株式会社セブン・ペイ(英語: Seven Pay Co., Ltd.)は、スマートフォン決済サービス7pay(セブンペイ)を提供する企業。 セブン&アイ・ホールディングスのグループ企業で、セブン・フィナンシャルサービスとセブン銀行の子会社。 2018年(平成30年)6月14日 - 株式会社セブン・ペイ設立。
11キロバイト (1,006 語) - 2019年7月12日 (金) 15:50



(出典 cashless.style)



1 サーバル ★ :2019/07/12(金) 21:54:11.59

[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn





48 名無しさん@1周年 :2019/07/12(金) 21:59:57.72

>>1
7pay おわたーーー!!ε=ε=ε=ε=ε=ε=┌(; ̄◇ ̄)┘


49 名無しさん@1周年 :2019/07/12(金) 21:59:59.08

>>1
>外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
なんじゃそりゃああああああああああああああ!


61 名無しさん@1周年 :2019/07/12(金) 22:01:30.26

>>1
グダグダだな… 一度停止して見直したら?


16 名無しさん@1周年 :2019/07/12(金) 21:56:27.32

何で頑なにSuicaを広めようとしないわけ?


32 名無しさん@1周年 :2019/07/12(金) 21:58:52.46

>>16
スイカを導入しない店
できない店があるからじゃないか?

正直、クレカが使える店なら
スイカもidもグイックペッも要らない


34 名無しさん@1周年 :2019/07/12(金) 21:59:01.04

>>16
スイカも不正利用されたと訴えてる人いるようだ。
JRは、すらっとぼけて対応してくれないんだってさ。


40 名無しさん@1周年 :2019/07/12(金) 21:59:35.75

>>16
頑なに広めないってわけじゃないけど、ハードウェアのコストの問題だったような。


75 名無しさん@1周年 :2019/07/12(金) 22:02:49.29

>>16
Suicaはポイントではなくて現金だから。


27 名無しさん@1周年 :2019/07/12(金) 21:58:00.66

どうやったらこの時代に大企業の大規模運用システムが信じがたいほど低セキュリティに仕上がるんだ?
工業高校の部活にでもシステム発注したの?


45 名無しさん@1周年 :2019/07/12(金) 21:59:41.29

>>27
大手がノウハウもないのに下請けに丸投げするとこうなる。


96 名無しさん@1周年 :2019/07/12(金) 22:03:56.25

>>27
ギリギリで仕様変えてテストしなかったらしい
>>37
やってなかったというか、できなかったらしい


31 名無しさん@1周年 :2019/07/12(金) 21:58:35.27

   ..   ...
  現  金  最  強  伝  説


46 名無しさん@1周年 :2019/07/12(金) 21:59:48.53

>>31
やっぱ現金だよな
国内怖すぎるわ


42 名無しさん@1周年 :2019/07/12(金) 21:59:39.95

セキュリティ専門家がこういうのを調べるのはなんで不正アクセスにならんの?


73 名無しさん@1周年 :2019/07/12(金) 22:02:46.70

>>42
その会社から依頼があって調べる場合は大丈夫なんだろ?
知らんけどw


59 名無しさん@1周年 :2019/07/12(金) 22:01:25.75

これ開発の時にレビューとかテストとかやってるのか?


89 名無しさん@1周年 :2019/07/12(金) 22:03:38.30

>>59
Tポイント流出問題視から別の決済方法など模索してたファミマと違って、
paypay見て動いた様な感じだし、そんな時間さえ無かったんじゃね?


63 名無しさん@1周年 :2019/07/12(金) 22:01:37.38

なんでこんなことが起きてるんだ


88 名無しさん@1周年 :2019/07/12(金) 22:03:25.74

>>63
先日の会見の幹部の無知っぷりと大企業の性質を照らし合わせると容易に想像つく


72 名無しさん@1周年 :2019/07/12(金) 22:02:39.06

専門家から「何が問題なのかわかってないのが問題」とは言われてたが…


86 名無しさん@1周年 :2019/07/12(金) 22:03:21.71

>>72
あの社長ほんとさっぱりわかってなかったもんな…