はるさら日記〜若手SE〜

上京してIT系の職について4年がたった今、思っていることを残します。

【スポンサーリンク】

7pay(セブンペイ) 何が起きてるのかまとめてみました!

お疲れ様です。

はるさらと申します!

 

本日は最近噂のセブンペイ(7pay)

についてまとめた情報をお話しします。

 

f:id:harusara2:20190704214338j:plain

 

 

2019年7月4日現在

セブンペイは新規登録・全てのチャージサービスを

一時停止している様です!!

 

 

 

・そもそもセブンペイとは??

 

 

2019年7月1日にリリースされ、

 

名前の通り

セブンイレブンで使う事ができる

スマホ決済サービスで

 

ATMやレジ。

クレジットカード、nanacoポイントなどから

チャージを行う事ができ

お支払いに使用する事ができます。

 

 

クレカからもチャージが行えるのは

嬉しいですね☆

 

 

 

今はまだ、セブンイレブンでしか使えませんが

セブングループで使用可能になるのではないかと

期待されているシステムになります。

 

 

 

 

 

・何が起きているのか

 

さて、ここからが本題です!

 

今、ニュースなどで

「セブンペイ不正利用」

という、文言を見かけると思います。

 

 

 

 

起きてしまった事象としましては

ログインIDとパスワートを入手し

アカウントの乗っ取りが発生。

 

約900人 の被害者で

被害総額は5500万円程と公表されています。

 

 

 

 

 

・そんな簡単に乗っ取れるの??

  

今回、問題となっているのは

「パスワードのリセット」方法についてです。

 

 

 

よく、会員ログインをする際に

「パスワードを忘れた方はこちら」

 

などとあり、一定の情報を記載すると

登録しているメールアドレスに

パスワード変更のメールが届く・・・

なんてものはよくありますよね??

 

 

 

今回のセブンペイのパスワードの変更には

・生年月日

・会員ID(メールアドレス)

・電話番号

 

が、わかれば

パスワードが変更できてしまうのです・・・。

 

 

 

しかも、パスワードをリセットするための

メールの送信先

登録してあるメールアドレスではなく

自分で決める事が可能です。

 

 

 

 

つまり!!

自分から見た、近しい人間や

お店などでポイントカードを作った

お客さんの情報などなど・・・

 

簡単にアカウントの乗っ取りが可能な状態にありました・・・!!

 

 

 

 

実はセブンペイの会員システム使用されている

「7iD」というシステムは

セブン&アイグループの総合通販サイト

「オムニ7」用のシステムと同じ仕様であり、

 

 

オムニ7では、不正アクセスしたところで

クーポンくらいしか取得できなかったのですが

 

 

 

セブンペイではアカウントが乗っ取られたら

チャージし放題の、使い放題ですからね・・・

 

 

換金目的なども含めて、

多々使用されてしまった様です・・・。

 

 

 

 

 

 

・今は対策されてるの?? 

 

現在、パスワード変更画面では

「送付先のメールアドレスを入力するフォーム」

が、削除されています。

 

 

これで、勝手に登録されないですね☆

 

 

 

と、思いきや。

送付先アドレスのフォームを

非表示にしているだけのため

 

実は容易に再表示させる事が可能です・・・笑

 

 

IT系の方はご存知かもしれませんが

CSSでdisplay:none;にしているだけです・・・

 

 

 

 

 

登録した方は、おにぎり1つ無料サービス

なんてありましたが・・・。

 

おにぎりとは釣り合わないほどのリスクが

そこにはひそんでいたようです・・・。

 

 

リリース前にセキュリティの検証もあったらしいのですが・・・

一体、どの様な基準で

安全と判断されたのでしょうね・・・?

 

 

 

便利なアプリではあるため

早く、安全に使える様に改修していただいて

日常的に使えるセブンペイになってほしいですね☆

 

 

 

それではまたー!

【スポンサーリンク】