オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

7payの不正利用で考える「不正」という言葉の違和感

»

ガラケー時代からEdyを使っていますが、やはり小銭がいらないのは便利です。非接触決済サービスのEdy、以前は使える端末が限られてましたが、今時ほとんどの端末で使えるはず。最近増えてきたモバイル系決済サービスは、QRやバーコードなどの画面に表示するだけのものなので端末依存なく、ほぼ100%で使えます。

7payは使っていませんが昨日からニュースを見ていると、最近よく発生しているネット上サービスのパスワード漏洩事件(パスワード非暗号化の丸見えなど)ともちょっと違う、チンケなサービスを提供しているのようなところのものかと見間違えそうな「あのセブンが?」と思うようなお粗末な状況のようです。不正アクセスとか実際に不正な事件はたくさんありますが、不正に近づいていく(誘因する)ようなことになっていても、どの不正?と、不正という言葉に違和感を感じます。

どのニュースサイトよりもわかりやすくまとまっているので参照下さい(いつも有り難うございます)

7payの不正利用についてまとめてみた:piyolog

事故になるような状況の場合、原因と結果のような順番が一応あり、その上で

 1.どれだけ早くリカバリー出来るか?

 2.何となく最悪な状況はありそうだけど確定してないからという「どっち都合かわからない」上塗り

どっちかな感じと思います。

今回は、1と2の間ってイメージがあります。

ID / PW管理に関する注意喚起

本家のサイトからは、すぐに削除されてしまったようです。ニュース記事で見れます⇒【ご注意ください】ID・パスワードの管理について

とりあえず、状況が見えなかったからこのようなことになったのだと思いますが…

以前、とある機器の不具合があったときの話ですが、利用者側がどれ程の不具合な状況を説明しても、機器の人達はまったく聞く気がありません。

利用者側としては、不具合がなくなればいいだけ(機器改善等の技術的な問題でも、使い方が間違っており問題があるならば改善方法など)

とりあえず、これだけでいいんですよ。内容や規模によっては莫大な損害なども出るので一概には何ともですが、基本はこんな感じと思います。

しかし機器の人達は、

機器に問題があるとはまったく考えず、その利用環境や利用方法などの機器以外の要因しか考えない。機器には何も問題が無いという思考

そもそもの立ち位置がおかしいことも、全方向から疑いを向け改善しようとも考えられないことでした。結果、最終的にかなりの時間がかかりましたが、機器側の問題だけで解決したというお粗末な話を思い出しました。こういうのを三流とか言うのでしょうか?

現状

7payに関する重要なお知らせ(2019/07/03付)と、本家より発表されています。

ネット上の情報を「どのように扱うのかという問題」もありますが、Twitterなどは情報は早い感じです。玉石混淆と言われるものも自身で見極める眼力、こういう情報リテラシーも日頃から高めておきたいものです。

セキュリティが甘すぎた「7Pay」、不正利用被害多発でもクレカ等でのチャージ停止に留まる

その手口は、アカウントに不正にアクセスされ(アカウント乗っ取り)、クレジットカードから複数回のチャージが行われ、高額の商品が購入されるというもの。
それを実現させてしまう7payのセキュリティの甘さは、『7Payを利用するためのセブンイレブンアプリの「7iD」の登録の甘さ(本人確認が行われない)』、『チャージ用パスワードに対する総当たり攻撃、リスト攻撃に対する脆弱性』、『新規会員登録に生年月日不要』、『パスワード再発行時に、ユーザーが登録していないメールアドレスにパスワード再発行アドレスを送ることができる』など、システムから何からスキが多すぎるという状態だ。

問題があるまで表面化されないと、わざわざ言うまでもありません。弘法大師は十住心論の中で「鼻下に糞あらば、香嗅ぐもまた臭し」と言われています。本来の意味とは違いますが、個人的にはビンゴです。

もちろん、事故を前提にものを進めることは、詐欺サイト以外にはあり得ないことと思いますが、誰かはここまでの状況に絶対気がついていたはず。もしもこれ誰も気がついてなかったのなならば、それはそれで奇跡的で歴史的な出来事です。

正しい状況が見えませんが、ここまでお粗末なものは個人的に記録更新的なものです。どこかの○○が、よくわからずに進めた結果が...みたいな感じしかしません。しかし、それだけでは進められるはずがないので、どういう忖度やおかしいと感じながら言わ(言え)ない抑止が働いたのか?これならば、不正という言葉に違和感は感じません。

情報漏洩関連事故やニュースでは普通に、不正**のように言われます。広い意味を持つ言葉なので捉え方も様々ですが、情報持ち出しなどで当事者が不正をしていましたと言えば、それによる相手は被害者となります。

しかし、当事者の運営するサービスで不正利用がおきました。利用者(相手)の方も注意して下さい。と普通に聞けばその通りなのですが素直でない私は、(・_・)......ン?と違和感がありました。陣地のような「こっち」か「あっち」みたいに別けたときの、なぜに同じ側にいるの?と。

その他ブログ:「パスワード」カテゴリーの投稿

【無料】パスワードの作り方マニュアルPDFダウンロード

Comment(0)

コメント

コメントを投稿する