【7pay】外部IDログイン停止
■ このスレッドは過去ログ倉庫に格納されています
https://www3.nhk.or.jp/shutoken-news/20190711/1000032592.html
7pay 外部IDログイン停止
07月11日 17時07分
不正利用が相次いだスマホ決済サービスの「7pay」について、「セブン&アイ・ホールディングス」は、被害の拡大を防ぐため12日からSNSなど外部のIDを利用したログインをできなくすることにしました。
7payの不正利用では、およそ900人が不正ログインの被害にあい、被害額は5500万円に上る可能性があり、会社は、7payへのチャージや新規登録を停止しています。
これに加えて12日午後からは、7payのアプリにログインする方法についても一部を制限することにしました。
具体的には、FacebookやLINE、それにYahoo! Japanなど5つの外部IDを利用したログインをできなくします。
ただ、会社が独自に発行する「7iD」と呼ばれるIDでは、これまで通りログインできるということです。
会社によりますと、不正利用の被害はおさまりつつあるということですが、外部の専門家の指摘を受けて今回の措置を決めたということです。
会社では、本人確認のための「2段階認証」の導入や、1日あたり30万円だったチャージの上限額の引き下げなどの対応策をすでに決めていて、原因の究明とともに今後もセキュリティー対策の強化を進める方針です。 セブン銀行も電話番号だけでパスワード変えれるみたいだけど大丈夫なんか? >>1
それよりも登録出来なかったせいでオニギリが貰え無かった
10日までやるって言ってただろ詐欺企業
謝罪と賠償しろや
オニギリ食わせろや セブンはダメダメだなあ
セキュリティの基本がわかってない NFCのほうがいいのに、なんで日本はこんな馬鹿なことしてるんだ? > 不正利用の被害はおさまりつつある
ということは今なお不正利用されまくってるってことかよ
それを承知していながらサービス停止しないで
ただ新規の登録を停止
見事に人柱だなw セブンのネット通販のオムニ7は、今も
グーグル、ツイッター、ヤフーとか、
どこからでもログインできるというセキュリティーの甘さ。 まずすべてをゼロにしろ。
ゲームのリセットするようなものだろ。 >>1
>不正利用の被害はおさまりつつある
収まってないのかよ?
まだ被害者増え続けてるってことだよな?
全面停止すべきじゃないの? まだチャージも新規登録もできないわけ? もうやめたら? 企業であることを
今どきこんな会社もあるんだと驚いたわ 電子マネーに貧乏人、コジキ、中国人、韓国人のイメージがべったり付いちゃってるんだけど
クレカを多機能化すりゃまだ良かったのに >>18
他社がやってるのに、自社がやらずに商機を逃したら責任問題になる
だとか
顧客の動向が分かればイベントの稟議も通しやすくなる
だとかって言う、安心面でどうしても踏み切ってしまう
そこんとこ分かった上で担当者に営業を仕掛けて、キンタマ握っちまうんだよな 7payって今後不正対策が充分にされたとして積極的に使いたいって思うお客さんそう多くない気がする
名前変えたりするのかな 東南アジアや中国なんて百円も出せば食いきれないくらい出てくるぞ 7のATMしか使わんから
ああとレジで振込支払いのみ
ざまあ この対応見てると非のないはずのセブンイレブン店舗ですら行きたくなくなってくるから不思議だわ。 関わってる人から事情聞いたよ
セブン側の担当者がとにかく無茶な納期を要求してたらしい >>22
オムニって気持ち悪い名前だがかの国と関係あるんか? >>36
せっかくだから
おにぎり、昨日、もらっておいた。
17日までだよ ところで不正にチャージされた人たちって補償されないの? 底が全部抜けたバケツをなんとか修理して使いますみたいなw いったん全部停止して単体テストからやり直せ
部分的に結合を解いたところで意味ないと思うぞ >>2
いつどこからいくら引き落とされました、とメール来るのはセブン銀行だけ
メールなんだからせめて金額と引き落とし先は伏せろよ
こんなセキュリティ感覚だと今後も不安で仕方ない >>38
オムニは英語だよ。
omni オムニバスのオムニ。
オモニじゃないw >>18
NFCは普及しなかっただろうが
それが欠陥なんだよ >>6
おにぎり一個貰うために40万持っていかれた爺さんかわいそう これだけ巨大な実体物流を構築しているのに
セブンネット〜OMNIのシステムの糞さに呆れて随分前から使わなくなった
昔は他にないコンビニ受け取りが便利で良く使ってたんだけどな 世のジジイとババアが全員くたばったらNFCで問題ないからバーコードなど要らん >>49
nfc type-fだかでfericaが吸収されたからなー FelicaもNFCの一種なのだが
日本の通勤ラッシュに対応するために高性能にしすぎて
結果として日本のガラパゴス規格で終わってしまったのが運の尽き
スマホにFelicaチップを搭載してないと使えないので
導入コストが高くつくうえに、日本向けスマホを持たない外国人観光客・ビジネスマンは利用できない >>41
第三者に不正使用されても知らね!とお問い合わせ案内で告知してたけど…
被害者を詐欺と見る事は出来ないとか何とか…
一応補償するっぽい。
当社は責任を一切負いません掲載時の写真
https://i.imgur.com/SAV6qJA.jpg なぜ別アプリじゃなくて7andyアプリに同梱したのか
まずはそこが疑問なのと、SNSのID連携によるリスク等について、時間たってからでいいから詳細知りたい >>57
導入する企業側がシステム組み上げる必要が有ったのも、普及には敷居が高くなってたわな… 【7/15まで無料頒布中!】
酩酊神ディオニューソスが女の子!?
ギリシャ喜劇作家アリストパネス「蛙」を
素材にした現代の童話。ルビ付き短編です。
アリストパネス 『蛙(かえる)』
https://twitter.com/0Idm3vd9TYmFDaQ/status/1148909141806555136
(直リンNGのためtwitterが開きます)dyl
https://twitter.com/5chan_nel (5ch newer account) 外部IDに2段階認証を設定しているので、そっちの方が安心感があるんだが Authy使えばよかったんじゃないの?
バカでも2段階使えるだろ、それなら。 友人は新規のメールアカウントとパスワード
他のサイトでは一切使用していない物で
7ペイを作ったら被害を受けたと言っていた
となると外部ID連携と漏洩は関係ないって事 キャッシュレス決済に関する監督官庁って基本的に経産省だよな?
これって金融庁とかもっとアタマの良い省庁に担当変えた方が良いんじゃねーのw omuni7ってのがそもそもログイン甘かった、そこに7payも使えるように機能追加した
これがね、もうね、俺も7/1見た時衝撃が走ったw
銀行口座(デビット専用の別口座)登録して試してみようかと思ってたけど、いきなり機能追加だったのでとりあえず様子見にしていたらこれだよ… セブングループの他のアカウントも
退会したほうがいいかな? 今日からはしばらくはpaypay使えよ。
セブンはペイペイに感謝しねーとなw >>57
suicaで調教された外人が現状のnfcに切れたから商機なのにねえ >>6
新規登録を再開したら貰えるようになるんじゃね?
それまでの辛抱だな。 社長、2段階認証知らなかったのにもうここまで勉強死んだな 2段階認証 って言葉だけ踊っているけど
個人的には、多要素認証で統一して欲しい 事件発表の前日知らずに登録したわ
まだ2回しか使ってないけどやっぱ面倒でも現金決済がいいのかね 銀行口座をスマホアプリでってのもそうなんだけど
あとWebページもそうだから、まぁ一般的に金預ける系サイトについては、認証については気を付け無いと狙われたらやられちゃうってことなので
そういうデジタル決済系専用のデビットカード(口座)作るのが、とりあえずの自衛策なんじゃないかな
給与口座とかメイン口座は別で、給料日とかの自動振り込みで決済専用口座にいくらか入れるという感じで…
おれは2つくらいそういうの持っているよ そこまでして提供するものなのかこれ?
そしてそこまでして使うものなのか? >>41
自分はヤマダのポイントを勝手に使われて警察に相談したら被害者が自分じゃなくてヤマダになるらしくて立件が難しいと言われたよ。クレカの不正利用だって被害者はカード会社になるんだろうから警察にとっては現金の方が楽だと思う メルペイだと被害起きても電話がないから、メールでやり取りをすることとなるwwwしかも、日本語の分からない外人の定型文コピペwww >>83
中ゴキ詐欺乙
そんな理由で御免ならそもそもだれもカードなど作らないんだよ 1日30万円って一体おにぎり何個買う想定してんだよ いつになったらチャージ再開するんだはよ再開しろや
再開の目処たたないんならnanacoのポイント元に戻せや! >>58
一切責任ないならそりゃセキュリティーザルになるわ 今日7月11日はセブンイレブンの日です。
皆さん、7payで買い物しましょう。 乞食決済なんて使いたくないね。
つか、そもセブンは"購買憂慮店"になったし(ファミマは忌避店) > 不正利用の被害はおさまりつつある
まだ続いてて笑った またこんな糞サービスのせいで情弱たちは「現金が一番」とか言い出して
未来永劫日本は現金払いが主流になっちまう なんか色々スマホ決済始めてみたけど、PayPayもLINE PayもD払いも1ヶ月で5000Pくらい溜まってた
セブンは使わないな ぽつんぽつんと後出し停止醜いね
いっそチャージ金全部返せよ 被害は収まりつつあるって、未だに被害受けてたんか? 7payだけ何か対策したって付け焼刃
7銀行やオムニ7共通の7idからして腐ってるんだからどうにもならんわな >>100
それがいやだから停止しないんだろw
本来ならゼロからやりなおさなきゃいけないレベルなのに 7-IDがセキュリティホールじゃないですかーやだー > 被害の拡大を防ぐため
被害拡大防ぐならサービス止めろよw >>101
そもそも使われた金は戻らないんじゃ?w さっきセブンでおにぎり2つ買ったんだけど、合計250円だったんで500円玉出したのよ。
そしたら東南アジア系の男のバイトがお釣りを250円出したわけ。
俺はイラっとしてバイトに「おにぎり2つが250円なのに、どうしてお釣りも同じ250円なんだ!?レジをやり直せ!」と言ってやったのよ。
そしたらレジ裏から店長らしきおっさんが出てきて「申し訳ありません。このバイト君もまだ慣れてない様なので。お代は結構ですのでこれからもよろしくお願いします。」
とおにぎり代をタダにしてくれたのよ。
まぁ、俺も誠意ある謝罪だったんで、納得できないながらも250円払って店を出たのよ。
で、100mくらい歩いて我に帰ったんだが、500円で250円の物を買えば、お釣りは250円でもいいんじゃないかと。
240円のお釣りは260円だからいいけど、ひょっとして250円のお釣りは250円の可能性があるって事に気付いたわけ。
これじゃあ、俺はただの馬鹿じゃねえかと考え、もうあのセブンじゃ買い物できなくなると思い、もう一回セブンに引き返したんだけど、さっきの店長らしきおっさんとバイトがなんか笑ってるのよ。
「あっ!これは俺のことで笑ってるな」と思ったんで、もう店に入ることはなく会社に向かった。 7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://imgur.com/upload
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。
日経 xTECHの取材で2019年7月12日までに分かった。
外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。
「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。
外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。
同認証システムは7payを含めて同社の複数のアプリが使っている。 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。
★7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。
あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。
「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。
前述の脆弱性と不正利用との関連は明らかになっていない。 > さらにハッシュ化されたパスワードまで取得できたという。
馬鹿かよ
パスワードの開示には他サイトは二重三重のセキュリティかけてるってのに ■ このスレッドは過去ログ倉庫に格納されています