メインメニュー
PR
facebook

7ペイの不正アクセス


投稿ツリー


前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 | 投稿日時 2019/7/5 6:59
Chryso  スタッフ   投稿数: 5151
https://www3.nhk.or.jp/news/html/20190705/k10011983011000.html

パスワード変更のメールが登録メールアドレス以外にも指定できる仕様が問題視されていますが、当然パスワード変更メールは「登録メールアドレス」と指定したアドレスに行く(と思うが)それに気づかなかったということか?

この記事ではその仕様とは関係なく、第三者が不正にアドレスを入手して、チャージしてそれを引き出したと読めます。

1日に3万円×3回チャージできるという仕様もなんだかなあ、です。
1回のチャージ額が大きすぎるのではないか?

交通系:例えばSUICAは上限額が2万円です。チャージ額ではなくて、現在登録してある金額がいくらか、できまります。交通系でそう高額の決済はない、とうのが理由のひとつらしいですが、それなら7ペイも、コンビニでそんなに使うとは思えない。

楽天edyが上限が5万円だそうです。



投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/6 7:25
YMN  常連   投稿数: 776
 社長の「ニダンカイニンショウ?」が印象的でした。
大会社の社長はそんな細かいことは知らなくて良いという考えもあるでしょう。
しかし枝葉でも根幹に関わるキーとなる部分があり、それに当たるようでもあります。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/6 18:09
Chryso  スタッフ   投稿数: 5151
パスワードを変えて別のメールアドレスで受けているのなら、なんでチャージの連絡が、登録した本人のメールアドレスに届くのか...

セブンペイの仕様の脆弱さがニュースになっていますが、本件はそれとは関係ないのでは..
いいとは、いいませんが。

アカウントとパスワードを、内部の人間が盗んだのではないか。それだと数人分のアカウントの連絡が出し子にあったという説明がつきます。ああ、そういえば被害額が最低で5500万円でしたね。かなりのアカウントがないとこの金額にはいきません。

アカウントを盗んでパスワードを総当り戦で類推した、にしては盗まれたアカウントが多すぎるようですし。
だいたい、オンラインでは総当りでパスワードを類推することもできなくなっています。
ペイペイはセキュリティコードを無制限に入力できるというので問題になりましたが。


投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/6 19:31
Chryso  スタッフ   投稿数: 5151
二重認証だからといっても、絶対安全とは言い切れないという指摘もあったが、メディアでは、黙殺されているような。

悪意さえあれば(笑)偽のサイトを作って、そこにユーザーを誘導して、パスワードを発行すれば、アカウント、パスワードが悪意あるユーザーのもの。

ハードルは高そうですが、できないわけでもなさそうです。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/7 11:27
Chryso  スタッフ   投稿数: 5151
二重認証。
某自治体のシステムは、パスワードを半年に1回、変更するようになっていて、実際に長期間使わず、ひさびさにログインしようとしたらパスワードを変更するようにいわれた。

そのパスワード、いままで使っていたものではいけないようで、本当に変えないといけない。仕方がないので、いわれるとおりパスワードを変えて、新しいパスワードはこれだ、と使う人に周知した。

パスワードのデータベースも更新しないといけないし、それが紙メディアで提供されていたら、それも更新しないといけないし。

めんどうな話ですが、パスワードで安全を保っているシステムだとこうすることになりますね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/12 13:46
Chryso  スタッフ   投稿数: 5151
https://www3.nhk.or.jp/news/html/20190712/k10011991171000.html

チャージが1日あたり30万円だとか。

思うに、そんなに大きな買い物はしないコンビニのレブンイレブンだけでなく、ゆくゆくはイトーヨーカドーでも使えるように、あらかじめチャージ金額を大きくしておいたものと思われ。

原因はまだはっきりとはわかっていないし、報道もされていませんね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/13 19:22
Chryso  スタッフ   投稿数: 5151
NHKも小出ししていますが。

抜かれた男性は、パスワードは使い回ししていないし、類推できるようなものではない16文字のもので、自分の手帳だけに書いてあると主張。(PCなどにはなくて、ネット経由ではぬすめないということ)

それでも漏れたのだから、普通に考えるとサーバーが攻撃を受けて、ID、パスワード(クレジットからのチャージ、7PAY使用の2種類)の組み合わせが盗まれた、というシナリオになりますね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2019/7/20 23:10
Chryso  スタッフ   投稿数: 5151
パスワードはときどき変えるように、という注意書きがありますが、パスワード生成のルールが変わらなければ、どういうパスワードにしても「総当たり戦」を喰らえば、解読されてしまいますね。

総当り戦のできないシステムが必要ですが。これをやると利便性は落ちますね。
某自治体のシステムはパスワードを1回でも間違えるとリトライできるのに30分かかるようになっています。

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 | 投稿日時 2019/8/1 23:29 | 最終変更
東 遥  スタッフ   投稿数: 3641
結局、

「7pay」会見まとめ:9月末でサービス終了、不正利用で3861万円の被害

「終了」するらしい。

「終了」か。

ぉぃ。

そう存知申し上げ奉り侍る次第。

どうしろと。

で、どうやら運営の責任は正々堂々と回避するらしい。まあ世間巷間ネット上ではクーポンに吊られたユーザーの専ら自業自得の自己責任の果てしない行く末

「お握り一個のプレミアムと引き換えに
 最高30万円なりの意図せぬ正規出金をした
 愚か者のなんと多いことよ」

と森田アナに詰られてしまへ、という評論評価であるところとても運営者には責任を問う声は上がらないのでしょう、そう期待するものでしょうか。

まぁ、それでも、なんだかPayだかなんだかが流行っている中でどう巻き返しをはかるか虎視眈々と狙っておいでだそうですが。

そうゆうものですか。
投票数:0 平均点:0.00
返信する
東 遥

なし やみろー!

msg# 1.2.1
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2019/8/2 3:08
東 遥  スタッフ   投稿数: 3641
「終了」まではまだ間がありますが、それでも一応の対応として、パスワードリセットして「正当」アクセスを防止することがすすめられるそうですが

7iDのパスワードを再設定すると7payのクーポンや残高が消えたとの報告が相次ぐ→広報「システム上の不具合ではなく、個別対応で解消できる」と説明

いやはやもう。

過日のPayPayの時もアレがナニで酷かったですが、こちらもコレがドウなってそうなるのか。

むつかしいですね。

私?ぃぇね、先日籤を引いたら「爽健美水」引き換え券が当たったのですよ。早速吞ませていただこうと御願いしたら

 店舗α店員「あいすみません、
       当店では扱っておりません。
       他店舗をあたってくだい」

ほーん。んでは、あっちで、

 店舗β店員「あいすみません、
       当店では扱っておりません。
       他店舗をあたってくだい」

ほー(以下略)

 店舗γ店員「あいすみません、
       当店では扱っておりません。
       他店舗をあたってくだい」

ほー(以下ry)

 店舗θ店員「あいすみません、
       当店では扱っておりません。
       他店舗をあたってくだい」

ほー(以k)

 店舗ι店員「あいすみません、
       当店では扱っておりません。
       他店舗をあたってくだい」

ほー(以k)

 店舗ω店員「あいすみません、
       当店では扱っておりません。
       他店舗をあたってくだい」

ほー(i)

 店舗ω店員「あいすみません、
       当店では扱っておりません。
       他店舗をあたってくだい」

そういえばあっちにもあったな。あそこ結構店舗が大きくて品揃えが充実しててその割りに不便で客が少なくて、キャンペーンの品、ほら、このアイスを2個買うと特製クリアファイルプレゼント、とかいう奴、他の店舗ですと速攻無くなるのがこの店舗だけは1ヶ月経っても2ヶ月経っても残っていてお目当てのキャラデザのを簡単にゲットできますし、あまりの売れ行きの悪さに「もう残ってしょうがないから残り全部やるよ」と10枚位貰ったりしましたっけ。所謂700円籤も都度随分あとまで残ってましたからね。鉄板だから行ってみましょう、久々に。

 店舗ω
  「6月30日14:00をもちまして
   閉店させていただきました。
   これまでの御愛顧誠に
   ありがとうございました」

もう建物が壊されてまんがな。なんでやねん。

まぁ、毎日3万歩程10店舗を巡回サラリーマン問題を解きつつ歩いた今日この頃、足が疲れてしょうがないのですが結局入手できず。

どうしろと。


最近のセブンイレブンは問題諸説芬芬に存じ申上げ侍り奉る次第。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/8/2 18:04
くー  常連   投稿数: 172
クレジットカード以外に、Edyはやめたものの、もうSUICA, SAPICA, Nanaco, auWALLET,WAONと何種類もプリペイドカードを持っているのでこれ以上決済手段を増やしたくない私は、どうしてスマホで決済しなければならないのか疑問でありました。まさか、おにぎりにつられアプリをインストールする人が多かったとは。
前にも書きましたが、プリペイドカードを落とした経験があるので、被害金額が少なくなるようチャージは少なめにしております。そういった防御策ができないものを使うのはやはり危険ということを今回の事件は、示してくれたと思います。
大体、どんなアドバンテージがあるというのか?バッテリが切れたら使えなくなるし、アプリを起動する手間が面倒とは思わないのか。ああ、これは、スマホをいじるのが苦手に(ジジイ)なったということか。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/8/2 22:20
Chryso  スタッフ   投稿数: 5151
いざというときの被害を小さくするために、プリペイドカードには1万円以上はチャージしない、ことにしています。これはこれで賢明でしょうね。

消費税10%化の見返りにポイント還元するという話ですが、まさかのセブンイレブン間に合わず、ですね。

セブンイレブンは他のQR決済には対応しているようで、虚しくキャンペーンしていたりします。
投票数:0 平均点:0.00
返信する
Chryso

なし Re: やーめたっ!

msg# 1.2.2.1.1
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2019/8/2 22:28
Chryso  スタッフ   投稿数: 5151
この前、駅の自動改札を通る時、腕時計をタッチしている人がいました。うーむ、あれがスマートウォッチか。
半袖になったら湧いてきたな(笑)

あれも電源いるし、改札の場合、進行方向右側にタッチするようになっていて、左腕に、文字盤が見えるように腕時計をはめていたら、不自然なポーズになると思うのだが、いちいち取り出すスマホよりは便利、かな?

と思いながらICカードで改札を通り抜ける私でした。
投票数:0 平均点:0.00
返信する

このトピックに投稿する

題名
ゲスト名
投稿本文
  条件検索へ


ログイン

ユーザー名:


パスワード:





パスワード紛失  |新規登録
PR
twitter
Created by: twitter website widget