ほりすのブログ

21歳女性エンジニアほりすのブログです

エンジニア視点で見る7pay事件

 

f:id:smilehoris:20190707021714j:image

 

こんにちはほりすです。

初めましての方もこんにちは。フリーランスでエンジニアをしている21歳女、ほりすと申します。

 

7pay、完全にやらかしましたね。

一言で言うとやばい。

 

とりあえず何があったのかイマイチ把握してない方もいると思うので今日は7payのお話です。

 

 

何がやばいのか?

 

www.7pay.co.jp

 

今なにが起こっているのかというと、

7payというセブンイレブン専用の電子決済サービスが7月から始まったわけなのですが

もう既に不正利用が多発しているんです。

900人ほど被害に遭われたらしく、被害総額は5500万円にものぼるみたいです…。

勝手にパスワード変えられ、乗っ取られ、勝手にお金を使われるサイバー犯罪です。

たまったもんじゃないですね。

 

 

どうして不正利用できたか?

 

一言でいうとセキュリティ管理がザルなんですね。。

「パスワードをお忘れの方へ」とかいうよくあるパスワード再設定に必要なのが、

 

・メールアドレス

・電話番号

・生年月日

 

 だけなのですが、

このうちメールアドレスは、最初に登録したメールアドレスじゃなくてもいい仕組みになっていました。

どういうことかというと、パスワード再設定画面で

「送付先メールアドレス」を打てるところがあるのですが、

これが登録したアドレスじゃなくても通るらしいです(笑)

 

これが問題になり、セブンイレブン側が対応をしたのですが

その対応というのが、

フォームの「送付先メールアドレス」のテーブルをCSSでdisplay:none;にしているだけだったんです。

display:none;を使うと、「存在は消さないけど画面には映さない」という仕様になります。

つまり隠してるだけなんですね(笑)

デベロッパーツールで見てみるとすぐにバレてしまいます。(右クリック→検証 またはFunctionキー+F12キー で見れるので気が向いた方はぜひ)

 

また、生年月日も、iOS版アプリでは、新規登録の時点では任意項目になっていて、

何も入力しなければ2019年1月1日と登録される仕様になっていました。

つまり、、生年月日を登録しなかった場合、電話番号だけで、第三者がパスワードを再設定し、不正利用できてしまうのです。

 

また、、、2段階認証がなかったせいとも言えます。

2段階認証は、よくあるものだと登録した電話番号宛てにSMSが届き、届いた暗証番号を入力することで本人確認を行うやつですね。

指紋認証とか虹彩認証とかも最近は結構ありますが「2段階認証」とはちょっと種類が違うみたいです。

そこはどうでもいいか…。

 

 

悪いのは発注側か?開発側か?

 

Twitter上で、セブンイレブンの会見での社長の発言がどうとか、開発した会社がやばいんじゃないかとか、色々意見が飛び交っていますが

個人的な見解だと発注側もエンジニアも両方悪いけど発注側の自業自得(⌒-⌒; )と思います。

 

発注側はあんまりコミュニュケーション取らず、低予算で適当に外注したんだろうなあと。。

発注側が何も言って来ないから、開発現場のSIerが「動けばそれでいい」みたいに思っちゃったんだろうし

発注するのにも最低限のネットリテラシーを持っていないと失敗する良い例ですね。

 

 

 

まとめ

 

2019年7月5日現在は7payサービスは停止しておりますが、もう少し早く止めていた方が良かったのではと思ってしまいます(⌒-⌒; )

 

2段階認証のないサービスを使うときは一度安全性を考えてから登録するようにしましょう。。。

 

ということで最後まで読んで頂きありがとうございました!

 

 

 

 

ほりす