【IT犯罪】セブンペイ不正、「たばこ爆買い」が指す中国組織の影
■ このスレッドは過去ログ倉庫に格納されています
https://www.nikkei.com/article/DGXMZO47145030Z00C19A7EA1000/
スマートフォン決済サービス「セブンペイ」の不正利用事件は、電子決済のセキュリティーの甘さをつき、匿名性の高いインターネットツールを悪用した国際サイバー犯罪だ。900人分のIDが乗っ取られ、5千万円を超える被害を許した。大半が加熱式たばこの購入に使われたことから、中国の組織の関与が強く疑われている。
西武新宿駅(東京都新宿区)近くのセブンイレブン。3日午前10時20分ごろ、若い男がカウンターの店員に片言の英語で話しかけた。加熱式たばこ「アイコス」のカートリッジを表示したスマホ画面を見せ、銘柄ごとの個数を指定。セブンペイで計146カートン(73万円相当)を決済した。
この日、セブンペイで大量のたばこがまとめ買いされる異様な事態が各地のセブンイレブンで起きていた。犯行グループの指示役が伝えたIDとパスワードを使い、購入役がクレジットカードからの多額のチャージ(入金)と決済を繰り返したが、被害に気づかない利用者も多かった。
外国人犯罪に詳しい捜査員は「中国の犯罪組織が背後にいる」とみる。中国人のグループが電子マネーなどを使い、たばこをだまし取る事件が近年目立つという。
たばこの専売制をとる中国では加熱式たばこなどは公には売られていない。若い世代を中心に高い需要があり、別の事件では、詐取したたばこを国際スピード郵便(EMS)で中国に送り、日本の定価の6割で販売していた組織もあった。
捜査員は「電化製品は値動きが大きい。今はたばこの方が確実な転売益を狙える」と明かす。
「午前8時1分、3万円」「午前8時38分、3万円」。静岡県の男性(58)は3日、セブンペイの利用履歴を見て言葉を失った。40分足らずの間に計19万円が勝手にチャージされていた。自分がチャージした5千円を含む19万5千円全額が同9時6分までに自宅から約130キロ離れた東京都の2店舗で使われた。
「2段階認証」を採用せず、ID乗っ取りへの防御力が弱かったセブンペイ。犯行グループはまず海外から不正なログインやチャージを試し、対策が講じられる前に一斉にまとめ買いに走ったとみられる。
「身に覚えのない取引がある」。運営会社に初めて問い合わせがあったのは2日夕。調査すると、中国を中心に海外からアクセスが集中していた。犯行グループがIDやパスワードの入力を繰り返し、乗っ取りを試した形跡とみられている。
他人のIDに勝手にログインするのは不正アクセス禁止法に違反する。だが、海外では捜査機関の身元照会に応じないサーバー業者が多い。発信元が匿名化されれば、追跡はさらに難しくなる。
不正ログインの成功を確認し、次の段階はセブンペイを国内でどう使うか。今回、購入役らを集めるために使われたのが中国の対話アプリ「微信(ウィーチャット)」だった。医薬品の横流しなど、中国人が絡む犯罪で使われることもある。
日中間には刑事共助条約があり、アプリ利用者の身元照会はできる。しかし、やりとりには時間がかかり、その間に記録がサーバーから消えてしまう。警視庁が逮捕した購入役ら2人の中国人は「指示役と面識はない」と供述した。セキュリティー関係者は「中枢に捜査が及ばない方法を選んでいる」と指摘する。
中国人グループが無断で他人のIDなどを使う事件は電子決済サービス「アップルペイ」や、ポイントカード大手「Tカード」でも発生し、そのたびに異なる手法が明らかになった。国際大学GLOCOM客員研究員の楠正憲氏は「不正利用を抑止するためにも、セブンペイが乗っ取られた原因を徹底的に検証すべきだ」と指摘している。 >>27
中国が自国以外のシステムによるQR決済を妨害するためにやったとか?
確かPayPayとかって中国のシステムそのまんま使ってるんだよね >>29
大手SIer連合。もう5ちゃんやTwitterで話題になってる >>3
どっちにしろアマでさっさと買い物しないと番号停止されちゃうでしょ これアプリ開発側にいた人が絡んでると思う
どういう脆弱性があるか最初から知ってた側の人間
以前 IT土方やってたけど...
大企業の開発末端は、俺含めて一山いくらの人材をその場しのぎで投入してる。
どこの馬の骨とも知れない中国人なんかが基幹プロジェクトに使われてる。
中抜き中間業者(←クソ) が3重4重もあってマトモな身元確認をしているわけがない。真っ黒ですわ。 そもそもどういうルートでIDとパスワードが流出したんだ? 中国丸投げシステムだからね
全部筒抜けだよ マイナンバーと一緒 外国人が来日して買い物が便利になる為に、QRキャッシュレスにしたのに
中国人に大規模不正されてどうすんだよ。
これを本末転倒という。 >>80
IDはメールアドレス
パスワードはパスワード変更手続きを任意のメールアドレスに送信してパスワード変更可能な仕様
パスワード変更時に生年月日が必要だが、生年月日を省略してID登録可能
さらに、生年月日を省略してID登録されたときのデフォルトの生年月日を公開
つまりメールアドレスを拾って来れば(事前に収集されたメールアドレスがあれば)
ID乗っ取りが可能だったらしい 楽天カードから不正利用の連絡が来たので
怖くなって限度額を10前にした グループ内でのサービス展開だし、高額商品は身分証提示で基本ふせげた事件。
ペイペイもセブンペイもわざとやってんじゃないかなとおもう。 これ不正利用っていうけど道端に鍵のかかってない金庫が落ちてたとして
中に金入ってたら取るかどうかという話で、もちろん盗んだ側が悪いのは当然だけど
そもそもそんなもの落とすなという話 >>64
システム管理部門が二段階認証を知らなかったのがあり得ねーって話 >>89
セブンのシステム関係の部門って詳細は知らないけど基本全部叩き上げなんじゃないの
開発を受注した会社は絶対に知ってるだろうけど
セブン内部で仕様だけ作って指示が「全て仕様通り」だったんだと思う
開発した受注元は恐らく助言というかこういう危険性がありますと伝えてるはずで
そんな応対もなかったとなればセブン側に理解できる人がいなくて
まぁ顧客がそういうならってんでその通りに作っちゃったんじゃないかな
管理部門、ああいう本部的なとこって年食ったら現場から引っこ抜かれるから
年配しかいないと思えば全然ありうる若いのは派遣と事務だけとかな 今回の開発はtwitterで名指しされてる大企業連合ではなく、
3000人規模会社の中堅sierらしいぞ >>87
ほんと
そのくらいあり得ない屑システムだったのが7payだわな
窃盗団はサービス開始を準備を整えて手ぐすね引いて待ってただろう >>79
俺もそんな気がしてた。
納期がめちゃくちゃ短かったとかいうニュースのスレがないね。 >>11
というか、もともと
毛沢東自身が地方の山賊集団の棟梁で
それが大きくなって、犯罪集団とは名乗れないから
中国共産党
と自称しただけ
犯罪組織がそのまま国を乗っ取ってしまった >>16
ポイントカードやクレジット決済手数料は、購入する商品に転嫁されてるわけで
おまいは他の人がもらうポイントを負担してるんだが
知らないってことは幸せなことで、ある意味勝ち組なのかもな 奈々子とか日本のシステムで良いだろうに。
なんでQRなんだよ? >>90
とある深夜
下請A「設計変更しないとセキュリティ的にやばいですよ」
元請「あぁ?納期あんだぞわかってんのか?破ったらテメーのせーだかんな」
翌朝
元請「あーオタクのAとかいうの、あれなんなん?ウダウダ文句ばっか垂れてっとお前んトコ外すぞコラ」
下請C「もしもし…いいネタあるあるよ」 中国は犯罪に厳しくて、麻薬の運搬に関わっただけで死刑だったりする。
日本は仕事しやすそう。
にもかかわらず、中国人、韓国人を大量に移民させて馬鹿みたい
自国語の中国語だけで末端の作業をさせられる中国人がたっくさんいる 東京は豊島区の池袋、
北口すぐのお菓子屋さんが入っているビル
中国語のフリーペーパーをもらいに行くとおもしろいよ そういうのは一人っ子政策(2015までつづいた)にあぶれた無戸籍のやつらだろう
兄の戸籍つかって違法に入国してんだろ セブンイレブンで公共料金の支払いするの止める
二重払いになるとかありそう >>101
これな
日本のITは上がチンピラか詐欺師しかいないから先がない 麻薬覚醒剤が原因で死んでる人間の数 α
タバコが原因で死んでる人間の数 β
α×8000≒β
つまりタバコは麻薬覚醒剤の8000倍、悪
WHO発表
喫煙が原因で毎年700万人の死者
受動喫煙が原因で毎年60万人の死者
経済的損失は毎年155兆円
タバコを麻薬指定しろ
パチ屋に出入りすると乱視になり、空気中の成分で白内障緑内障のリスクも大!!老後に響く
国民に広がる共通認識
タバコNG
パチンコスロットNG
人生の終末期、「後悔」の二文字を防ぐために… 日本の現金主義は、中国人のような劣等民族から日本を守っているんだわ。 転売目的の購入だから
アリババの恒例の「独身の日」のためだろ >>1
スマホの画面を見せた
最近多いね、こういう中国人。
処方箋が必要なお薬まで
この手で小さな薬局に駆け込むのさ。
薬局の人が捌ききれないくらい。 >>79
ちゅうごくでオフショア開発している大手も多いみたいだしね インフラ騙るのはやめましょう。
チャイナにカネ取られて…穴埋めにFCオーナーじ さつさせて保険金受けて…セブン銀行は取りつけ騒ぎレベルだよね。
ATMにキムチぶちまけるなよ。 これ、損したのセブンイレブンだけだろ?
俺たち関係ないのになんで俺たちまで約束したサービス受けられなくなるの? 手際が良すぎ
絶対にアプリを作った奴が情報を流してるよね。 キャッシュレス信者のみなさんは市場が経験値を積むためのエサになってください
だんだん小慣れてから使います セキュリティ破られる事件多いけど、こういうのって保険どうなってんのかね
利用者から訴えられると大型訴訟が起きかねないけど
開発請負会社に責任転嫁? ■ このスレッドは過去ログ倉庫に格納されています