今すぐサービス停止を。7Pay、他人のメアドでパスワードリセット可能など深刻な欠陥が発見 すまほん!!

 セブンイレブンのモバイル決済サービス「7Pay」が7月1日に開始されました。しかしユーザーからはサーバーが繋がりにくく使用しづらいとの報告が当初から相次いでいたほか、多額の不正利用が行われたとする被害も多数報告されています。

 不正利用への対策として、クレジットカードやデビットカードからの入金を停止したとしています。一方で、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブンイレブン店頭レジでの現金チャージは現在も行えるほか、決済機能も稼働中です。

Sponsored Links

 この原因として有力なのが7iDのパスワード再発行の仕組みです。登録していないメールアドレスでもパスワード再発行アドレスが送れてしまうという極めて重大な欠陥があることがわかっています。

 本件についてITジャーナリストの三上洋氏は、SMS認証など二段階認証があって然るべきと指摘しています。

 さらに7PayのiOSアプリでは生年月日を未選択の場合、ユーザーの生年月日を勝手に2019年1月1日として登録するという、これまた信じ難い仕様があることを、セキュリティー専門家の高木浩光氏が確認しています。

 セキュリティー的にはあまりにもお粗末、極めて脆弱と言わざるを得ず、7Payや7iDに関してサービスを全面停止して問題解決を図るべき、重大事案と思われますが、まだその段階には至っておらず、危機管理意識の薄さが伺えます。7iDのパスワード再発行フォームも、根本的に送信できないよう見直すわけではなく単にCSSから見えないように指定して対処するだけという技術力の低さを露呈しており、今後の厳しい批判は免れません。

Sponsored Links