會原 
セブンイレブンのモバイル決済サービス「7Pay」が7月1日に開始されました。しかしユーザーからはサーバーが繋がりにくく使用しづらいとの報告が当初から相次いでいたほか、多額の不正利用が行われたとする被害も多数報告されています。
不正利用への対策として、クレジットカードやデビットカードからの入金を停止したとしています。一方で、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブンイレブン店頭レジでの現金チャージは現在も行えるほか、決済機能も稼働中です。
この原因として有力なのが7iDのパスワード再発行の仕組みです。登録していないメールアドレスでもパスワード再発行アドレスが送れてしまうという極めて重大な欠陥があることがわかっています。
本件についてITジャーナリストの三上洋氏は、SMS認証など二段階認証があって然るべきと指摘しています。
さらに7PayのiOSアプリでは生年月日を未選択の場合、ユーザーの生年月日を勝手に2019年1月1日として登録するという、これまた信じ難い仕様があることを、セキュリティー専門家の高木浩光氏が確認しています。
7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
うわあアア…… pic.twitter.com/e2DTyVR1Qy
— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月3日
セキュリティー的にはあまりにもお粗末、極めて脆弱と言わざるを得ず、7Payや7iDに関してサービスを全面停止して問題解決を図るべき、重大事案と思われますが、まだその段階には至っておらず、危機管理意識の薄さが伺えます。7iDのパスワード再発行フォームも、根本的に送信できないよう見直すわけではなく単にCSSから見えないように指定して対処するだけという技術力の低さを露呈しており、今後の厳しい批判は免れません。
まさかと思って非表示フォームに別のメールアドレス入れて送信したら、そこにリセットトークンが届いたwwwww#7pay はまだ任意のメアドでアカウント乗っ取り可能。
どこまで無能なんだ… https://t.co/92612ab4Du
— Miyahan (@miyahancom) 2019年7月4日
たしかに最後のTRがdisplay:noneで非表示にされてる。テキストボックスの中身を入れてPOSTすれば登録以外のメールアドレスに送信できるので、サーバーサイドは何も変わってないな pic.twitter.com/kKZuJu9kTv
— 山口健太 (@tezawaly) 2019年7月4日
