「うち以外は淘汰されますよ」。7月1日、小売業界の関係者の集まりに出席したセブン&アイ・ホールディングス(HD)幹部は、この日から始めた自前のスマートフォン決済サービス「セブンペイ」について豪語した。セブン―イレブン・ジャパン社長の永松文彦(62)も「セブン&アイの店舗には毎日2400万人が訪れる。勝機はある」と語っていた。全国約2万1千店の強みを生かせば、スマホ決済で覇権を握れる。経営陣は自信
退場セブンペイ(2) 「うち以外は淘汰される」 - 日本経済新聞
「うち以外は淘汰されますよ」。7月1日、小売業界の関係者の集まりに出席したセブン&アイ・ホールディングス(HD)幹部は、この日から始めた自前のスマートフォン決済サービス「セブンペイ」について豪語した。セブン―イレブン・ジャパン社長の永松文彦(62)も「セブン&アイの店舗には毎日2400万人が訪れる。勝機はある」と語っていた。全国約2万1千店の強みを生かせば、スマホ決済で覇権を握れる。経営陣は自信
「うち以外淘汰される」 自信のセブン暗転(ルポ迫真) 退場セブンペイ(2) - 日本経済新聞
「うち以外は淘汰されますよ」。7月1日、小売業界の関係者の集まりに出席したセブン&アイ・ホールディングス(HD)幹部は、この日から始めた自前のスマートフォン決済サービス「セブンペイ」について豪語した。セブン―イレブン・ジャパン社長の永松文彦(62)も「セブン&アイの店舗には毎日2400万人が訪れる。勝機はある」と語っていた。全国約2万1千店の強みを生かせば、スマホ決済で覇権を握れる。経営陣は自信
7payは不正利用報告をクレーマーのようにとらえているのでは? - アンカテ
7payの撤退の会見について、その素早い損切りの決断を大局的な損害の極小化という意味で評価する意見をいくつか目にした。同意できる部分もあるが、不正利用の原因をリスト攻撃だと強弁するところなど、どうにも違和感を感じる部分も多い。この違和感は、エンジニアの多くが感じているもののようだが、それは最後まで解消されないまま終わりそうだ。 これについて、「7payの関係者の多くは不正利用の報告をクレーマーに対応する方法論で処理している」と考えると説明しやすいのではないかと思った。 新しい商品やサービスに対して、消費者から多くのクレームが同時に上がったら、無視していいものではない。むしろ、改良のための貴重な情報源として生かすべきだ。そのためには、クレームを分類して、同じような指摘が多く上がっているところから、対応していく。ここまでは、クレーム処理も不正利用報告も同じだろう。 不正利用の被害を分析していく
セブンペイ、9月末で終了へ | 共同通信
セブン&アイ・ホールディングスがスマートフォン決済「7pay(セブンペイ)」のサービスを9月末で終了する方針を固めたことが1日、分かった。
7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(デジタル庁統括官)
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを決断した経験があるが、これは奇妙なことだ。 一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。 パスワードをリセットすると多くの利用者が離脱する上に、サポート窓口の負荷が上がるため、数十万人のパスワードをリセットする場合も、時間をかけて反応を見ながら徐々に行う運用が一般的だ。 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定でき
“7iD” 会員のパスワードを強制的にリセット | NHKニュース
「7pay」の不正アクセス被害を受けて「セブン&アイ・ホールディングス」は、グループ各社が展開する通販サイトやアプリについて、利用の際に必要となる会員のパスワードを強制的にリセットする措置を取りました。セキュリティー対策を強化する取り組みの一環で対象は1650万人に上ります。 これらのサイトやアプリでは「7iD」と呼ばれる会社が独自に発行する共通のIDが使われていて、対象は1650万人に上るということです。 会員が引き続きアプリなどを利用するためには、新しいパスワードに再設定する必要があり、会社ではすべての会員に再設定するよう呼びかけています。 会社によりますと「7iD」に登録された生年月日や電話番号などの個人情報について、現時点では、外部への流出は確認されていないものの、セキュリティー対策の強化の一環で今回の対応を決めたということです。 スマホ決済サービスの「7pay」について、会社では
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
7pay事件前夜のセブン執行役が語った個人データ「統合」。店舗の1日利用者2400万人
不正アクセスによる多額の被害が明らかになり、サービス開始から4日で新規登録の停止に追い込まれたスマホ決済「7pay(セブンペイ)」。 親会社にあたるセブン&アイ・ホールディングス(セブン)は、セブンイレブンをはじめとしたリアル店舗を抱え、国内だけで1日に2400万人の来店客を誇る。セブンは、4年ほど前から、個人データを統合的に利用する体制の構築を進めている。 セブンがグループ内に抱える膨大な個人データが、統合的に運用されれば、利用者たちの消費行動に関するかなりの情報が集まるはずだ。7payによる個人の購買情報もその一つに挙げられている。 しかし、7payの不正アクセス事件が発覚して以降、認証プロセスに穴が存在した可能性が高まっている。 膨大な個人データを保有するだけに、個人情報が漏えいすれば、その被害も確実に大きなものになる。セブンが進める個人データの統合は、リスクの大きさと背中合わせだ。
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
7pay「組織的攻撃の可能性」専用パスワードでも被害 | NHKニュース
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。 こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がNHKの取材に応じました。 「7pay」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。 男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたというこ
コンビニ最強から一転、セブン‐イレブンの「劣化」が止まらないワケ(大原 浩) @moneygendai
「7Pay」問題は人災である 「7Pay」の不正使用および、問題発覚後の責任者達の対応の不手際が取りざたされている。 特にセキュリティ分野を中心とした「7Pay」の欠陥は、突っ込みどころが満載だ。しかし、電子決済分野については筆者が執行パートナーを務める、人間経済科学研究所代表パートナーの有地浩が日本有数の専門家であるので、「7Pay」そのものについては、研究レポート「7pay騒動から学ぶべきはIDの大切さだ」などを参照いただきたい。 筆者は、この問題は、いわゆる「大企業病」に侵され、長期的展望を欠いたセブン&アイ・グループの経営陣によって引き起こされた「人災」だとみている。 「7Pay」の社長が「2段階認証」を知らずに記者会見でしどろもどろになり醜態をさらした。もちろんこの社長の資質には疑問符がつくが、そのような人物を「7Pay」の社長に就任させたセブン-イレブン、セブン&アイ経営陣の責
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱
「セブンペイ HP」より 7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。 決済業界の中の人・めるかば氏も被害 7payの事件では、多くの被害者が経緯をTwitterでリポートしています。そのなかでもっとも信頼できる情報を発信されているのが、めるかば氏です。めるかば氏は、ある企業で決済の仕事をされており、まさに今回の事件が起きた同じ業界にいらっしゃる方です。めるかば氏に伺った話から、被害の経緯をまとめます。 被害にあっためるかば氏の報告ツイート。一連のツイートで被害状況を詳しくリポートしている めるかば氏の被害経緯 ・7月1日:7payサービス開始にともない登録。5,000円チャージし、1度決済 ・7月3日朝:7
7pay問題、NETFLIXライバル社の破綻…経営トップの「ITリテラシー」が企業の明暗をわける | デイリー新潮
「週刊新潮」の発売前日に速報が届く! メールマガジン登録 デイリー新潮とは? 広告掲載について お問い合わせ 著作権・リンクについて ご購入について 免責事項 プライバシーポリシー データポリシー 運営:株式会社新潮社 Copyright © SHINCHOSHA All Rights Reserved. すべての画像・データについて無断転用・無断転載を禁じます。
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「謝罪は3日後」セブンペイ被害者が明かした不正利用体験 - ライブドアニュース
7pay問題で、セブン&アイ各アプリのオープンIDログイン停止
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】