知って得するセキュリティのはなし その23
「7pay」で不正利用被害多発…新規登録とチャージ停止
1.このニュースをざっくり言うと
- 7月3日(日本時間)、セブン&アイ・ホールディングス傘下のセブン・ペイ社より、同社が1日に開始したモバイル決済サービス「7pay」において不正アクセスおよび商品の不正購入が確認されたと発表されました。
- ユーザアカウントが第三者に乗っ取られ、登録されていたクレジットカードから電子マネーへのチャージが行われたとしており、7payの新規登録およびクレジットカードとデビットカードによるチャージが一時停止されています。
- 同4日の時点で、不正利用の被害者数は約900人、被害額は約5,500万円に上るとみられています。
2.執筆者からの所感等
- 当初は「リスト型攻撃」の可能性が考えられ、セブン・ペイ社ではログインIDやパスワードの管理に注意するよう呼び掛けていましたが、パスワードリセット機能において「①第三者のメールアドレスにリセットのためのメールを送信することが可能だった」ことや、メールアドレス・生年月日・電話番号の入力が必要とされていたところ「②生年月日を入力しなかったユーザについてはデフォルトの特定の生年月日が指定可能だった」こと、またSMS等を用いた「③二段階認証の機能がなかった」こと等から、攻撃者にとってアカウントを乗っ取りやすい状況にあったことが判明しています。
- 特に、前述①の仕様は、7payも連携していたセブン&アイグループの通販サイト「オムニ7」に存在していたとされる問題であり、新たに作られたアプリ等のみならず、既存のWebサイトにあったセキュリティ上の問題が目を付けられ悪用されたという面が特徴的と言えます。
- QRコード決済については、昨年リリースされブームとなった「PayPay」でも、外部で奪取されたクレジットカード情報が勝手に登録される事例があり(AUS便り 2018/12/25号参照、現在は対策済)今年3~4月にはキャッシュレス推進協議会により「不正利用防止ガイドライン」が策定されていましたが、今回の7payの事例では、ガイドラインが遵守されていなかったとして経済産業省から指摘を受ける事態になっており、根幹となるスマホアプリあるいはWebサイトにおいて、ガイドラインに沿って必要なセキュリティ機能を実装することの重要性が今後改めて問われることとなるでしょう。
