mkusunokのブックマーク / 2019年7月12日

［独自記事］7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明

セブン＆アイ・ホールディングスが決済サービス「7pay（セブンペイ）」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」（広報）としている。この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン＆アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI

mkusunok 2019/07/12

外部IDを使ったログインにどんな脆弱性があったのか解説記事が出ました

リンク

仮想通貨35億円流出　ビットポイント、親会社発表　金融庁、報告命令へ - 日本経済新聞

リミックスポイントは12日、子会社で暗号資産（仮想通貨）交換業を手掛けるビットポイントジャパン（東京・港）で仮想通貨の不正流出が判明したと発表した。全容は調査中だが、被害額は概算で約35億円。このうち約25億円が顧客の預かり分で、顧客資産についてはビットポイントで補償する方針としている。【関連記事】リミックス、仮想通貨流出額は30億円　海外でも被害リリースによると、11日22時12分ごろに仮想

mkusunok 2019/07/12

“11日午後22時12分ごろに仮想通貨の一種であるリップルの送金に関するエラーを検知し、対応を開始した。同39分ごろに不正流出を確認した。翌12日未明の午前2時ごろにはリップル以外の仮想通貨でも不正流出を確認”

リンク

仮想通貨取引のビットポイント、緊急メンテで全サービス停止　親会社の株価はストップ安に

電力小売などを手掛けるリミックスポイントの子会社で、仮想通貨交換業者のビットポイントジャパンは7月12日、緊急メンテナンスのため同日午前10時30分ころから全サービスを停止した。原因と終了時期は明かしていない。当初の緊急メンテナンスは午前6時30分～正午を予定しており、送受金サービスのみ停止するとしていたが、途中で急きょ予定を変更。仮想通貨取引、法定通貨の入出金、店舗決済など、あらゆるサービスを停止した。ビットポイントジャパンは、マネーロンダリング対策が不十分などとして、2018年6月に金融庁から資金決済法に基づく業務改善命令を受けた。その後約1年間にわたって改善策の実施状況を報告し、19年6月に報告義務を解除されていた。親会社の株価は急落サービス停止を受け、リミックスポイントの株価（東証2部）が急落。午後0時57分には、値幅制限の下限（ストップ安）となる前日比80円安（－18.6

mkusunok 2019/07/12

今朝から騒ぎになってたのね。こう立て続けに金融庁も大変ですね

リンク

「機械受注」落ち込みの衝撃。工作機械32カ月ぶり1000億円割れ、プレス半減ニュースイッチ by 日刊工業新聞社

日本工作機械工業会（日工会）が９日発表した６月の工作機械の受注実績（速報値）は、前年同月比３８・０％減の９８８億２９００万円で、２０１６年１０月以来３２カ月ぶりに１０００億円を割り込んだ。内需は同４０・３％減の３７６億３００万円、外需は同３６・４％減の６１２億２６００万円でともに大幅減。米中貿易摩擦に端を発した設備投資への慎重姿勢が内外で広がっている。前月比での減少は３カ月連続。１９年３月は期末効果もあり１３０６億６４００万円で前月比１９・１％増と盛り返したが、４月以降は再び１０００億円台となり、大台割れが危ぶまれていた。内需は１７年１月以来２９カ月ぶりに４００億円を割った。ものづくり補助金の審査が６月にあり、７月以降に向けて発注を手控える動きが影響した。外需は１６年１２月以来３１カ月ぶりの６５０億円割れ。投資への慎重姿勢が中国以外にも広がった。今後の見通しは不透明。米中摩擦の行方は

mkusunok 2019/07/12

地味に重い話。腰折れたことは明らかなのでは？

リンク

セブン・ペイに報告命令　金融庁、内部管理など精査 - 日本経済新聞

金融庁がセブン―イレブンの店舗で使えるスマートフォン決済サービスを提供するセブン・ペイ（東京・千代田）に対して、資金決済法に基づく報告徴求命令を出したことが12日、分かった。不正利用の原因や再発防止への取り組みなどの報告を求め、内部管理体制に問題がなかったか詳しく調べる。金融庁は実態把握を進めた上で改善策を求める見通しだ。セブン・ペイは7月1日から決済サービスを始めたが、一部の利用者で身に覚

mkusunok 2019/07/12

これで頰被りせずにOmni7の認証ログを掘ることになればいいけど→資金決済法に基づく報告徴求命令

リンク

https://www.cryptrec.go.jp/report/archives/cryptrec-gl-3002-0.0.pdf

mkusunok 2019/07/12

これは鍵管理に悩む仮想通貨交換業者にも役立ちそうな取り組み。CGTFでも勉強しなきゃね

リンク

仮想通貨資金数十億円流出か　ビットポイント - 日本経済新聞

暗号資産（仮想通貨）交換業者のビットポイントジャパン（東京・港）で、不正アクセスとみられるハッキングで資金が不正流出したことが明らかになった。金額は数十億円とみられる。同社は12日、ウェブサイトで入出金や取引を含む全サービスを停止したと発表した。サービス再開時期は未定としている。【関連記事】リミックス、仮想通貨流出額は30億円　海外でも被害リリースによると、この日の午前6時30分から入出金を停

mkusunok 2019/07/12

業務改善命令が解けた翌々週、タイミング悪過ぎ

リンク

https://www.release.tdnet.info/inbs/140120190712471249.pdf

mkusunok 2019/07/12

ビットポイントジャパンから不正アクセスでホットウォレット上のリップルが流出。流出額は概算で約35億円（うち、お客様からの預かり分約25億円、BPJ保有分約10億円）と

リンク

７Ｐａｙ不正また中国人逮捕国際的組織がＩＤなど用意か | NHKニュース

不正利用が相次いだスマホ決済サービス「７ｐａｙ」をめぐってまた逮捕です。東京千代田区のセブンイレブンで利用者になりすまし、およそ３万円の商品を盗んだとして、中国人のアルバイト店員が逮捕されました。警視庁は一連の事件との関連を調べています。警視庁によりますと、ユ容疑者は今月４日から５日にかけて、アルバイト先の東京千代田区のセブンイレブンで「７ｐａｙ」の利用者のＩＤとパスワードを不正に使い、電子タバコなどおよそ３万円分を盗んだ疑いが持たれています。ＩＤを使われた利用者から連絡があり、店が警視庁に届け出ていました。調べに対して容疑を認め「通信アプリを通じて『お金をあげるからたばこを買うのを手伝ってほしい』と中国人の友人から持ちかけられた。ＩＤとパスワードも送られてきた」と供述しているということです。「７ｐａｙ」をめぐっては不正利用が相次ぎ、ほかにも中国人２人が新宿区のセブンイレブンで

mkusunok 2019/07/12

ID連携の脆弱性を悪用してID詐取した場合、7IDのパスワードをどうやって入手したのか。APIでパスワードハッシュを引けてソルトをかけていない場合はレインボーテーブルなりで割るんだろうか？

リンク

はてなブックマーク

タグ

2019年7月12日のブックマーク (9件)

［独自記事］7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明

仮想通貨35億円流出　ビットポイント、親会社発表　金融庁、報告命令へ - 日本経済新聞

仮想通貨取引のビットポイント、緊急メンテで全サービス停止　親会社の株価はストップ安に

「機械受注」落ち込みの衝撃。工作機械32カ月ぶり1000億円割れ、プレス半減ニュースイッチ by 日刊工業新聞社

セブン・ペイに報告命令　金融庁、内部管理など精査 - 日本経済新聞

https://www.cryptrec.go.jp/report/archives/cryptrec-gl-3002-0.0.pdf

仮想通貨資金数十億円流出か　ビットポイント - 日本経済新聞

https://www.release.tdnet.info/inbs/140120190712471249.pdf

７Ｐａｙ不正また中国人逮捕国際的組織がＩＤなど用意か | NHKニュース

お知らせ

今週のはてなブックマーク数ランキング（2024年11月第2週）

今週のはてなブックマーク数ランキング（2024年11月第1週）

月間はてなブックマーク数ランキング（2024年10月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス