【7pay】記者会見で二段階認証知らず炎上！不正利用される理由は？

2019-07-04

2019年7月4日、7payの不正利用が発覚し、緊急記者会見が開かれました。

会見内容は、謝罪・事件の詳細の流れでしたが、会見途中で小林強社長
のセキュリティに対する知識の浅さが出てしまい炎上してしまいました。

キャッシュレス化が進む中、今回の騒動は業界全体にも迷惑がかかることでしょう。

ということで今回は、7payが不正利用された理由きについてまとめていきたいと思います。

[quads id=4]

【7pay】記者会見内容

記者会見は１時間弱にわたり開かれ、謝罪・事件の詳細について語られました。
記者会見動画がこちらです。

7payの不正利用が発覚したのは、2019年7月２日、
「見覚えのない取引がある」
と利用者から連絡があったことで事件が発覚しました。

それ以降も一部の利用者から同様の連絡があり、被害を受けた人は900人以上いると
言います。また、その被害額は5500万円だそう。

7pay側は被害拡大を防止するため、クレジットカード、デビットカードからの
チャージ、それ以外の全てのチャージ、新規会員登録の停止を行ったそうですが、既存の会員は決済だけはできる状況だそう。

これからキャッシュレス化が進んでいくというのに、このような不正利用があると安心してサービスを受けられませんね…。

[quads id=4]

【7pay】記者会見で二段階認証しらず炎上！

不正利用され、顧客情報が漏れているだけでも信頼度ガタ落ちですが、さらに信頼度を下げたのは、小林強社長のセキュリティーに対する知識の浅さ。

小林社長は記者から「二段階認証」について質問された際、二段階認証の意味を理解できず世間からバッシングを受け、炎上しました。

こちらがその映像です。

#セブンペイ 5500万円の不正利用の緊急会見、話題の部分ここだ。
二段階認証を知らず、記者から説明を受けているセブンペイ社長。
特に衝撃なのが、最後の方に『二段階うんぬん、というの』とか言っててこれ完全に初めて聞いたの確定だな…セキュリティ意識が低すぎ… pic.twitter.com/jv91uVVf6y
— ポイン@ハイパーニート (@poipoikunpoi) 2019年7月4日

上記の動画の１３秒あたりです。

ツイートにも書いてある通り、まるで初めて聞いたかのようなリアクションですね。
社長がセキュリティーに対して知識がないのはかなり問題なのでは…。

[quads id=4]

【7pay】不正利用されるセキュリティーの甘さ

今回不正利用されてしまったのは、7payのセキュリティーの甘さによるものでした。

こちらを見るとよくわかるかと思います。

7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日

引用元：yahoo.com

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 https://t.co/2PkHOywbxV pic.twitter.com/wO2hrzrp9K
— shao (Sho SAWADA) (@shao1555) 2019年7月3日

これは恐ろしや…！

【7pay】記者会見を見たネットの反応

７payのバカ社長、百歩譲って「技術者じゃないから技術的なことは何も知りません」は許そう（それでも二段階認証知らないのはヤバいけど）
しかし、肩書が「法務リスク管理部担当、取締役専務執行役員」なのに、補償問題で被害届とか言ってるのヤバくない？法務なのに民事と刑事の区別ついてないよね？
— 毒天.zip (@closerdoc11) 2019年7月4日

7Payの件について笑うしかないのは
・PWリセット通知が別アドレスに送れるだなんて仕様自体クソ
・その部分を隠したがCSSでdisplay:none;にしただけなので簡単に復活できる
・会見開いたら「SMS認証」という言葉知らない
・技術わかる人が会見の場にいない
— 茂田カツノリ@IT＆IoTコンサル(フォローしてね！) (@shigezo) 2019年7月4日