元凶はオムニ7?「7pay」のセキュリティがお粗末な根本原因 – MONEY PLUS使いやすさを優先しすぎた? そもそも、一般的な通販サイトで、再設定パスワードの送付先を、登録メールアドレス以外に送れるものはほぼありません。知らない間に他人のメールに送られる可能性があるからです。 さらに近年、多くのサイトでは、ログイン・パスワードなどの要素による認証に加えて、ワンタイムパスワードやSMS通知などを利用した認証も行う「多要素認証」という手法が採用されています。 7iDでは、このような推奨とされるセキュリティ対策が取られていませんでした。さらにiOS版のアプリでは生年月日の設定すら必須ではなく、未設定の場合は「2019/01/01」という初期値を入れれば、誰でもパスワードの変更ができるという状態でした。 前出のエンジニアは「オムニ7のユーザーは主婦が多い。使いやすさを求めるあまり、セキュリティを担保できなくなったのではないか。この脆弱性には以前から目をつけられていたはず。7p
