サービスを止める勇気、動かし続ける勇気｜楠 正憲（デジタル庁統括官）

7payはあまりに脆弱性が多過ぎ、何が本筋で不正アクセスに至ったのか議論が混乱している。不正アクセス事案の初期段階は原因の絞り込みが難しく、様々な可能性が考えられる中で被害の類型やログなどを確認し、影響範囲を推定して顧客への影響を最小限に抑えながら止血することが求められる。 仮にリスト型攻撃が原因であれば、ID・パスワードを使いまわした方、特にリストが出回っている方を中心に被害に遭っている。リスクベース認証を入れる、SMS OTPやFIDOといった多要素認証を入れる、tokenやdevice fingerprintingでIDとデバイスを紐付ける、漏洩リストを買って出回っているID・パスワードと一致したアカウントを凍結するといった対策が有効だ。いずれも改修に時間を要するので、暫定的には海外からのアクセスを止めてbot遮断サービスやcaptchaを挟むことで被害を軽減できる。 仮にパスワード

[mkusunok]

パスワードを使い回しせず、リセットもされず、それでも悪用されてる人たちがいるよね、それってどういう意味？ってことを、もうちょっと真面目に考えた方がいいよね

[KoshianX]

この手の「顧客視点」ってなにも知らない人に新しい技術をどうやって使わせるか、というところに注力されがちだからのう……

[chintaro3]

謝礼も無しでこんなアドバイスがもらえるんだから大企業はトクだよなぁ。

[infobloga]

冷静な記事。プロってこういうことだな。