セブンpayの不正アクセスはなぜ起きたのか

🔵セブンペイの不正アクセスはなぜ起きたのか


⏺️｢設計､現状認識､後日対応｣すべてが甘かった


⏺️セブンペイの不正アクセスは何が問題だったのか


⬛️セブン-イレブンが7月1日に開始したQRコード決済システム「7pay（セブンペイ）」で不正アクセス被害が発覚


⏹️セブン・ペイの小林強社長の言葉


・顧客から預かっている個人情報の重要性に対する無自覚だけではない。


・現時点で起きていることや問題解決が長引いていることに対する認識が甘い。


・自社が提供しているサービスへの理解も低い。


⏹️7payのシステムに「脆弱性は見つからなかった」のか


①脆弱性が存在しなければ、今回の問題は引き起こされていない。


②大手流通が扱う決済システムとしては呆れるほど脆弱なシステムがある。


③決済システムを提供するセブン・ペイの危機管理の甘さも追い打ちをかけている。


⬛️絶望的なほどの現状認識の甘さ


⏹️問題は大きく3つである


①IDを乗っ取る簡易的手段を、セブン・ペイのシステム自身が“提供”していること。


正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができる。


②重要情報の扱いの軽さ。


クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証に対応していない。


パスワード変更時に生年月日を必要としているにもかかわらず、生年月日を省略して登録可能としている。


省略時の規定値（変更しなかったときに使われる値）まで公開している。


③自身のシステムに対する過信。


7月2日にはユーザーから「身に覚えのない取引があったようだ」と報告。


不正利用報告が相次いでいるが、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するだけにとどめた。


➡️暫くして、不正アクセス元のほとんどが海外であるため、国外からの通信を遮断した。


【小林社長】


➡️「対応が遅くなったという認識はない」


【セブン&アイ・ホールディングス執行役員の清水健氏】


➡️「脆弱性に問題はなかった」とシステム側の不備を認めない発言を繰り返した。


⬛️7月4日の午前6時時点の試算でおよそ900人のIDが乗っ取られた


被害額は約5500万円に上る。


➡️被害規模よりも清水氏の発言のほうが、ずっと大きな問題だと感じる。



⏹️理由・改善策


外部の評価機関に依頼する。


開発時に適切な評価・テストを行っている。


➡️今回の問題はそもそも起きなかったと考えられる。

⬛️2重・3重の問題点


⏹️セブン&アイ・ホールディングスとセブン・ペイは被害者という立場


➡️杜撰な甘いセキュリティ管理を知れば、サービス開始翌日の夜に被害者が出るという事態にはならなかった。


⏹️セブン・ペイのログインIDとして使われる「7iD」


・生年月日


・電話番号


・メールアドレス


➡️パスワードを変更できる仕組み。


⚠️パスワード再設定の案内を送るメールアドレスを“自由に指定できる”


⬛️スマートフォンアプリから登録する場合


生年月日は必ずしも入力しなくても良い


省略すると2019年1月1日が設定されるという情報も公開。


①電話番号


②メールアドレス


①②の組み合わせがあれば、スマートフォンから登録したユーザーのIDは生年月日なしで乗っ取られることになる。


⬛️セブンペイの登録を促すキャンペーンのポスター


⏹️ユーザーの利便性を上げるため


➡️意図して「パスワード変更を容易にした」と話しているのに、一方では脆弱性ではないと主張。


⏹️パスワードリスト攻撃などの可能性は排除され、システム設計そのものを疑うべき


・自らの足元の危うさについて素直に認める。


・有効な対策について話すべきだった。


・会見内容は保身としか思えないものだった。


⬛️多く問題を抱えた中で起きた今回の不正利用に関して


⏹️“原因と対策”に立ち返った対応が必要


サービスをテストし、レジで現金を入力する方法が周知されておらず、従業員に大きな負荷がかかっていた。


実際に利用する際に、入金用バーコードと決済用バーコードが異なることがわからず、利用する際に逡巡するありさま。


⏹️今回の問題


7iDのユーザー情報を変更する手続きに問題があったから。


7iDは7payが開始されるまで、単なるクーポン発行のアプリで利用されるのみだった。


ユーザーのクレジットカード情報を扱うことはなく、セキュリティ設計の詰めが甘かったとしても誰も指摘しなかった。


セブン-イレブンアプリのIDを乗っ取ったところで、たいした利益はないが、セブン-イレブンアプリを拡張する形で7payが実装されたことで事情は変化した。

⬛️設計段階でのミスは明らか


7payの問題だけであれば、被害者への返金など補償を徹底すれば済む。


⏹️今回の事例における最大の問題点


セキュリティに対する認識の甘さ


幹部のセキュリティ問題に対する意識の低さ。


➡️根本とも言えるテーマに疑問を持たれた企業が信頼回復を得ることは難しい益田

⏹️セブン&アイ・ホールディングスとしての責任があるとする場合


より信頼できる仕組みを構築し、消費者に報いる仕組みを作ることにフォーカスすることが責務である。

～おすすめ情報サイト～

☑️投資競馬収支報告

ドーーーンっと勝利

️購入45,100円
️払戻54,100円
--------------------------
️利益9000円

️回収率119.9％

バンバン勝ちます‼️

興味ありましたらご覧くださいませ。

https://note.mu/shouta1177/n/nf576d3928f2c


------------------------------------------------------


☑️千里の道も一歩からの意味

✔️大きな事柄でもまずは目の前のことをこなすところから着実に努力を続けていけば成功するという意味になります。

✔️どんなことでも一歩ずつ、着実に進めることが大切だという意味です。


https://note.mu/shouta1177/n/nf576d3928f2c

------------------------------------------------------


☑️｢シングル・タスク｣を心がける


⏺️マルチタスクで高速にこなせるという人は実は｢できているつもり｣なだけ。


⏺️2つの仕事やタスクを同時にこなすことはできない。

↘️詳しく説明します！


https://note.mu/shouta1177/n/nf576d3928f2c

-------------------------------------------------------

☑️｢印象の薄い人｣が覚えるべき話し方

✔️でも緊張で身体がガチガチ、呼吸も満足にできない。

✔️棒立ちになって、資料を読み上げているだけ。

🔻結果🔻

✔️まったく問題ない。


↘️詳しく説明します！


https://note.mu/shouta1177/n/nf576d3928f2c

-------------------------------------------------------


インプット(input)とアウトプット(output)

両方を駆使しましょう！


本を読む(input)
⏬
本を理解し、行動(output)


YouTube動画閲覧(input)
⏬
YouTube動画投稿(output)


投資競馬(output)
https://note.mu/shouta1177/n/nf576d3928f2c


-------------------------------------------------------

☑️世界へ打電されたアーモンドアイ


✔️桜花賞（Ｇ１）
✔️オークス（Ｇ１）
✔️秋華賞（Ｇ１）の牝馬三冠を制覇。

✔️ジャパンＣ（Ｇ１）では古馬の牡馬勢、外国馬達もまとめて負かして優勝。

☑️投資競馬は今がチャンス
https://note.mu/shouta1177/n/nf576d3928f2c