【7pay】「組織的攻撃の可能性」専用パスワードでも被害
■ このスレッドは過去ログ倉庫に格納されています
https://www3.nhk.or.jp/news/html/20190713/k10011992571000.html
7pay「組織的攻撃の可能性」専用パスワードでも被害
2019年7月13日 21時06分スマホ決済
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。
「7pay」をめぐっては、サービスを開始してまもない先週、不正利用が相次ぎ、これまで、利用者になりすましてたばこを買おうとしたとして中国人合わせて3人が逮捕されています。
こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がNHKの取材に応じました。
「7pay」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。
男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたということです。
不正アクセス事件では、過去に流出したパスワードから手当たりしだいに不正なログインを試みるいわゆる「リスト型攻撃」の被害が深刻になっていますが、専門家によりますと、男性の状況からはリスト型攻撃の可能性は低く、システムの弱点を悪用したり、「7pay」のシステムを攻撃したりしてIDやパスワードなどの情報が抜き出された可能性があるということです。
一方、「7pay」のシステムでは、第三者がパスワードを変更できた可能性が指摘されていますが、男性の場合、パスワードは変更されていませんでした。
「何者かがサーバーに侵入か」
(リンク先に続きあり) 攻撃を受けないシステムなんて無いのに結局杜撰な会社という事だよ >>661
前は便利だから使ってたけど、いろいろ不安になって今は300円しか入れてない。
ローソン銀行も同じようにヤヴァイんでねえの?
ジャパンネット銀行やSBIネットはトークン使ってるから一応安心だけど。 北朝鮮ならまだしも、韓国人にそんな能力あるかい!
捕まったやつらは中国人だし だから中国が絡んでる言ってるだろ
中国資本のペイペイを残すためだよ
後は攻撃対象
それで日本人の財布を牛耳る
そうすれば日本人が無抵抗になるからな
中国の国家的戦略だよ
いい加減気がつけお前ら
つまり7ぺイは日本企業でまともに運営をするってことよ 二段階認証だと手間と時間が掛かるからね。
手間と時間がかかっ電子マネーの利便性がなくなる。
だから7ではそれをやめた。 >>651
サイトごとのパスワードは大変だよね。
規則性があると見破られるし。 >>505
scott/tiger
ぢゃないの(´・ω・`)? >>671
手間軽減が安全性が引き替えになるようでは
本末転倒もいいところ
擁護するならもっとまともなことを言え 数回間違うとロックがかかったりしないの?
アタックチャンス無限回? >>675
デフォルトの生年月日を入力しさえすれば
(サイト側で固定)勝手にパスが変えられる設定で
アタックする必要すらなかった そいや前はオムニとか入れとくのためらうようなやつだったな >>674
養護する気はない。
7payの経営者が考えた道筋をトレースした。 次回からは、まず社員達だけで先行開始させて、
問題が出なければで。 セブンはもう参入諦めたほうがいい
参入業者多すぎだし
その中でもダントツにレベル低いしwww もう、nanacoでいいじゃん
国はQR推進するのやめろ Amazonジャパンもシナゴキブリ乗り入れ解放して
Amazonジャパン内にシナゴキブリスタッフ増やした途端に
アカウント乗っ取りが大量発生したんだよなあ
ほんと馬鹿 payで問題起こした2payはyahoo関連ってのがおもろいよな 5000万円とか、大した被害額じゃないな
コンビニじゃ換金性の高い商品が少ないから
早い者勝ちで開始直後に突っ込むシナ人らしいせっかちさ システム構築のプログラム開発で中国の会社に下請けに出していたのかな >>688
華為締め出しても、こういう連中がシステム開発の孫請けとかで
あんなことやこんなことを仕込んだり、あんな情報やこんな情報を
持ち出すから、意味無いんだよねw >>681
nanacoの還元率を引き下げた手前諦めることは無いと思う 中国企業がメインのシステム、アプリを開発しているという可能性は相当たかそう。
日本はまだノウハウはもっていないだろうし。
中国ですでに完成されたものを日本向けにちゃっちゃとカスタマイズした、そんなところでないの。
そもそも国内で決済を処理しているかもどうか疑わしい。
稼動したばかりだから不具合がでまくる、と。 アリペイの株主のソフトバンクでさえ、丸投げしてるかんじだ。
マルチQRコード決済サービスといって、日本の大手が見かけ上ひとつにまとめあげて、
パッケージとして、小売やQRコード決済事業者に販売するみたいな。
業者名だせないのは、中国企業が開発しているとなれば、
QRコード決済おししている空気にダメージを与えるから官民いったいで、阻止してるとか。 >>72
いろいろ調べた結果「ニコ技深圳コミュニティ」オフィスの看板の前でしゃべっているみたいだな。
ニコ技深圳コミュニティは当代の研究者が中国深圳に作ったオフィスで深圳はエコシステムが面白いから研究ツアーを組んで日本人の研究者が参加してる。
日本の企業が半年くらいかけて製品化するのに深圳は半日で設計して翌日に試作品が出来上がり3日目に生産ラインが動いて製品化される。
アマゾンに新製品がバンバン出現してるのがそう。
日本にいても何がどうなってるかわからないのであっちにいってるんだとさ。
・写真に写ってる看板はニコ技が入ってる深圳市賽格集団によって設立されたMaker向けオフィススペースSegMaker(深圳市賽格創業匯有限公司)
ttps://cdn-images-1.medium.com/max/1600/1*AM6JOLv1ad_Gvc_GB-bvpA.jpeg 組織的攻撃も糞も攻撃される前から壊れてたようなもんなのに馬鹿なの QRとか手書きでかけるようなものを推進する日本のお偉いさん。
業者から金もらってんだろうね。
その業者の後には中華IT企業。 >>659
中国客が欲しかったんだよw 察しろよw
ついでにオリンピックで押しかける外国人どもに合わせろって
外貨に目がくらんだ政府がうるさいんだよwww
いままで困ってなかったのにもかかわらずな! >>661
いちおう報道ではその銀行業からは何も参考にできてなかったというぞ
社長と言ってもただ座ってたんだろ >>138
パスワード回数制限かけると幹部がうるさいことが多いw
これは施行の段階か、設計で邪魔って言って外させた奴がいるなw
(SE側で最初からそう言う思考とか制限を外すとかありえんからな) >>521
Nスペが「人事も経理も中国へ」で警鐘鳴らしてたのが2007年9月3日(月)だった。
この時も大連。
近鉄百貨店が顧客データ入力させてて震え上がったな。
ttp://www6.nhk.or.jp/special/sp/detail/index.html?aid=20070903 >>521
あー、本当にヤバい!!
セブンが大連へ委託する目的
1.スピーディかつ高品質事務の実現
2.現状(日本国内での事務業務)に比べコスト削減を実現
3.海外拠点を災害発生時などの事務バックアップ拠点として活用
4.将来、事務レベルの効率化、高度化を実現し、他の金融機関などからの事務受託を展望
ttps://news.mynavi.jp/article/20120323-a088/images/001.jpg >>701
おかざりにしても責任は社長にあるわけよ
知らない分からないじゃすまされない
いざとなったら責任とらせるために飾ってるんだから これ内部犯いるな
何次請か知らんが中国に丸投げしちゃったかな
少なくとも中国組織の手にはシステム内部情報渡ってるな
あんな社長だったし金融系システムをセブン出すの駄目だろ >>705
それ東電東芝日立にいえればいいんだけどねぇ・・・ 内通はあるだろうが、この専用パスワードでもーってのは、外部ID連携と原因が同じなんでないかと思う。
例えば7ぺアカウント専用の認証サーバもOauth実装だったら、同じこと(数字列の書き換えでの詐称)が可能なんでないかと。
信販売買が通るのは、意味がわからないが。
取引時のパスワードを7ぺが記録する訳がない。 こうなると逆に外部ID連携のほうが安心な気がするが、なぜ外部IDを閉じたんだろう
原因を探るための経過的な措置なんだろうか 原因すらつかめてないんじゃ
新しく作った方が安全で確実だろうけど
ケチってちょっと改造するだけでそのままやろうとするんだろうな ■ このスレッドは過去ログ倉庫に格納されています
