「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】
全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制
2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが3月28日に、同件の調査報告書を公開した。調査によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用しており、侵入経路となったVPN機器は脆弱性が放置されているなどずさんな管理体制だったことが分かった。 問題が発生したのは22年10月31日。電子カルテシステムを稼働させていた基幹システムサーバがランサムウェアで暗号化され診療を制限することになった。完全復旧したのは23年1月11日。被害額は調査と復旧で数億円。診療制限で十数億円に及ぶという。 攻撃者は同センターが患者給食業務を委託している業者経由でシステムに侵入したとみられる。給食事業者に設置されていたVPN機器は脆弱性が放置されていたため、侵入経路になったという。 攻撃者は給食事業社のシス
ドコモ口座は、銀行口座やコンビニなどから口座へ入金するとネットショッピングの支払いやユーザー間の送金ができるサービス。登録した銀行口座から、ドコモ口座アカウントへの入出金にも対応する。 ドコモによると、第三者が銀行口座番号やキャッシュカードの暗証番号などを不正に入手し、本人になりすましてドコモ口座に銀行口座を新たに登録することで被害が発生したという。 同社は10日、ドコモ口座と連携する全35行の銀行口座の新規登録を当面停止すると発表。 同社の丸山誠治代表取締役副社長は「本人確認が十分でなかった。被害者の方やサービスの利用者の方に深くお詫びする」と謝罪した。 記者会見の一問一答まとめ 関連記事 「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ NTTドコモが提供する電子決済サービス「ドコモ口座」で発生した現金の不正引き出し事件について、同社が記者会見を開催した。質疑応答を一問一答でま
【更新】7pay不正利用、被害試算は900人 総額5500万円。4日14時で「チャージ」完全停止、新規登録も停止へ
7月4日15:30更新: 不正利用の手法について、「10万円ぶんのタバコを買う」といったことを確認している 不正アクセスのほとんどは海外IPからと言及。国・地域の具体例としては中国の名を挙げた 本人認証などの不備が指摘されているが、同社としては「(サービスイン前の同社のセキュリティー審査では)脆弱性は指摘されていなかった。そこについてはきちんと確認した」という認識 同社は、本件に関して被害届を出す方針 デジタル事業全体への影響については「(キャンペーンなどの施策が)期待どおりに進まない可能性はある」 セブン&アイ・ホールディングスは7月4日14時に同社のキャッシュレス決済「7pay(セブンペイ)」の不正利用問題に関する緊急会見をおこなった。 当面の間、セブンペイの現金・クレジットカードを含めたすべてのチャージ機能および新規登録を停止すると発表した。なお、新規登録に関しては原稿執筆時点で停止
女性も参加しやすいRuby勉強会「TokyoGirls.rb Meetup vol.2」。そこで、株式会社万葉の創業者兼代表取締役社長である大場寧子氏が、強いエンジニアになる方法について発表しました。前半では、強いエンジニアになるためには、どんな練習法がいいのかという話をします。 強いITエンジニアになるには 大場寧子氏(以下、大場):「強いエンジニアという灯(あかり)」というタイトルで話します、株式会社万葉の大場と申します。よろしくお願いします。 (会場拍手) まずは軽く自己紹介します。大場寧子と言って、@nay3というアカウントでTwitterをやっています。プログラマー歴がかれこれ32年ぐらいになってきました。「Ruby」と「Rails」が大好きなプログラマーです。今は株式会社万葉の創業者兼代表取締役社長ですが、7月からは株式会社レトリバの取締役も務めています。また、小学1年生の娘が
もう、これ以上長いパスワードなんて覚えられない! セキュリティとプライバシーの問題は、個人にとっても企業にとっても、もはや抜き差しならない大問題になってしまっている。 あなたは、いくつぐらいのアカウントとパスワードを使っているだろう? よく、指導されるようにランダムな英数文字記号を組み合わせている人は? パスワードの使い回しはしていないだろうか? おそらく日常生活で使うサービスのために、何百というランダムな文字列を記憶できる人はいないだろう。異常といえる程の記憶力を持っている人でないと、そんなことは不可能だ。ITに詳しくない一般の人……というところで考えると、大半の人がパスワードを使い回しているだろうし、中には端末に付箋で貼っているような人も少なくはないだろう。 しかし、セキュリティの問題は、個人にとっても企業にとっても、もはや最重要課題。個人にとっては、穴があると財産を失ったり、個人情報
7pay(7iD)のあまりに酷い仕様が判明したので不正利用されないように整理しておく【更新:二段階認証など小手先では解決できない、かなり深い問題の可能性】 - こぼねみ
7payの不正利用の問題が大きな話題となっています。 セブンイレブンは不正利用されたクレジットカードからのチャージは停止していますが、7payによる決済機能はまだ利用できる状態。 まだ7Payを利用していない方は、とりあえず利用開始をしないで不正利用の原因が判明し、完全に解決するまで待ちましょう。 すでに7payに登録してしまった方は、現時点分かっている問題点を確認し、パスワード変更やアカウント変更などで対処するしかなさそうです(むしろ退会してしまっても、とさえ思う)。僕も登録済みだったので調べてみました。 問題点については次の記事が詳しく、 7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - 個人 - Yahoo!ニュース その中で指摘されているのは、 7iDのパスワードリセット(再発行)がセキュリティ上最悪な仕様に なっていることです。 メールア
のぞみ全車指定のJR西日本、「お乗りになってから初めて自由席がないことにお気付きのお客様」とつい煽ってしまう
Apple's thinner new iPad Pros feature an M4 chip and "tandem" OLED displays
「7pay」で不正アクセス被害 「クレカから勝手にチャージされた」報告相次ぐ 運営元はID・パスワード変更を推奨
7月1日にリリースしたモバイル決済サービス「7pay」の一部アカウントが、 第三者による不正アクセスの被害を受けた。Twitter上にも「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いでいる。運営元のセブン・ペイは、簡単なID・パスワードを設定しているユーザーに対し、変更するよう呼び掛けている。 セブン&アイ・ホールディングス傘下の決済事業者セブン・ペイは7月3日、1日にリリースしたモバイル決済サービス「7pay」の一部アカウントが、 第三者による不正アクセスの被害を受けたと明らかにした。不正利用を防ぐため、ユーザーに「ログインID、パスワード、認証パスワードの管理にご注意ください」と呼び掛けている。 7payは、会計時にアプリのバーコード画面を提示し、店員に読み取ってもらうことで支払いが完了するサービス。電子マネーの残高は、クレジットカードなどからチ
「二段階認証…?」と言わないためのMFA入門 --- あるいはIDシステム地獄への案内 - ブログなんだよもん
はじめに さて、7 Payの社長が2段階認証知らなかった問題が良い感じに炎上していますね。 個人的には常に知っておく必要が絶対あるかというと専門分野の問題があるから議論の余地あるとして、セキュリティの問題で会見するなら部下にちゃんとレクさせろよ、とは思う。 7 PayとMFAの話は下記の動画でも話したんですが、7 Pay云々は忘れて「そもそもMFAってなに?」ってところをもう少し整理してまとめていきたいと思います。 www.youtube.com 認証と認可 まずはおきまりの「認証(Authentication)」と「認可(Authorization)」の違いです。 日本語で書いても英語で書いてもややこしいのですが、「認証」とは「Identify」すなわち誰であるかの確認です。対して「認可」は「Access Control」すなわち誰に何をさせる事を許可するか、という事です。 基本的にはM
30代では「Java」の人気が高く、16.1%と他の年代に比べて約2倍の支持を集めた。40代、50代では「Python」への注目度が高く、2位以下は一桁の回答率が続くなか、1位の「Python」だけがそれぞれ30%超えとなった。 人工知能や機械学習の分野では「Python」が使われているケースが多く、人気のプログラミング言語であることが浮き彫りとなった。またパーソルキャリアは20年12月にも「ITエンジニアが保有しているスキルランキング」を実施していて、その調査でもPythonが6位に入るなど、ビジネス現場での重要性が増している。 関連記事 上場企業の「想定時給」ランキング、3位三井物産、2位三菱商事 8000円超えで「ぶっちぎり1位」になったのは? 上場企業の「想定時給」ランキング……。3位三井物産、2位三菱商事に続き「ぶっちぎり1位」になったのは? 「年商1億円企業の社長」の給料はどれ
2019年7月、「7Pay」がセキュリティーの甘さから不正ログインを許す事件を起こし、利用者の間に不安を募らせた。だが、これでキャッシュレス決済の普及を目指す動きが止まったわけではない。小売店を開拓する領域では、大手IT系の事業者を軸に徐々に陣営が固まってきた。「日経トレンディ」8月号掲載の図を利用して、現状を見渡す。 「プレミアム“キャッシュレス”フライデー」と銘打ち、経済産業省とキャッシュレス推進協議会が主導して、業界全体でキャッシュレス推進のキャンペーンを、2019年3月とゴールデンウイークに実施。さらに同年10月から20年6月まで、政府が「キャッシュレス・消費者還元事業」を実施してキャッシュレスの普及に励む 「2025年までに決済全体に占めるキャッシュレス決済の割合を40%にまで引き上げる」──政府が掲げるこの目標を達成するには、コンビニエンスストアやドラッグストアのような大手チェ
ワイドショー「本物の二段階認証をお見せしますよ」
清水正行 @_shimizu 朝のワイドショーで7payの会見を報じていて、コメンテーターたちも「二段階認証をしらないなんて」という空気を出しているが、番組による二段階認証の説明が「仮登録後に携帯メールに送られてくるリンクから本登録する仕組みです」と明らかに間違っているのに誰も突っ込みを入れないという闇 2019-07-06 08:35:56
7pay問題から考えるデジタル化、デジタルトランスフォーメーションという言葉に感じる違和感(えふしん) - 個人 - Yahoo!ニュース
7pay問題へのツッコミを読んでいてデジタル戦略、デジタル化、デジタルトランスフォーメーションという言葉が大企業を中心に多用されていることに対する違和感にたどり着いた。 デジタルトランスフォーメーションという言葉は、政府が出している日本再興戦略に書かれている。この方針に則り、いろんな会社がビジネスチャンスとデジタルという言葉を使って「デジタル化推進」を進めているようだ。 話は変わるが、子供の頃使っていたコンピュータのディスプレイは8色しか表示できなかった。もっと前の人だとグリーンディスプレイで2色しか表示できなかったと言うだろうが、このような発色に限界があるモニタの事を当時は「デジタルモニタ」と呼んでいた。それに対して、256色、32768色、24万色などとたくさん色が表示できるモニタのことを「アナログモニタ」と呼んでいた。 その後、時代が変わりコンピュータとの間の信号をデジタル伝送できる
サービス開始からわずか4日で謝罪会見に追い込まれたコンビニエンスストア最大手のセブン&アイ・ホールディングス(HD)。
語るに落ちる体たらく この度、セブン&アイ・ホールディングス傘下のスマホ決済システム、「7pay(セブンペイ)」が大規模な事故を起こした。ID(7iD)が乗っ取られ、約6000万円の被害が出たのである。 そもそも2段階認証がなく(これだけで十分に信じられない事態である)、生年月日(略すると2019年1月1日が自動設定)・電話番号・メールアドレスでパスワード変更が可能になることから、簡単に乗っ取られ、リンクしたクレジットカードやデビットカードから入金され勝手に使用されるという、もはや絶句するしかない状況である。 本件においては、運用者は金融業務を行う常識も責任感も欠如しているといわざるを得ない。なぜだろうか。筆者のように長く金融の世界にいた人間からすると、そもそも、このスマホ決済は日本でいう金融の範疇に入っていないように見える。 フィンテックの対象分野は一般的にリテール分野である。先日も「P
セブン&アイ・ホールディングス独自のバーコード決済サービスとして2019年7月1日に始まった「7pay(セブンペイ)」。開始早々の7月2日夜ごろよりSNS上で「何者かに不正にチャージされ、その残高を利用されてしまった」との報告が上がり、翌3日にはセブン&アイがクレジットカード経由でのチャージを停止。4日に開催された記者会見では「現時点での被害者は約900人、被害総額約5500万円」と発表した。 これと前後し、3日ごろから「メールアドレスと生年月日などがわかれば第三者が7iDのパスワードを変更することができる」という内容の脆弱性がSNSやネットニュースなどで続々と報じられた。「7iD」はセブン&アイが運営している多くのネットサービスで使われているIDであり、今回の7payにも利用されていたことから、今回の事件は7iDに起因するものだとした報道が目立つようになってきた。 今回、筆者は被害者の1
7pay問題、NETFLIXライバル社の破綻…経営トップの「ITリテラシー」が企業の明暗をわける | デイリー新潮
「週刊新潮」の発売前日に速報が届く! メールマガジン登録 デイリー新潮とは? 広告掲載について お問い合わせ 著作権・リンクについて ご購入について 免責事項 プライバシーポリシー データポリシー 運営:株式会社新潮社 Copyright © SHINCHOSHA All Rights Reserved. すべての画像・データについて無断転用・無断転載を禁じます。
セブン&アイが、「7iD」のパスワードを再設定したユーザーに、セブン‐イレブンの商品が1つ無料になるクーポンを配布すると発表。対象商品は税別182円以下のおにぎり・パン・フランクなど。7月30日~11月30日にパスワード変更したユーザーにメールで配信する。 セブン&アイ・ホールディングス(HD)はこのほど、通販サイト「オムニ7」などのログインに必要な「7iD」のパスワードを再設定したユーザーに、セブン‐イレブンの商品が1つ無料になるクーポンを配布すると発表した。7iDの仕組みを使ったモバイル決済サービス「7pay」で不正ログインの被害が相次いだことを受け、同社はパスワードを一斉にリセットしていた。クーポンを配布し、ユーザーにパスワードの再設定を促す。 クーポンの対象は税別182円以下の商品で、おにぎり、パン、フランク、焼き鳥、コンビニコーヒー「セブンカフェ」の中から1つを選択できる。 クー
7pay 問題におけるデマ - どさにっき
■ 7pay 問題におけるデマ _ えーと、7-11 が盛大にやらかした件について、いろいろデマが飛びかってたようで。 社長が SMS と SNS の区別がついてなかったとか、 7/11 に再開できるようベンダーのケツを叩いてるとか。まあ、後者はもし万が一デマじゃなかったとしてもハイそうですなんて答えるわけないんだが。 _ で、デマなのにいまだ否定されていないものがもうひとつある。つーか大手メディアもがんがん流布してる。いちおう 日経ビジネスがそれを示唆する記事を上げてるけど、それ以上に踏みこんだ記事がいつまで待っても出てこない。 _ 具体的には、「パスワードリマインダの脆弱性が悪用されてアカウントを乗っ取られた」というデマ。まず断わっておくと、リマインダの作りが雑で、乗っ取られる危険性が高かったことは否定しない。が、その危険があったからといって、今回の事件で実際にそれが利用されたとはかぎ
スマホ決済サービス「7pay」の利用者に成り済まし、およそ2万5000円分の電子マネーをだまし取ったとして東京の会社経営者が逮捕されました。 警視庁によりますと、ことし7月、武蔵村山市のセブンイレブンで「7pay」の利用者のIDとパスワードを不正に使って電子マネーおよそ2万5000円分をだまし取ったとして、詐欺などの疑いが持たれています。 調べに対して容疑を認め「電子マネーを買ってほしいと知り合いの中国人女性から通信アプリを通じて持ちかけられた」と供述しているということです。 青木容疑者の元にはアプリを通じて少なくとも3人分の「7Pay」のIDとパスワードが送られていたということです。 警視庁によりますと、ほかにも東京や埼玉の十数店舗で似た男が同じ手口で合わせておよそ72万円分の電子マネーなどをだまし取ったということで、警視庁は関連を調べています。 「7pay」をめぐってはサービス開始直後
WEB口座振替という闇 インターネットバンキングと口座振替は、別の機能です。そのことがわかる画像をキャプチャしたので共有します。 4桁暗証番号と銀行口座の番号で口座振替が完結するのでは?という銀行がいくつか有ることが判明しています。 つまり、インターネットバンキングのログインとは「別機能」で、口座振替のWEB申し込みを提供している都市銀行があるのではという話にもなります。 なので、クレジットカードを新規作成して、口座振替を申し込みしてみました。 口座振替を申し込んでみた。 楽天カードを作って、口座振替を依頼してみしてみました。 楽天カードで申し込み画面を完了し、口座振替の登録画面に移行したところです。楽天カードからのWEB口座振替、やってみた。 この申込は生年月日を入力するだけ完結しました。 口座振替の申込みを開始する画面 最初の画面では口座振替の申込みを開始する画面です。画面が大きく分け
予想以上に反響が大きかった前回 2019年1月版 から約5ヶ月が経過し、日本の元号も平成から令和と変わりました。やっと最新状況をまとめる時間が少し取れたので、前回のアップデート版として「国内キャッシュレス決済カオスマップ (2019年6月版)」を公開します。 2019年前半を振り返ると、特にスマホを中心とした対面/店舗でのQRコード決済における新規参入が多く目立ちましたが、ここに来て新規参入に関してはピークを迎えつつあります。キャッシュレス推進自体はこれからですが… 今年後半にかけて各社戦略が出揃い、特に個人 (B2C) 向けはいわゆるキャズム超え (Early AdopterからMajorityへの突破) が可能なキャッシュレス手段/プラットフォームだけが国内市場で残っていくのではと予想しております。 支払い手段のまとめ方は前回同様、大きく3つの切り口です。予想通り、今回カテゴリーとして
仙台市を中心に展開する大手地銀の七十七銀行は、電子決済サービス「ドコモ口座」を利用した不正な引き落とし被害が生じているとして、「Web口振受付サービス」の利用を一時停止しました。 ドコモ口座 七十七銀行の注意喚起 「ドコモ口座」はNTTドコモが提供する電子決済サービス。七十七銀行によれば、不正に盗み出した同銀行の口座番号と暗証番号を「ドコモ口座」に紐づけ取引を行う犯罪行為が発生しているといいます。 Twitterでは被害報告が拡散されており、携帯電話のキャリアとしてドコモを利用していない人も被害に遭っているとのこと。 七十七銀行はドコモ口座を含む決済サービス等との紐づけができないよう「Web口振受付サービス」の利用を一時停止しています。 advertisement 関連記事 ヤフー、4年以上放置されているIDに利用停止措置 2020年2月から 不正利用を防ぐための措置とのこと。 PayPa
セブン―イレブンで使えるスマートフォン決済サービス「7pay(セブンペイ)」を不正に使用し20万円分の電子たばこを購入しようとしたとして、警視庁新宿署は4日、詐欺未遂の疑いで、いずれも中国籍の男で住所、職業不詳の張升容疑者(22)とワン・ユンフェイ容疑者(25)を逮捕した。捜査関係者への取材で分かった。 セブン&アイ・ホールディングスは中国など海外から不正アクセスが行われたと明らかにしている。ハッカーや実行役を抱えた国際的な犯罪組織が、サービス開始のタイミングを狙って一斉に関与した可能性があり、警視庁が捜査を進める。
レポート Windows 10のパスワード、24カ月以内に不要へ - 阿久津良和のWindows Weekly Report Windows 10でパスワードが不要になる――その日が近づいてきた。Microsoftが米国時間2019年7月10日にリリースしたWindows 10 Insider Preview ビルド18936には、「Make your device passwordless(デバイスをパスワードレスにする)」というオプションが一部のPCに展開された。本オプションを有効にすると、サインイン画面で選択可能だったパスワード入力が無効になる。 Windows 10 Insider Preview ビルド18936の新オプション 画面が撮影できないため、こちらはイメージ図。赤色の罫線で囲んだオプションが使用できなくなる 最近のPCはWindows Hello対応カメラを備えるデバイ
2019年7月2日より不正利用が報告されていた7payについて、他人のアカウントを使って商品を購入しようとして詐欺未遂で男二人が逮捕されました。ここでは関連する情報をまとめます。 また、7pay不正利用の一連の動きは以下でまとめています。 piyolog.hatenadiary.jp 事案概要 7pay不正購入事案で逮捕されたのは8月8日までに4人。 西武新宿店事案など 男2人 神田須田町の店*1事案 女1人 中野の店*2事案 男1人 警視庁へはこれ以外に10数件、不正購入に係る被害相談を受けている。 (1)西武新宿店事案 タイムラインは以下の通り。 日時 出来事 2019年7月2日夜 男AがWeixinで「限定品購入への対価支払い」の投稿を発見。 : 男Aが投稿主(指示役)へ依頼に対応すると返信。 : 投稿主から報酬額、購入手順の指示が送られる。 : 指示役から指示された場所で男AとBが
「ユナイテッドアローズ オンラインストア」のトップ画面では、サイトの停止と11月27日の再開を告知している(2019年10月29日現在) ファッションビジネスのコンサルタントとして業界をリードする小島健輔氏が、日々のニュースの裏側を解説する。システムの不具合でECサイトを一時休止する動きが相次いだが、その背景には何があるのか。 不正アクセス防止のめどが立たず3カ月で廃止されたセブン&アイ ホールディングスのスマホ決済サービス「セブンペイ(7PAY)」の衝撃も収まらないうちに、ユナイテッドアローズが公式ECサイトの自社管理への切り替えに行き詰まって利用停止に追い込まれ、元の委託先であるZOZO傘下のアラタナに再委託を頼み込んだ。小売業やアパレルのECはこのまま拡大して大丈夫なのか、リスク管理能力はあるのか、という懸念を抱かざるを得ない。 丸投げ外注・委託でリスク管理できるはずがない 「セブン
殺意駆動開発 @toru_inoue 「良いんですか、7payみたいになりますよ」というワードと、実際に半年未満でクローズという実績を作ってくれたのは偉い。 2019-08-01 13:19:20
📱【Y!モバイル】 他社発MNPのSIM契約で最大10,000円相当貰える PayPayにキャリア決済でチャージ可能なので携帯代をクレカ精算で税金もカード還元率で払える
セブン-イレブン、店舗従業員の残業手当の一部4億9000万円未払い判明 01年に問題発覚も公表せず、70年代から?
セブン-イレブン・ジャパンは12月10日、加盟店で働く従業員の残業手当の一部支払いが不足していることが分かったと発表しました。確認できているだけで金額は2012年3月支払い分からの約3万人分、約4億9000万円に上ります。給与支払いの計算式に誤りがあったためだと説明していますが、2001年に未払い問題が発覚しながら支払いなどの対応をしていなかったことも判明し、問題は1970年代にまで遡る可能性があります。 謝罪するセブン-イレブン・ジャパンの永松社長(ニコニコ生放送より) 未払いの対象(ニュースリリースより) 現時点で確認できているのは、2012年3月支払い分から2019年11月支払い分までの7年9カ月分で、全国8129店の3万405人分(4億9000万円のうち、1億1000万円は遅延損害金)。1人当たり平均約1万6000円ですが、1万円以下の人が約8割だとしています。12年3月支払い分よ
子育て中の就職氷河期世代として、学び直し的に情報セキュリティマネジメント試験に合格してみた - 斗比主閲子の姑日記
今年の10月に受けた情報セキュリティマネジメント試験に合格していました。 ※前の大臣じゃなくてよかった! 受験したのは、仕事でこの種の知識が直接的に必要だったからというわけではありません。私は情報セキュリティ絡みの仕事をしたことはない。 まず、勉強している子どもの前で親も勉強しているところを見せたいと常々考えていました。私が子どものときに親が勉強しているのは時々見たのだけれど、「親も勉強するんだな」というのは子どもながらに影響を受けたものです。ジャンルは子どもも興味を持ってくれそうなものが良かった。 次に、就職氷河期世代として、そろそろ学び直しが必要だという漠然とした意識がありました。昨日の日経でもそういう記事があって、 割を食うのは30~40代 岐路に立つ正社員制度 :日本経済新聞 ――30~40代は変化にどう備えれば良いのか? 「学び直しがカギだ。技術革新はさらに加速する。学生のときに
スマホ決済「7pay(セブンペイ)」の不正使用問題で、携帯電話を使った2段階認証を行っていなかったことなどに対し、ネット上で疑問や批判が噴出している。 これは、業界団体のガイドラインにも反しており、経産省は、その遵守を業界に求める異例の要請を行った。 2段階認証なしでは、アカウント乗っ取りの危険性 「2段階認証?」。2019年7月4日に行われた緊急会見で、7pay運営会社セブン・ペイの小林強社長は、記者からの質問にこんな戸惑いを見せた。 この認証は、パスワードでの認証に加えて、携帯電話番号によるSMS(ショートメッセージサービス)を利用して本人確認をするものだ。 7payでは、2段階認証を行っていなかったが、会見では、その理由が明確ではなかった。セブン-イレブンのアプリの一機能として7payがあり、この認証と同じ土俵で比べられるか分からないとだけ答えていたからだ。 ところが、ネット上では、
2022年12月26日 12時00分更新 文●EGセキュアソリューションズ株式会社 取締役CTO 徳丸 浩 編集●MOVIEW 清水 こんにちは。「KUSANAGI」の開発チームで取締役をしている相原です。 「KUSANAGI」はWordPressをはじめとするCMSを高速に動作させる仮想マシンです。わたしたちは「KUSANAGI」を開発して皆様にご利用いただくほか、お客様のWebサイトを「KUSANAGI」で運用しています。 この連載では、「KUSANAGI」の開発やお客様とのお話の中で感じた課題や実際の運用の中で得た知見などをお伝えしています。 今年もあとわずかとなってきました。連載25回目は、Webセキュリティの大家でプライム・ストラテジーの顧問でもある徳丸 浩先生に「Webセキュリティの2022年の振り返り」と題して寄稿をいただきました。今年を振り返りつつ、来年からのセキュリティに
xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり) : なか2656のblog
このブログ記事の概要 渋谷区などは施設予約システムなどにxID社のxIDを導入を計画しているとのことです。加賀市、兵庫県三田市、町田市などもこのxIDを電子申請システムなどに既に導入しているとのことです。 しかしxID社サイトの説明によると、xIDとは利用者からスマホアプリxIDにマイナンバー(個人番号)を入力させ、同アプリで当該マイナンバーからデジタルIDであるxIDを生成するものであるとのことですが、マイナンバー法を所管する個人情報保護委員会のマイナンバー法のガイドライン(事業者編)Q&A9-2は、「個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。」としており、xID社のxIDはマイナンバー法2条8項かっこ書きによりマイナンバーと法的に同等のもの(「
セブン・イレブンのオムニ7に脆弱性。攻撃者のメールアドレスへ再設定用リンクを送付されるリスク有り(大元隆志) - エキスパート - Yahoo!ニュース
セブン・イレブンが運営するQRコード決済の7Payが公開僅かで不正アクセスの被害に遭い、話題になっている。セブン・イレブンは7Pay提供以前から、オムニチャネル用IDとしてオムニ7を展開していたが、このオムニIDに脆弱性が存在することが明らかになった。 ■一定の条件を満たせば、パスワード再設定リンクを攻撃者が受信可能以下に、オムニ7のパスワード設定画面を示す。通常このようなパスワード再設定画面では「ユーザID」や「秘密のパスワード」等を入力することで、「ユーザの登録メールアドレス」に自動送信されることが一般的だ。 しかし、オムニIDのパスワード設定画面では、「送付先メールアドレス」が設定可能になっている。 オムニ7のパスワード再設定画面ここに、もし第三者が自分のメールアドレスを登録すれば、その第三者のメールアドレスにパスワード再設定のリンクが送信され、パスワードを新たに設定し、ログインする
【終了】7Payのパスワード再設定からの残高消失問題、手順ミスによる新規アカウント発行説が有力だけど、再設定しているにも関わらず消失している人もいるぽい
リンク Impress Watch 7pay対策で「7iD」パスワード一斉リセット。オムニ7や各社アプリも セブン&アイ・ホールディングスは、コード決済サービス「7pay」に対する不正アクセス被害の対策を進めるため、7月30日に「7iDパスワード」の一斉リセットを実施した。このパスワードリセットは「セキュリティ強化の一環」と説明している。また、7payの現時点での被害額も約3,860万円と発表している。 3 users 145 リンク COMEMO by NIKKEI 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) 7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ドコモ口座」不正預金引き出し事件、ドコモが謝罪 被害額1800万円の全額補償 「本人確認十分でなかった」
強いエンジニアになるための練習法 “失敗の芽”をどれだけ蓄えられるか?
パスワード世界の終焉! MS、Google、Samsung、などが大連合するFIDOとは? | flick!
セブン&アイ、7payを損切り(実稼働4日) : 市況かぶ全力2階建
Engadget | Technology News & Reviews
2021年、ITエンジニアが学びたいプログラミング言語ランキング
小売店開拓の領域でQRコード決済事業者は3大陣営に収れんへ!?
セブンイレブン店経営者、7pay被害者が訴える不正使用の実態〈週刊朝日〉
7pay事故で判明、日本の「キャッシュレス化」がじつは危ない理由(宿輪 純一) @moneygendai
7pay不正利用、経営陣に技術を見る目とビジョンはあったか
セブン、「7iD」のパスワード再設定した人に“おわびクーポン”配布 おにぎり・パンなど1品無料に
7Pay不正利用 会社経営者を詐欺容疑で逮捕 | NHKニュース
WEB口座振替とかいう、インターネットバンキングとはまた別の機能について。 - それマグで!
「7pay廃止」で幕引きとは言えない【西田宗千佳のイマトミライ】
国内キャッシュレス決済カオスマップ (2019年6月版)
「ドコモ口座」利用した引き落とし被害が発生 盗んだ個人情報から不正登録 七十七銀行が注意喚起
7pay不正で中国籍男2人逮捕 詐欺未遂容疑、国際組織か | 共同通信
Windows 10のパスワード、24カ月以内に不要へ - 阿久津良和のWindows Weekly Report
7payを使った不正購入事案についてまとめてみた - piyolog
ECサイト停止で露呈した「リスク管理能力なき拡大」の危うさ【小島健輔リポート】 - WWDJAPAN
『7payみたいになりますよ』一般人にもわかるセキュリティ事故&半年未満で終了という実績は客先で使える!「人は学ばない」
【7pay セブンペイ】不正利用の個人的な背景予想 2013年系列15万件流出事件→オムニ7→7pay
7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン&アイは...
Webセキュリティの2022年の振り返り
「7iDは十分なセキュリティ」、7payの二段階認証導入も「モニタリングで守れる」と判断し見送り――セブン&アイHDの開発体制
