以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

#7Pay (7iD)のセキュリティの甘さがもう役満級でしょ

https://rita.xyz/blog/irasutoya/code_smartphone_barcode_qrcode-w200-fs8-zf.pngニュースでもいろいろ取り上げられているが、7Payが不正利用&チャージされた事象、セキュリティの甘さ的に役満なのでは説。以下は把握している、セキュリティ的にアカンと思われる内容のまとめ的なの。

  • 他のPayでは当たり前なSMS認証がない
  • 支払い画面での追加認証(PINや指紋認証など)がない
  • クレカチャージ用の認証パスワードの使用可能文字種が小文字・数字のみ
    • 意味の分からない謎仕様。
  • 1日あたりのクレカチャージ回数・金額制限が設けられていない(っぽい)
    • 秒単位での連続チャージも可能であった。
    • nanacoではクレカ登録から24時間後にクレカチャージ可能となり、また1日あたりの回数・金額制限がある。
  • 7iDのパスワード再設定で案内メール送付先アドレスを指定できるという最悪な仕様により、メールアドレスと生年月日(アカウントによってはそれに加え電話番号)さえ分かればパスワードを変更していたとしてもアカウント乗っ取り可能
    • 恐らく使用していたメールアドレスが使用不能になった時の対策なんだろうが、セキュリティ的にはご法度である。
    • 7iDに生年月日が登録されていない場合、2019/01/01に設定されている扱いとなるので最悪メールアドレスだけでアカウントが乗っ取られてしまう。かなりヤバイ。
    • これにより、登録されている個人情報の閲覧、omni7に登録されているクレカで勝手に買物、等も可能になる。
  • 過去にECサイト個人情報流出というセキュリティインシデントを起こしている
  • ブルートフォースアタックの対策をしていない可能性がある?
    • これは真偽不明だが、ブルートフォースアタック(総当たり攻撃)による不正ログイン・チャージ対策をしておらず、結果パスワードの使い回しをしていなくても不正ログインやチャージされた可能性もあり得る。

不正チャージが相次いだためクレカチャージは停止したが、支払い機能は停止していないため、7iDが乗っ取られてしまった場合7Payの残高を勝手に使われる危険性は残ったままである。

なお、流出したクレカ情報の利用は3Dセキュア認証が必要かつ利用可能なカード会社が限られている(Visa/Masterのみ、JCBは特に制限なし)ため、PayPayのようにはならない。

とりあえず、7iDの登録メールアドレス変更・7Pay/omni7の登録カード削除はしておいた。セキュリティのセの文字も知らなさそうな企業(下請けも含む)がマトモな対応するとは思えないが今後の動向に注目したい。

※メインカテゴリ(雑記〜)が「金融」ではなく「ネット」となっているのは7iDレベルでも危険、という意味で。