7Pay(セブンペイ)不正利用はなぜ起きた?原因について考えてみた
こんにちは、カボス( @olivetrhm)です。
本日ショッキングな出来ことが発覚しました。
セブンペイ 不正利用で5,500万円の被害額!!
7Payはまだ使ったことないですが、日常的にPayPayをガンガン利用しておりますので、他人ごとではない事件です。
今回はなぜこんな事件が起きてしまったのか、原因を追究し、自己防衛に繋げたいと思います。
7Pay不正理由の原因は?
ITジャーナリストの三上さんの記事が非常にわかりやすかったので、引用させていただきます。
上記画像が簡潔に7Payの脆弱性を表しています。
7Payアプリはパスワード変更は下記三つがあれば、簡単に変更ができるんです。
パスワード変更に必要な情報
①生年月日
②電話番号
③メールアドレス(ログインIDとして使用)
ちょっと考えて頂きたいのですが、
上記3つの情報のうち、①、②であれば、
少し親しい友達、もしくは会社の同僚レベルでも知ることができる情報ですよね??
③のメールアドレスまでは普段の生活で知ることはあまりないかもしれませんが、
聞き出そうと思えば、いくらでも理由をつけて聞き出すことできちゃいませんか?
言われてみたら、簡単に入手できちゃうかも!?でも三つの情報を入手できたとしても、第三者が勝手にログインパスワードを変更したとしたら、その旨、ユーザーに通知がくるんじゃないの!?
そこはセブンアンドアイホールディングスの落ち度だと思うんだけど、別のアドレスにパスワードリセットのメールを送付することが出来ちゃうんだ。だから第三者は勝手にパスワードを変えて不正アクセスができちゃったんだ。
7PayはSMS認証もない
更に7Payのセキュリティの脆弱性を露呈したのが、SMS認証もないということです。
SMS認証:
会員登録の際に他人の携帯電話を使った「なりすまし」を防ぐために、
アカウントに紐づいている電話番号にショートメッセージにより「認証番号」を通知し、 会員情報に入力して認証する方法です。
これはほんと残念だよね。仮にパスワードを勝手に変更されたとしても、最後の砦として、SMS認証があれば、第三者が不正にログインしたタイミングでユーザーのスマホにショートメールが届く。SMS認証によって、多くの犯罪を未然に防ぐことができたと思う
セブンイレブンでようやくQRコード決済ができるようになった矢先にこんな事件が起きるなんて本当に残念です。
SMS認証は超重要!自己防衛の方法も考えよう!
最近、いろんなPayが乱立していますが、不正利用させないためにも自己防衛は必須です。
たとえば、SMS認証はあるのかきちんと確認する。
そして、万が一に第三者に乗っ取られたことを想定し、
メインの銀行口座はアカウントに紐づけないで、数万円程度の残高しかない口座を紐づるなど自分に合った方法で被害を最小限にする工夫は必要だと思います。
こんな時代だからこそ、企業任せではなく、自己防衛をしていくことは大切です。
