目次
【注意喚起】セブンイレブンの7payで高額の不正利用が多発!7pay側は補償してくれない可能性も!?
コンビニエンスストア大手セブンイレブンを擁するセブン&アイ・ホールディングスが始めたQRコード決済サービス「7pay」で不正利用が多発しているとして注意喚起がなされています。
しつこいですが、7payアプリは削除しましょう!オニギリ無料に釣られてアプリ登録したら、40万円搾取された(^.^) 1個40万円の人生最高価格のおにぎり。あっ、そういえばおにぎりクーポン来ないなぁ
クレジットカード登録したら本当にヤバイよ!
7pay被害者を増やさない為に拡散して下さい! pic.twitter.com/4s0y9pnSKg— シェアバー (@Sharebars) 2019年7月3日
7payアカウント乗っ取り被害に会いました。
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
クレジットカードカード会社からの確認依頼で見に覚えの無い複数回の高額チャージと100キロ以上離れた東京都内で決済が実行されているのを確認し、不正利用被害申告と対応措置を取りました。
問題発生箇所は調査中との事ですが、落ち着くまではカード・金融機関情報の一旦削除をお勧めします。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
【続報】7pay アカウント乗っ取り被害に会いました。
クレジットカードカード会社の対応については何ら不安はありませんでしたが、7pay側は不正アクセス以前の、私自身の意思によるチャージ分の補償の予定はないとの事。
利用登録者(私本人)アプリ利用登録上の落ち度は無いにもかかわらず、— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
この言い切り方は受け入れ難く、私自身の本アプリ利用上のセキュリティ管理には落ち度は無い旨伝え対応を求めた所、「どうしてもと言う事で有れば、警察への被害届け番号を改めてお知らせください」との事。
「補償しません」「はい分かりました」と言える人はどれ程居るだろうか?
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
動画:スマートフォン決済サービス「7Pay」で不正利用
7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn
— 岬太郎 (@frogeye9999) 2019年7月2日
7pay側は当事者意識が欠如しているようです
7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 https://t.co/mUNXozAt21
— 藤川大祐 (@daisukef) 2019年7月3日
レジで現金チャージに対応ってレジが混んで意味ないですよね
【7Payのここがダメ】
●レジで現金チャージに対応したので手間大
●チャージバーコードと決済バーコードを分けたので客も混乱
●初日から鯖落ち
●還元率改悪したのに、nanacoポイント2倍とお得さをアピールする腐った根性
●レジキーが独立していない
●nanacoとは取り扱いが違うので従業員パンク— 6〜7 静岡@C96 4日目西か02a (@HONU_A380) 2019年7月1日
クレジットカード側ではなく7pay側の会員情報の漏洩の可能性も
7payはたぶん会員アカウントが漏れている。
めったに使わないメルアド&先月発行クレカの組み合わせだし
たぶんクレカの漏れではない。会員アカウントに3Dセキュア使ってクレカを紐づけた状態で、
乗っ取られた感じでしょうな。アクセスできなくなってて、
パスワード変更してログインしたし。— Shinji ஐ aKind ぴこ (@s_shutterbox) 2019年7月3日
イメージとしては昔のLINE乗っ取りと同じ感じかも(推測)。メールとパスワードだけで別端末に7payを使えるセブンイレブンアプリが移行できてしまう。犯人は端末を用意し、リストを元に総当たりしてセブンイレブンアプリを乗っ取る形か(まだ検証必要です)セブン側は移行時の電話認証を用意するべき
— 三上洋 (@mikamiyoh) 2019年7月3日
1日のシステムダウンは、リスト攻撃マンの不正登録ブルートフォースによるものだったのかなって考えてる。
— かすん (@co_ojjj) 2019年7月3日
パスワードは総当たりで使いまわせてしまう可能性も指摘されています
セブンIDのパスワードとチャージ用の認証パスワード、同じものにできるのか。もしそうなら全く意味がない。。。
アプリにはIDとパスワードだけでログインできるので、それが流出してると登録したカードの限界までチャージされる。
— 山口健太 (@tezawaly) 2019年7月3日
実際にやってみると、2つのパスワードは微妙に要件が違うけど「8文字以上の小文字と数字」なら使い回せてしまう。
しかも認証パスワードの2回目の入力はコピペ不可のため、パスワード管理アプリでランダム生成した強いパスワードは使いにくい仕様。 pic.twitter.com/r4cBfrYMGX
— 山口健太 (@tezawaly) 2019年7月3日
総当たりというか流出パスワードリスト攻撃があることを想定した仕様にしてないのはダメでしょ
— neta (@neta__) 2019年7月3日
後発サービスでセキュリティがガバガバって・・・
7pay、おまえ後発サービスでその品質は……
— みどりのきつね (@oage_on_fox) 2019年7月3日
後発の下請け発注アプリはセキュリティガバガバになりやすいってマックの女子高生が言ってた
— もぐり (@mogukabu) 2019年7月3日
元々クレカでのチャージが無いシステムに後付けで7payを乗っけた時点で認証周りの仕様を見直さないといけなかったのに、何も考えずにそのままやっちゃったので事故ったんだろな~
— しの (@SH1N0) 2019年7月3日
paypayは出た当初は色々言われてたけど、まだちゃんとしてる方だったな。ソフトバンクとはいえ、一応システムベンダ側だし。コンビニ系とか自分ところで技術持ってなさそうなところはこわい。
— さたけ❎ _ (@satake_take) 2019年7月3日
黙ってりゃnanacoで安泰だったのにミーハーでバーコード決済入れたら深刻な脆弱性が発覚するのほんと笑う
— レトナール (@ko6Meg) 2019年7月3日
流通業ナンバーワン企業のネット戦略は間違っている!?
鈴木王朝崩壊後のあれこれを見ていると、セブンイレブンというかイトーヨーカ堂というのは、結局のところ古い流通業の勝者であって、次世代で王者の地位は守れなさそうという印象が深まる。鈴木敏文は息子をネット担当重役にし、それがうまく機能してなかったのは事実だが、問題意識は高かった。
— kaoruww (@kaoruww) 2019年7月2日
今のヨーカ堂のネット戦略はとても流通業ナンバーワン企業のものとは思えない代物。世界の流通王者ウォルマートもネット対応に苦心しているとはいえ、巨額の買収を行ったり高性能のアプリをリリースしたり、強烈な危機感を持っていることがわかる。nanacoに加えて7payとかふざけてるの?
— kaoruww (@kaoruww) 2019年7月2日
