« 相手の立場になって考えよう (ただし相手が日本人の場合を除く) | トップページ | アベノミクスのせいで手取りが減っている? »

2019/07/06

サービス開始早々に不正アクセス被害が発生した原因は?

今月1日からサービスが開始されたセブン&アイ・ホールディングスのスマートフォン向け決済サービス「7pay」(セブンペイ)で、第三者による不正アクセスの被害があったそうですね。

 

読売新聞の記事によると、不正アクセスが疑われるのは約900人のアカウントで、被害総額は約5,500万円ということですが、サービス開始早々にこれだけの被害が出たということは、サービス開始前から狙われていたのかも…。

 

まあ、自分のように世間からオッサンと呼ばれるような年齢になると、こういった新しい技術や仕組みについて関心すら持たなくなるので、今回の事件については、遠い世界の出来事みたいな印象ですけどね。

 

そもそも、7payというサービスがあること自体を知りませんでしたし、今回のニュースについても、強いて言えば、「『○○ペイ』といった名称のサービスは危ないのかな?」くらいの感覚でしかないですよ。

 

ただ、これからはキャッシュレス時代…といった話しもあるようなので、漠然とした感じではありますが、自分もいつかはこういったサービスを使わざるを得ない状況になるのかもしれないなあ…とは思っていますが…。

 

ちなみに、自分が現金以外で使っているのは、クレジットカードとSuicaくらいです。あと、自宅にテレホンカードがありますが、携帯電話を持つようになってからは使っていないなあ…。

 

でも、どうでしょう。スマホ決済みたいなサービスが出てくるということは、そのサービスに何かしらの利便性があるということだと思うのですが、同時に、新しい技術や仕組みにはリスクが付き物ですからね。

 

今回のような事件が起こって、そのリスクが思ったよりも高いという雰囲気になってしまうと、こういったサービスも普及しないような気がします。

 

まあ、仮に被害に遭っても、少なくとも金銭的な損害についてはサービスを提供している会社やクレジットカード会社が保証してくれると思うのですが、被害に遭うこと自体が精神的に良くないこと(負担になること)ですからね…

 

といった今回の不正アクセス事件ですが、すでにネットのニュースサイトなどでは、いわゆる「パスワードリセット機能」が不正アクセスの原因ではないか…といった指摘がされていますね。

 

 

パスワードリセット機能とは、一言で言えば忘れてしまったパスワードの再発行機能のことですが、7payの場合、

 

・生年月日

・電話番号

・会員ID

 

の3つを同社のサイトで入力し、それらすべてが会員登録時の情報と一致すると、パスワード再設定用のメールが送信されてくる仕組みになっていたらしいです。

 

まあ、ここまでは他社の仕組みと似たような感じではないかと思うのですよね。

 

自分も、某サービスのパスワードを忘れたときには、こんな感じの操作をして、会員登録時に登録したメールアドレス宛にパスワード再設定用のメールを送信してもらいましたので…。

 

ただ、7payの場合は、パスワード再設定用のメールの送信先も任意に指定できるようになっていたらしく、実際に試した人の話しによれば、会員登録時に登録したメールアドレス以外の宛先にメールを送信することができたそうです…

 

ということで、

 

・会員IDにメールアドレスなどの推測されやすいものを使っている

・SNSなどで生年月日・電話番号・メールアドレスを公開している

 

といった人が7payを利用すると、第三者にパスワードの再設定をされてしまう可能性があるということのようですね。

 

しかしまあ、実際にこのパスワードリセット機能が不正アクセスの原因だったのかどうかはわかりませんが、仮にそうだったとすると、これは狙われても仕方がないな…。

 

こういうことには素人の自分が見ても危ないと感じるくらいですから、悪いことをしようとしている人たちからすれば、格好の標的だったのではないかと思います。

 

「いらっしゃいませ。どうぞ中へお入りください」といった状態ですよね?

 

でも、なぜ事前に登録したメールアドレス以外の宛先に送信できるようにしたのだろう…。このあたりは、すごく不思議に感じます。登録時のメールアドレスを変更してしまった人への配慮ですかね?

 

まあ、確かにそういったことをしている利用者にとっては利便性の高いパスワードリセット機能だと思いますが、セブン&アイ・ホールディングスという企業の信頼を犠牲にしてまでしなければいけないことだったのだろうか…。

 

■ 追記

 

共同通信に「7pay不正で中国籍男2人逮捕」の記事が出ていますね。逮捕された2人は、7payを不正使用して20万円分の電子たばこを購入しようとしたそうです。(電子たばこは換金しやすいということなのでしょうか?)

 

また、この記事には、「ハッカーや実行役を抱えた国際的な犯罪組織が関与した可能性」といったことも書かれていますが、仮にそうだったとすると、振り込め詐欺と同じで、今回捕まった人は組織の末端の人なのでしょうね。

 

 

« 相手の立場になって考えよう (ただし相手が日本人の場合を除く) | トップページ | アベノミクスのせいで手取りが減っている? »

日記」カテゴリの記事