱だな。
0074名無しさん@1周年2019/07/11(木) 18:16:58.94ID:4O07WB7o0
社長、2段階認証知らなかったのにもうここまで勉強死んだな
0075名無しさん@1周年2019/07/11(木) 18:17:50.63ID:YTcEpRKW0
2段階認証 って言葉だけ踊っているけど
個人的には、多要素認証で統一して欲しい
0076名無しさん@1周年2019/07/11(木) 18:18:56.77ID:pz2aG3+U0
事件発表の前日知らずに登録したわ
まだ2回しか使ってないけどやっぱ面倒でも現金決済がいいのかね
0077名無しさん@1周年2019/07/11(木) 18:21:46.25ID:YTcEpRKW0
銀行口座をスマホアプリでってのもそうなんだけど
あとWebページもそうだから、まぁ一般的に金預ける系サイトについては、認証については気を付け無いと狙われたらやられちゃうってことなので
そういうデジタル決済系専用のデビットカード(口座)作るのが、とりあえずの自衛策なんじゃないかな

給与口座とかメイン口座は別で、給料日とかの自動振り込みで決済専用口座にいくらか入れるという感じで…
おれは2つくらいそういうの持っているよ
0079名無しさん@1周年2019/07/11(木) 18:29:40.87ID:65UQ4fyi0
全部止めて返金しろよ
0082名無しさん@1周年2019/07/11(木) 18:32:15.50ID:JaSJSXvB0
そこまでして提供するものなのかこれ?
そしてそこまでして使うものなのか?
0083名無しさん@1周年2019/07/11(木) 18:37:21.60ID:1C3hO2gA0
>>41
自分はヤマダのポイントを勝手に使われて警察に相談したら被害者が自分じゃなくてヤマダになるらしくて立件が難しいと言われたよ。クレカの不正利用だって被害者はカード会社になるんだろうから警察にとっては現金の方が楽だと思う
0084名無しさん@1周年2019/07/11(木) 18:42:17.73ID:mHrE1/Ry0
メルペイだと被害起きても電話がないから、メールでやり取りをすることとなるwwwしかも、日本語の分からない外人の定型文コピペwww
0085名無しさん@1周年2019/07/11(木) 18:48:43.28ID:MN47VkGA0
>>83
中ゴキ詐欺乙
そんな理由で御免ならそもそもだれもカードなど作らないんだよ
0086名無しさん@1周年2019/07/11(木) 18:54:52.68ID:rDLy9AVu0
1日30万円って一体おにぎり何個買う想定してんだよ
0087名無しさん@1周年2019/07/11(木) 18:55:00.53ID:huJkFaq10
ダダモレpay
0088名無しさん@1周年2019/07/11(木) 18:56:38.02ID:/cnTNuak0
いつになったらチャージ再開するんだはよ再開しろや
再開の目処たたないんならnanacoのポイント元に戻せや!
0092名無しさん@1周年2019/07/11(木) 19:50:23.56ID:sjJ5vHeK0
今日7月11日はセブンイレブンの日です。
皆さん、7payで買い物しましょう。
0093名無しさん@1周年2019/07/11(木) 19:56:54.19ID:OfJnv2nE0
ナナコはどうなるニカ?
0094名無しさん@1周年2019/07/11(木) 19:57:36.56ID:gtxq70VV0
もうサービス停止したら?
0095名無しさん@1周年2019/07/11(木) 19:58:44.82ID:qz/bxG4r0
乞食決済なんて使いたくないね。
つか、そもセブンは"購買憂慮店"になったし(ファミマは忌避店)
0096名無しさん@1周年2019/07/11(木) 19:59:14.65ID:0MAqSvzH0
> 不正利用の被害はおさまりつつある

まだ続いてて笑った
0098名無しさん@1周年2019/07/11(木) 21:10:41.31ID:fdWMhAsc0
またこんな糞サービスのせいで情弱たちは「現金が一番」とか言い出して
未来永劫日本は現金払いが主流になっちまう
0099名無しさん@1周年2019/07/11(木) 21:17:46.01ID:mXZ8PtAM0
なんか色々スマホ決済始めてみたけど、PayPayもLINE PayもD払いも1ヶ月で5000Pくらい溜まってた
セブンは使わないな
0100名無しさん@1周年2019/07/11(木) 21:21:00.85ID:BPrckmoQ0
ぽつんぽつんと後出し停止醜いね
いっそチャージ金全部返せよ
0101名無しさん@1周年2019/07/11(木) 21:23:27.66ID:ctYnDQWQ0
被害は収まりつつあるって、未だに被害受けてたんか?
0102名無しさん@1周年2019/07/11(木) 21:24:33.15ID:BPrckmoQ0
7payだけ何か対策したって付け焼刃
7銀行やオムニ7共通の7idからして腐ってるんだからどうにもならんわな
0103名無しさん@1周年2019/07/11(木) 21:26:07.10ID:+Q69yS4l0
>>100
それがいやだから停止しないんだろw
本来ならゼロからやりなおさなきゃいけないレベルなのに
0106名無しさん@1周年2019/07/12(金) 00:10:50.25ID:JKGyPChI0
7-IDがセキュリティホールじゃないですかーやだー
0107名無しさん@1周年2019/07/12(金) 00:42:37.94ID:s1ikO/iY0
> 被害の拡大を防ぐため

被害拡大防ぐならサービス止めろよw
0109名無しさん@1周年2019/07/12(金) 01:53:06.29ID:FnMiNuRH0
誰が補償するんだろ。規約通り補償なしかな?
0110名無しさん@1周年2019/07/12(金) 11:03:50.58ID:Wa1rp6Yz0
さっきセブンでおにぎり2つ買ったんだけど、合計250円だったんで500円玉出したのよ。
そしたら東南アジア系の男のバイトがお釣りを250円出したわけ。
俺はイラっとしてバイトに「おにぎり2つが250円なのに、どうしてお釣りも同じ250円なんだ!?レジをやり直せ!」と言ってやったのよ。
そしたらレジ裏から店長らしきおっさんが出てきて「申し訳ありません。このバイト君もまだ慣れてない様なので。お代は結構ですのでこれからもよろしくお願いします。」
とおにぎり代をタダにしてくれたのよ。
まぁ、俺も誠意ある謝罪だったんで、納得できないながらも250円払って店を出たのよ。
で、100mくらい歩いて我に帰ったんだが、500円で250円の物を買えば、お釣りは250円でもいいんじゃないかと。
240円のお釣りは260円だからいいけど、ひょっとして250円のお釣りは250円の可能性があるって事に気付いたわけ。
これじゃあ、俺はただの馬鹿じゃねえかと考え、もうあのセブンじゃ買い物できなくなると思い、もう一回セブンに引き返したんだけど、さっきの店長らしきおっさんとバイトがなんか笑ってるのよ。
「あっ!これは俺のことで笑ってるな」と思ったんで、もう店に入ることはなく会社に向かった。
0111名無しさん@1周年2019/07/14(日) 07:15:26.82ID:77NwCXsk0
7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://imgur.com/upload

セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。
日経 xTECHの取材で2019年7月12日までに分かった。
外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。
「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。
外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。
同認証システムは7payを含めて同社の複数のアプリが使っている。
0112名無しさん@1周年2019/07/14(日) 07:16:10.20ID:3Sm8mIgi0
やっぱりトークンが漏れてたか
0113名無しさん@1周年2019/07/14(日) 07:18:44.79ID:77NwCXsk0
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。
★7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。
あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。
「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。
前述の脆弱性と不正利用との関連は明らかになっていない。
0114名無しさん@1周年2019/07/14(日) 07:20:33.94ID:77NwCXsk0
> さらにハッシュ化されたパスワードまで取得できたという。

馬鹿かよ
パスワードの開示には他サイトは二重三重のセキュリティかけてるってのに
■ このスレッドは過去ログ倉庫に格納されています

ニューススポーツなんでも実況