![7pay不正利用、経営陣に技術を見る目とビジョンはあったか](https://cdn-ak-scissors.b.st-hatena.com/image/square/1e46736d2600650e1d58d90ed04f1f3b0bcc88d9/height=288;version=1;width=512/https%3A%2F%2Fbusiness.nikkei.com%2Fatcl%2Fseminar%2F19%2F00030%2F070500035%2Ffb.jpg)
スマートフォン決済サービス「7pay」で事件が勃発した。2019年7月4日午前6時の時点で約900人分のアカウントが第三者による不正アクセスを受け、総額約5500万円の被害を受けた。だが、この不正アクセスは「セブン・ペイだけの問題ではない」と警鐘を鳴らすのが、メディアスケッチ代表取締役兼サイバー大学専任講師、AI/IoT評論家の伊本貴士氏だ。7payの問題点と日本企業のセキュリティー事業、そして防止策について同氏が語る。(近岡 裕=日経 xTECH) 2019年7月1日に提供を開始したスマートフォン決済サービス「7pay」の不正アクセス事件が発生したことを受けて、セブン&アイ・ホールディングス傘下で同サービスを手掛けるセブン・ペイが2019年7月4日に記者会見を行った。 7payが認証に利用している「7iD」では、「生年月日」と「登録電話番号」、「会員ID(メールアドレス)」でパスワードを
モバイル決済サービス「7pay」で不正ログイン被害が相次いだことを受け、経済産業省は7月5日、コード決済サービスを手掛ける各決済事業者などに対し、不正利用を防ぐガイドラインの徹底とセキュリティレベルの向上を要請した。 経産省や決済事業者などで構成されるキャッシュレス推進協議会は4月、不正利用を防ぐためにガイドラインを策定。決済事業者に対し、アカウント作成時の不正防止策などを求めている。しかし、7payでは本人確認に二段階認証の仕組みを導入していないなど、ガイドラインの基準を満たしていなかった。 これを受け、同省は各決済事業者に対し、「常に最新のセキュリティ情報を収集し、自社サービスのセキュリティ対策を見直した上で、セキュリティレベルの向上に努める」よう要請している。 7payでは1日のリリース後、不正ログインの被害が相次いだ。運営元のセブン・ペイの試算によると、不正アクセスの被害者は約90
経済産業省は2019年7月5日、キャッシュレス決済事業者に対して不正利用防止の各種ガイドラインの順守徹底とセキュリティーレベル向上を求めたと発表した。セブン・ペイが7月1日に開始したQRコード決済「7pay」で不正利用が多発したトラブルを受けた措置だ。 経産省は、不正利用が相次いだ「特定のコード決済サービス」は業界団体が定めているガイドラインを順守していなかったと指摘した。具体的には「本人確認の仕組みや不正利用のモニタリングに問題があった」(商務・サービスグループキャッシュレス推進室)としている。「特定のコード決済サービス」は7payを想定している。 コード決済の不正利用防止については、流出したクレジットカード番号の悪用などを防ぐための不正利用防止のガイドラインについて、キャッシュレス推進協議会が2019年4月に定めている。同協会が定めるコード決済の技術仕様でも、厳格に本人確認を行う方式な
不正利用が相次いだスマホ決済サービスの「7pay」について、「セブン&アイ・ホールディングス」は利用者がサービスに登録する際、段階を踏んで本人かどうか確認する「2段階認証」の導入や1日当たり30万円だったチャージの上限額の引き下げを決めました。 このため「セブン&アイ・ホールディングス」は安全対策にグループをあげて抜本的に取り組む必要があると判断しました。 まず、利用者がサービスに登録する際、段階を踏んで本人かどうか認証する「2段階認証」を導入するとともに1日当たり30万円だったチャージの上限額を引き下げることを決め、具体的な上限額の検討を急いでいます。 さらに、副社長をトップとする「セキュリティ対策プロジェクト」を新たに立ち上げ、外部のアドバイザーも交えて対策の強化に取り組むとしています。 経済産業省は「7pay」の運営会社に対して徹底した原因究明と早期に再発防止策をまとめるよう求めてお
スマホ決済「7pay(セブンペイ)」の不正使用問題で、携帯電話を使った2段階認証を行っていなかったことなどに対し、ネット上で疑問や批判が噴出している。 これは、業界団体のガイドラインにも反しており、経産省は、その遵守を業界に求める異例の要請を行った。 2段階認証なしでは、アカウント乗っ取りの危険性 「2段階認証?」。2019年7月4日に行われた緊急会見で、7pay運営会社セブン・ペイの小林強社長は、記者からの質問にこんな戸惑いを見せた。 この認証は、パスワードでの認証に加えて、携帯電話番号によるSMS(ショートメッセージサービス)を利用して本人確認をするものだ。 7payでは、2段階認証を行っていなかったが、会見では、その理由が明確ではなかった。セブン-イレブンのアプリの一機能として7payがあり、この認証と同じ土俵で比べられるか分からないとだけ答えていたからだ。 ところが、ネット上では、
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月5日、セキュリティ対策を強化すると発表した。既にサービス運営元のセブン・ペイで、モニタリングを行う人数と項目を増やした。今後は、二段階認証の導入や、チャージ1回当たりの上限額の見直しも予定している。 同日、被害状況の把握や原因究明のために「セキュリティ対策プロジェクト」を立ち上げた。社外のアドバイザーをメンバーに迎え、経産省などが決済事業者に求めるガイドラインに基づき、対策を講じていく方針だ。 関連記事 「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが緊急会見を開いた。 「7pay」不正ログイン被害で話題「二段階認証」とは? モバイル決済サービス「7pay」で不正ログイン被害が
セブン&アイ・ホールディングス(HD)のスマートフォン決済サービス「7pay(セブンペイ)」で不正利用の被害が出ている問題で、同社側の安全対策が不十分だったとの批判が強まっている。利用者の本人確認を2段階で行う仕組みを採用していなかったほか、第三者でもパスワードの再設定ができるなどの問題点が判明。「事前の安全審査で問題は指摘されなかった」としてきたセブン側は5日、本人確認の強化などを打ち出したが、対応の甘さを露呈した格好だ。 一般的なスマホ決済では、利用者が会員登録したりサービスを利用したりする際に「2段階認証」という仕組みを取り入れている。利用者はまず、自分のIDやパスワードを入力する。これを受け、事業者側が利用者の携帯電話番号にショートメールで数字や文字などで構成する「認証コード」を送信。利用者がそのコードを入力して、本人確認が完了するというものだ。
あからさまなセキュリティーの欠陥をついて、日本のセブンイレブンが今月1日にサービスを開始したばかりのスマホ決済「7pay(セブンペイ)」でアプリの不正アクセスが多発した。4日に記者会見したセブン&アイ・ホールディングスによると、同日午前6時の時点で、不正アクセス被害に遭った利用者は推計約900人、被害額は約5500万円に上るという。 セブン&アイ・ホールディングスは、「第三者がなんらかの方法で『7pay』利用者のアカウントにアクセスし、本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン‐イレブン店舗において商品を購入する」事態が発生したと発表した。 同社によると、サービス開始翌日の2日に「身に覚えのない取引があったようだ」と最初の問い合わせを客から受けた。3日に社内調査を実施した結果、不正利用が発覚したため、新規登録を停止したほか
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
セブン&アイ・ホールディングス(7&i HD)傘下セブン・ペイのQRコード決済システム「7pay(セブンペイ)」の一部アカウントが不正アクセスの被害を受けた。同社は不正利用を防ぐためにユーザーに「ログインID・パスワード、認証パスワードの管理」についての注意喚起をし、また新規登録を一時停止している。 セキュリティー対策の甘さが問題となったが、同様にQRコード決済サービスを提供する会社は様々ある。各社はセキュリティー対策をどのように取っているのか。 J-CASTニュース編集部は2019年7月5日、各社の対応を取材した。 PayPay、第2弾CPでの不正発生率は「0.0004%」 決済サービスときいて最初に思い浮かぶのは、「PayPay(ペイペイ)」(ソフトバンクとヤフーの合弁会社)だろう。同サービスをめぐっては2018年12月に実施された「100億円をあげちゃうキャンペーン」が注目された一方
セブンイレブンのモバイル決済サービス「7pay」の不正利用騒動。7月4日時点で、被害者900人、被害総額5,500万円という大きな被害が見込まれています。 なぜ、大企業が満を持してリリースした決済サービスが開始早々から、このような結果になったのでしょうか。その根本原因を探ってみました。 「現場は大混乱、もう謝るしかない」 「他の決済サービスに対抗するため、無理に開発を急いだから、こんなことになったのではないか。なぜリリース前に何のチェックも働かなかったのか」。セブンイレブンジャパンのある社員は憤りを隠しません。 同社にはOFC(店舗経営相談員)という、店舗を回り、フランチャイズ店の経営をサポートする社員がいます。この社員も、7月1日の7pay導入に向けて、オーナーを集めた勉強会を行ったり、7payを使ってもらうための施策を練ったりしていたといいます。 ところが4日午後、突然7payのクレジ
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
不正利用が相次いだスマホ決済サービスの「7pay」について、「セブン&アイ・ホールディングス」は、利用者がサービスに登録する際、段階を踏んで本人かどうか確認する「2段階認証」の導入や、1日あたり30万円だったチャージの上限額の引き下げを決めました。 「7pay」の不正利用では、およそ900人が被害にあい、被害額は5500万円に上る可能性があり、会社では被害の拡大を防ぐためすべてのチャージや新規登録を停止するとともに、不審な取り引きを監視する要員を増やすなどの対応を取っています。 しかし、専門家からは安全対策の甘さを厳しく指摘する声が出ています。 このため「セブン&アイ・ホールディングス」は、安全対策にグループをあげて抜本的に取り組む必要があると判断しました。 まず、利用者がサービスに登録する際段階を踏んで本人かどうか認証する「2段階認証」を導入するとともに、1日あたり30万円だったチャージ
📱【Y!モバイル】 他社発MNPのSIM契約で最大10,000円相当貰える PayPayにキャリア決済でチャージ可能なので携帯代をクレカ精算で税金もカード還元率で払える
7payはあまりに脆弱性が多過ぎ、何が本筋で不正アクセスに至ったのか議論が混乱している。不正アクセス事案の初期段階は原因の絞り込みが難しく、様々な可能性が考えられる中で被害の類型やログなどを確認し、影響範囲を推定して顧客への影響を最小限に抑えながら止血することが求められる。 仮にリスト型攻撃が原因であれば、ID・パスワードを使いまわした方、特にリストが出回っている方を中心に被害に遭っている。リスクベース認証を入れる、SMS OTPやFIDOといった多要素認証を入れる、tokenやdevice fingerprintingでIDとデバイスを紐付ける、漏洩リストを買って出回っているID・パスワードと一致したアカウントを凍結するといった対策が有効だ。いずれも改修に時間を要するので、暫定的には海外からのアクセスを止めてbot遮断サービスやcaptchaを挟むことで被害を軽減できる。 仮にパスワード
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く