【7pay】セブンペイ、呆れた危機感のなさ。競合や消費増税で焦り?スマホ決済早くも正念場
■ このスレッドは過去ログ倉庫に格納されています
https://ascii.jp/elem/000/001/890/1890184/
セブン&アイ・ホールディングスは、7月1日から開始したQRコード決済サービス「セブンペイ(7pay)」のチャージならびに新規登録を停止すると発表した。
すでにチャージ済みの金額は利用可能だ。
7payに関しては、3日にSNS上で不正利用の被害を訴える声が相次いだ。サービス運営会社のセブン・ペイは同日、不正利用の発生を公表。
その後も被害が相次いでいたため、4日午後にセブン・ペイが会見を開いた。
筆者も記者会見に参加したが、セブン・ペイのセキュリティに対する危機感のなさっぷりに悲しい気持ちになってしまったほどだ。
「よくも、こんな認識の甘さでユーザーからお金を預かるサービスを提供できたな」と呆れるほどだった。
最たる例が、「2段階認証を導入しなかったのはなぜか」という記者からの質問だ。
●2段階認証を知らなかった可能性
ここ最近のWebサービスや、昨今のQRコード決済では、ユーザーを認証するにあたり、SMS(ショートメッセージサービス)を使ったものがトレンドになりつつある。
会員登録する際に携帯電話番号を入力させ、その番号にSMSを送信。本文中にある数字を打ち込んだり、URLを踏ませて本人確認をするというものだ。
メールでも同様に認証ができるが、SMSは世界にひとつしかない携帯電話番号を使った認証と言える。2段階認証は、ネットサービスを提供する上で、
もはや当たり前の機能と言っていい。
前述の「2段階認証を導入しなかったのはなぜか」という質問に対して、セブン・ペイの小林 強社長は「7payの基本設計は7iDで、セブンイレブンアプリがあって
7payがある。それらが連携して登録する」というトンチンカンな返事しかできていなかった。つまり、2段階認証を知らなかった可能性が極めて高いのだ。
●パスワードリセットに根本的な設計ミスか
また、7payではパスワードをリセットする際、別のメールアドレスに送信できる仕様となっていた。
これに対して別の幹部は「スマホのキャリアメールを使っている人の場合、パソコンからパスワードをリセットをかけた際に、
キャリアメールでは受け取れないことがある。そのために別のメールアドレスに送れるようにした」という。
確かに利便性という面では理解できなくもないが、そもそも最初に登録したメールアドレスにパスワードリセットの通知が来ないという仕組みは、
根本的に設計ミスではないだろうか。
セキュリティに対して万全の対策をしていたのかという質問に対しては、幹部は「サービス前にセキュリティ審査をしたが、脆弱性は指摘されなかった」と回答。
そもそもの設計思想自体が、他のPayサービス(サービス開始当初のPayPayを除く)に比べて圧倒的に劣っているにも関わらず、その認識すらなく、
自分たちの常識だけで、セキュリティレベルを決めていたことに呆れるばかりだ。
●決済サービスを止めない不可解
さらに理解できなかったのが、今回7payはクレジットカードや店頭レジ、ATMからのチャージは一時的に止めるが、決済サービスの利用は止めないという判断だ。
セブン・ペイでは海外からのアクセスを止めたことで被害を食い止められると説明して「利便性を優先した」としているが、決済サービスが継続されているとなれば、
多少なりとも被害が拡大する気がしてならない。
会見では被害総額が5500万円、被害に遭った人は900人というのが明らかにされた。コンビニで高額決済をするのは難しいが、
「比較的高額で換金性のあるタバコが買われたようだ」(セブン・ペイ社長)という。
しかし、これも現在精査中とのことで、数字が増える恐れもあるようだ。ちなみに、7payの全ユーザー数は150万だ。
●競合や消費増税で焦ったか?
今回の騒動を見るに、セブン・ペイとしては相当、焦りがあったではないか。
本来であればセブン-イレブンなのだから7月11日にサービス開始すればいいものを、7月1日にサービス開始日を持ってきた。
これはおそらく、ライバルであるファミリーマートが7月1日に「ファミペイ(FamiPay)」を開始するのを意識したのだろう。
また、10月には消費増税を控えている。キャッシュバックなどの優遇策が展開されることを考えると、早いタイミングでサービスを開始して、
ユーザーを獲得しておきたかったのではないか。
「焦りがあったのか」という質問に対して幹部は「安全性を確認した上でサービスを開始した。おざなりにはしていない」と語ったが、
今後、セキュリティの対策に時間がかかれば、消費増税の10月にすら間に合わない可能性も出てきた。 ●スマホ決済早くも正念場か
昨年のPayPayに続き、QRコード決済の普及に泥を塗ったことになった7pay。この2社による不正アクセス騒動によって、日本のQRコード決済が
早くも正念場を迎えてしまったのではないだろうか。 中国本土で大問題になってたのに、アホ過ぎるんだよwww パスワードの原則
・定期的に変える
・同じパスは二度と使わない
・他に使い回さない
・記号、大文字小文字、出来れば2バイト文字の1バイトカットなど複雑にする
・メモしない
・まして1つのファイルやノートで一元管理しない
・ロボフォームなどもってのほか
・二段階認証先の携帯のパスワード管理にも気を使う
・authenticationなどのワンタイムキーアプリは絶対に使わない 何年も前から
消費税増税が決まっているのに
なんで財務省も大企業もあたふたしているんすか???????????????????????????
バカなの??????????????????????????????????? >>6
定期的に変えるは否定されてなかったっけ(´・ω・`) 代表取締役社長の永松はダンマリ決め込んでるのか?
さっさと謝罪会見開けや! なんでこうも新しいものに飛び付くかね。
汎用性が高いSuicaしかずっと使ってないや。
使用カードの数を増やせば、それだけ面倒だろうに。 >>6
定期的に変更するのはアホ
お前取り残されてるよ なんで知らんのや
知らないならなんでシステムの説明できるやつ連れてこんのや 俺もよくリセットするけど、携帯に数字が送られてきたり、秘密の合言葉とかを設定して置いて、合わせたりするよな。 twitchpop 不正 チート 出会い厨 無職 中年 オナニー 無職 ハゲ >>13
社内では2段階認証とは言わずにWFAだから仕方がない >>6
>パスワードの原則
>・定期的に変える
今の原則はパスワードの定期的変更はしないってなってる
>・同じパスは二度と使わない
>・他に使い回さない
>・記号、大文字小文字、出来れば2バイト文字の1バイトカットなど複雑にする
>・メモしない
マスターパスワードが主流
簡単にアクセスできるところにメモしない、が正解
>・まして1つのファイルやノートで一元管理しない
>・ロボフォームなどもってのほか
わけわからん
>・二段階認証先の携帯のパスワード管理にも気を使う
その通り
1111 9999 0000 1234の使用率半端ないしな
>・authenticationなどのワンタイムキーアプリは絶対に使わない
00年代の方ですか? 役員が2段階認証知らないのはともかく、
まず技術的な質問が来ることを想定していれば
おのずと出席メンバーが決まるだろうに
もうその時点で、いろいろと想像力が欠如しているとしか Paypayもそうだけど、なんでわざわざQRコードを画面に出さないと決済できないのが流行っているの。
そのままスマフォを乗せるだけのEdyやSuicaの方がずっと楽だと思うけど。 レジ通る度にわざわざスマホ出してロック解除してアプリ立ち上げて…
面倒すぎ PayPayショック→7Payショック→次はどこだ!?
次でPayは完全に終わる気がする >>6
むしろ紙のノートとかに書いて家でしっかり保管して管理するほうが安全では?
サービスごとに違うパスワード設定してると覚えるのは現実的に不可能 セキュリティ審査したやつがアホ
審査する能力がないなら審査員なんてするな 7pay単独では欠陥は無いが、連携先のOmni7に欠陥があった
Omni7の欠陥を利用されて7payユーザーが被害にあった
って感じでは? PCからリセットした際登録したアドレスに通知届かないってどういうこと...?
全く別のアドレスからpass変更できるんか...? コンビニなんて名前からして基本毎日使うものなのに、
それまでの数秒で支払いが完了するシステムを、客に手間を取らせて数十秒かかるのに変えさせるとか。
ポイントだのランキングだのゲーム要素を持ち込んでいるけど、そういうの、迅速な決済が出来てからのお話っしょ。 >>27
導入コストがかかるから全部自分でやりたいといって
ケチるからこうなるんだよな
高いものには高いなりの理由があるのに Suicaだと上限2万円って壁があるんだっけ?
それでもコンビニで一気に2万円も使わない気がするけど >>26
>>27
まったくだよ。
ナナコがあるのに。
ナナコが使えなきゃ、SuicaやEⅮÝがあるよな。 中国の後追いなのにこの体たらく、日本も墜ちたもんだ >>34
このセキュリティ審査は、SQLインジェクションとか、既知の脆弱性を使った攻撃とか、
そういった実装のミスを審査したんでしょ?
仕様自体に欠陥があるかどうかを審査したわけじゃない
今後は仕様自体の欠陥も審査する必要がある >>40
コンビニは既にカードリーダーがあるから、導入コストは関係ない ナナコで良かったのになぜか中国のマネをする
またアホの二代目の実績作り? ところで7&Iは今日も爆揚げなんだけど
この7ペイの失敗はもう織り込んじゃったのかそれとも損害は軽微で無視できるってか >>17
N○○データに丸投げで、そこも丸投げしてたみたい
3次受け以下の一般社員を同席させる非常識は持ち合わせて無かったみたい しれっとナナコポイントも200円に1ポイントになったしな
誰も使わないだろ なるほどね、北朝鮮のハッカーの仕業だろうな
APT37とかAPT38だろ 7銀抱えてる7HDが知らん訳あるまい
7銀潰したいのかな スマホ1台だと仕事用と生活用を分けにくいから現金も多いけどこんなん聞くとますます遠のきそう… 「焦りがあったのか」という質問に対して幹部は「安全性を確認した上でサービスを開始した。おざなりにはしていない」
とあるけど、これならまだ、時間がなくて検証ができなかった、とかの方が数万倍マシだろう。
ようするに、安全性を確認して、問題ないと判断して、んでこの有様なんだろ? >>6
パスワードを定期的に変えるっていつの時代だよ?
定期的な変更は逆にパスワードの強度を下げる結果になって逆効果。 >>35
7payを実装したセブンアプリに欠陥があったんじゃね。
実装する以前からそれに犯人が気付いてて、サービス開始を手ぐすね引いて待っていたんだと思う。 >>49
FeliCa無し端末(中韓)で電子マネー使わせたかったんだろ 現金つかってるのは土人呼ばわりされようが犯罪者予備軍みたいに言われようが、もう当分キャッシュレスサービスは登録しない チャージと新規登録は止めたけど既にチャージ済みの残高は利用可で、
サービスを止めない神経はすごいな
セブンは盗っ人に対して、今のうちにチャージ残高使い切れと言ってるのと変わらんw 7-11って老舗だからもっとまともだと思っていた頃もありました。 「7payの基本設計は7iDで、セブンイレブンアプリがあって7payがある」
7payはあれで社内のセキュリティ審査を通ってるらしいので、
基本設計である7iDも同じレベルのセキュリティしかないってこと
こっちのほうがはるかにヤバイ問題だろう >>60
「スマホのキャリアメールを使っている人の場合、パソコンからパスワードをリセットをかけた際に、キャリアメールでは受け取れないことがある。そのために別のメールアドレスに送れるようにした」
だそうだ >>26
今までiPhoneはアプリでの決済が不可だった
満を持して導入したんけどこの有様。
ナナコマネー残高においても今までチャージした金額や信販会社経由で振替たマネーもアプリで決済できないと不満が 簡単に支払えるからSUICAなのに、セブンイレブンがJR東にシステム利用料払いたくないからと言う理由で、なんで購入者がわざわざ煩わしいQR決済せんとアカンねん?
なら現金でいいわwww >>69
iPhoneだろうがアプリで出来たっての
ナナコを紐付けしとけばいいだけだろ 現金でなくカードだと手早くスマートで世の中進化したなと思うけれど、
スマホを取り出してゴチャゴチャやってるのが何が素晴らしいのかよく分からない。
他人がやってて格好悪いとしか思わないからスマホ決済には移行しないね。 登録しちゃうと中国からアクセスされて
みんな情報抜かれちゃうんだぞ
怖くて登録なんか出来ない >>60
穴があるように作るのは基本
小さな穴を多数開けて、ボウル作ったつもりがザルって感じに仕上げる ファミペイと同じ日に始まって、向こうは二重認証に対応、セブンは非対応。
検討はされてたけど、納期最優先でセキュリティを実装する余裕がなかったんだろう
と想像がつくな。運用しながら徐々にセキュリティを実装していくつもりとか。 >>70
セキュリティには莫大な費用がかかることを理解してないアホ経営者どもの責任ではある。
カード会社が偽造カード防止や国が紙幣偽造防止のためにどれだけのお金を使ってると思っているのか。 ここが凄い日本のモノづくり(笑)
・スマホでApple、韓国中国にボロ負け
・ドローンで中国にボロ負け
・液晶パネルで韓国台湾にボロ負け
・半導体で台湾韓国にボロ負け
・有機ELで韓国にボロ負け
・メモリーで韓国にボロ負け
・PC関連で台湾にボロ負け
・電気自動車で中国にボロ負け
・太陽光パネルで中国にボロ負け
・AI自動運転技術で中国にボロ負け
・5Gで中国にボロ負け 既存の電子マネーでええやろ
QRとかレジでごちゃごちゃすんなやポイント乞食共 現金が使えるし、キャッシュレスならカードでやるっての
スイカみたいに公共交通機関の自動改札用ならともかく
一々決済方法を煩雑に増やすのは馬鹿のやること
リスクもその分増える 1980年代
日本「日本の製品は世界一!」
1990年代
日本「同じ値段なら品質は日本が世界一!」
2000年代
日本「小型化技術や安全性能なら日本が世界一!」
2010年代前半
日本「製品に使われている部品は日本のものが多い!」
2010年代後半
日本「あの製品やあの技術は日本が発祥!」
2020年代
日本「日本には四季があり水道水がたくさん飲める!」 >>69
俺、iPhoneだけど、セブンペイの導入日にアプリを探したけど無かったから、導入しなかった。
助かったかもだけど。 メールの再登録対策しろって言われたら
そのリンク使えなくするように消すだけとか、
保守要員まで最底辺SEしかいないって様子が伺える セブンネット時代はコンビニ受取りの先駆で便利だったからよく使ってたんだが
他がコンビニ受け取り始めてアドバンテージが無くなった頃から
扱い品や使い勝手がどんどん悪くなっていって、omniになった時点で退会したわ
実店舗でこれだけ大手の会社なのに、何でこんな糞システムにするんだろうと不思議だったよ >>80
実際、その可能性は高いよね
下請けからあそこのシステムはザルって情報が洩れてなかったら、
開始早々に組織的に穴をつくなんてできないから 便利なnanaco決済があったのに、ポイント率下げてまで
2手間も多いQR決済にする理由が分からん >>90
政府は煩雑に増やせとは言ってない
既存のキャッシュレス決済を推奨しただけ >>93
社会主義じゃないんだから、国が太鼓を叩けば踊りてはいくらでも沸いてくる。
あんたの思惑通りにしたきゃ、中国になるしかない。 >>80
中国人のIT単価は日本人超えたから、
ベトナム人だと思う セキュリティ審査したならそのセキュリティ審査した会社に損害賠償するだけだろ
そのくらいの契約を交わした上で審査してもらってるよな当然 会見見たけど、あまりに無知すぎたな
上に取り入ってのし上がってきただけな体育会系のバカという印象
今頃、部下や協力会社をパワハラまがいに当たり散らしてるんじゃないの? >>94
それを利用するかどうかは個人の判断だろ
お前の言う国が音頭取れば、の方が社会主義じゃねえか
馬鹿か >>46
そこしか見ないのは安い診断屋だ。セブンであれば大手を使いそうなもんだが、そこの現場も今や炎上してるんだろーなーw 新聞に中国からのアクセスと書いてあったから下請け中国だろ ■ このスレッドは過去ログ倉庫に格納されています