【7pay】「組織的攻撃の可能性」専用パスワードでも被害

1 :みつを ★ 2019/07/14(日) 00:33:02.55 AYLe+piZ9.net
https://www3.nhk.or.jp/news/html/20190713/k10011992571000.html

7pay「組織的攻撃の可能性」専用パスワードでも被害
2019年7月13日 21時06分スマホ決済

スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。

「7pay」をめぐっては、サービスを開始してまもない先週、不正利用が相次ぎ、これまで、利用者になりすましてたばこを買おうとしたとして中国人合わせて3人が逮捕されています。

こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がNHKの取材に応じました。

「7pay」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。
男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたということです。

不正アクセス事件では、過去に流出したパスワードから手当たりしだいに不正なログインを試みるいわゆる「リスト型攻撃」の被害が深刻になっていますが、専門家によりますと、男性の状況からはリスト型攻撃の可能性は低く、システムの弱点を悪用したり、「7pay」のシステムを攻撃したりしてIDやパスワードなどの情報が抜き出された可能性があるということです。

一方、「7pay」のシステムでは、第三者がパスワードを変更できた可能性が指摘されていますが、男性の場合、パスワードは変更されていませんでした。

「何者かがサーバーに侵入か」
(リンク先に続きあり)

3 :名無しさん@1周年 2019/07/14(日) 00:34:36.22 kceWHIRD0.net
プログラム作成した奴らの中に犯罪仲間が混じっているだろ
36 :名無しさん@1周年 2019/07/14(日) 00:51:30.61 aWTu0l490.net
>>3
おそらくそうだろうね

バカな日本企業は外人いるようなところに外注出してるからそういうことになる。
でも懲りないで外人いるところに発注するんだろうね。
ジャッブ企業は本当にマヌケ

5 :名無しさん@1周年 2019/07/14(日) 00:35:55.89 9Xer3Zvv0.net
どんだけザルなんだよ
6 : 2019/07/14(日) 00:36:14.72 P4ZPsd0F0.net
ガバガバなバックドアでもあるんだろう。
68 :名無しさん@1周年 2019/07/14(日) 01:07:20.62 vxwX0qB30.net
>>6
本部の中に居そうだな
383 :名無しさん@1周年 2019/07/14(日) 07:35:51.75 So3mdD4H0.net
>>68
7銀行のカードスキミングされて5万円程落とされてた
使ってなかったし心当たり無いんだが
去年だけど
563 :名無しさん@1周年 2019/07/14(日) 10:44:36.87 YrISuzrL0.net
>>6
Windows Updateの事でつか
10 :名無しさん@1周年 2019/07/14(日) 00:37:44.36 66L7SwsB0.net
これじゃ復活無理だろ原因はわからないままだろうな
300 :名無しさん@1周年 2019/07/14(日) 05:12:50.16 NyczMK+y0.net
>>10
これ
原因不明なまま再開はできないだろうから大変そう
305 :名無しさん@1周年 2019/07/14(日) 05:22:37.60 YTNjxtgp0.net
>>300
社長「二段階なんとかをするから大丈夫だ 早く再開させるんだ」
11 :名無しさん@1周年 2019/07/14(日) 00:37:49.00 ECDdKNAf0.net
全体攻撃で二回攻撃の可能性
12 :名無しさん@1周年 2019/07/14(日) 00:37:51.83 GOmJ1sPl0.net
これ、どこがシステムを作ったんだろう、まさか社内?
292 :名無しさん@1周年 2019/07/14(日) 04:55:14.58 u5IwQT/W0.net
>>12
複数の企業でチームを組んでいるが中核にいるのはNTTデータ
https://digital.nttdata.com/commerce/reference/7andi.html
「会員管理」もNTTデータが作ってるとのこと
295 :名無しさん@1周年 2019/07/14(日) 05:01:30.14 2uKvsQe50.net
>>292
これ作ったのNTTデータ?!
NTTデータってこんなクソシステム作るような会社だったっけ
306 :名無しさん@1周年 2019/07/14(日) 05:25:15.01 tvygHv4S0.net
>>295
SuicaもNTTデータだったような
その時もやらかして火消しに駆り出されたことがあったようななかったような
501 :名無しさん@1周年 2019/07/14(日) 09:23:31.88 2RZ6xefs0.net
>>12
昔、通販サイト作ったときに「社内で作ったのでやっすくできました。」って言ってたことあった様な。
13 :名無しさん@1周年 2019/07/14(日) 00:38:58.40 KP3NuMmJ0.net
セキュリティホールまだまだありそうだしな
14 :名無しさん@1周年 2019/07/14(日) 00:39:46.06 iuZaQcl7O.net
欠陥すぎあほか
16 :名無しさん@1周年 2019/07/14(日) 00:41:15.92 37WumeFS0.net
知ってた
しかし手落ち企業なのは変わらないんだよなあ
17 :名無しさん@1周年 2019/07/14(日) 00:41:26.49 C4vXmLrt0.net
他の顧客のリストもパスワードごと根こそぎ抜けたって言ってる奴いたやん
完全にカモられてるな
26 :名無しさん@1周年 2019/07/14(日) 00:48:49.76 XGi/Eegd0.net
セブンイレブンは電子マネーに参入したら
ダメな企業
29 :名無しさん@1周年 2019/07/14(日) 00:49:24.41 zqY0UdHz0.net
プログラミングから何から中国に外注したんでしょ
41 :名無しさん@1周年 2019/07/14(日) 00:53:02.08 Rrj6cLER0.net
>>29
その辺は委託先のSIerの領分だな
上場しているような大手SIerでも
再委託禁止とか海外禁止でも黙ってやってるところあるし
32 :名無しさん@1周年 2019/07/14(日) 00:50:14.37 7FNenTGt0.net
それでも停止はしないっ!
34 :名無しさん@1周年 2019/07/14(日) 00:50:48.95 h1Drrnd4O.net
サーバーにバックドアとかあるわけないだろ
クソして寝ろよ
38 :名無しさん@1周年 2019/07/14(日) 00:51:48.83 M3kvX/sW0.net
どっちにしろセブンは終わった。
44 :名無しさん@1周年 2019/07/14(日) 00:54:22.75 XrsF4kct0.net
中国人に
これからどんどん盗まれるぞ
46 :名無しさん@1周年 2019/07/14(日) 00:55:06.69 jCZTdLq/0.net
アンドロイドは情報が抜けてるな
48 :名無しさん@1周年 2019/07/14(日) 00:55:38.98 MBesT2zO0.net
信じがたい杜撰さだな…よくこんな企業がまだ存続できているもんだは
55 :名無しさん@1周年 2019/07/14(日) 01:00:42.74 0LqsKF6I0.net
ぶっちゃけamazon以外は怖くてクレカ決済できんわ
431 :名無しさん@1周年 2019/07/14(日) 08:24:00.68 jN417L7N0.net
>>55
アマゾンもしょっちゅう漏れてるのに・・・
447 :名無しさん@1周年 2019/07/14(日) 08:35:19.87 mfxUuqVt0.net
>>431
アマゾンを騙るフィッシングメールが頻繁に来るね
452 :名無しさん@1周年 2019/07/14(日) 08:38:04.85 CpAQbj1d0.net
>>431
世界的な規模で何千万人とかやられてたようなうろ覚え。

まあ、今回は無理やり鍵のかかったドアをこじ開けたってよりは、
内部の買収か何かで鍵を渡された感だな

クレカの方との連携システム間には問題なさそうで、
あくまでもセブン内部での感じか

485 :名無しさん@1周年 2019/07/14(日) 09:02:56.56 jN417L7N0.net
>>452
そう、たんなる総攻撃で済んでるか?っていう感じではあるな

インタビューでは個人16桁の二種類のPWが翌日、に盗まれたっていうことだった
出来んことではないが、
総当たりで16桁回すのって異常に早くないかと

それならサーバ側の秘匿性が漏れてて、サーバからリストを引っ張ってるということのほうが納得できる。

56 :名無しさん@1周年 2019/07/14(日) 01:00:55.60 C4vXmLrt0.net
銀行と予審はセキュリティ頑強にしなきゃならないのにぽっと出の奴等にやらせたんだろ
61 :名無しさん@1周年 2019/07/14(日) 01:03:44.35 9rf7LDTk0.net
>>1
だからといってセキュリティ甘いまま
ペイサービス始めちゃったことに変わりはない
引用元:http://asahi.5ch.net/test/read.cgi/newsplus/1563031982/

シェアする

  • このエントリーをはてなブックマークに追加

フォローする