【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - エキスパート - Yahoo!ニュース
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。 地銀ばかりで被害 なぜ? 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。 ユーザーが
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
残高チャージ、新規登録を停止 決済機能はそのまま 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。 同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だった。 小林社長は、不正アクセスの発覚から現在までの経緯を説明。2日に「身に覚えのない取引があったようだ」という利用者からの問い合わせがあり、社内で調査した結果、3日に不正利用の事実を確認。カスタマーサポートの緊急ダイヤルを設置し、公式サイトでIDとパスワード管理について注意喚起した。 同日にクレジットカードとデビットカードによるチ
アジャイル開発とデータベース設計 - 変化に対応するシンプルな実装のために必要なこと - Agile Journey
はじめまして。そーだい(@soudai1025)です。私は普段は技術コンサルティングや受託開発を請け負う合同会社HaveFunTechの代表として、また、予防治療の自社サービスを展開する株式会社リンケージのCTOという二足の草鞋を履き、日々、さまざまなWebサービスの開発に携わっています。 これまでの開発経験のなかで、データベース設計に関わるさまざまな問題に遭遇してきましたが、本稿ではとくに、アジャイル開発時に発生しやすい問題とその対処についてお伝えしたいと思います。開発の現場で目にしやすい実装におけるアンチパターンを示しつつ、アジャイルという指針を維持しながら、対処となるデータベース設計についてご紹介します。 会員登録のアンチパターンと処方箋 イージーな実装とシンプルな実装 Userと言う名の罠 拡張と破綻 データベースは変化に弱い 仕様変更とテーブル変更 Addで変化に追従する 正規化
セブンペイ、抱えていた「不発弾」の代償
セブン&アイ・ホールディングスが7月1日に開始したスマホ決済サービス「7pay(セブンペイ)」で不正アクセス被害が発生した。SNS上で「30万円を不正利用された」「19万円を不正にチャージされて使われた」などの被害が相次いで報告され、セブン&アイは7月3日にクレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めた。セブン&アイの発表によると、7月4日の午前6時時点の試算で被害者は約900人、被害額は約5500万円に上る。 4日に会見したセブン&アイ傘下のセブン・ペイの小林強社長は「詳細な原因を調査中」と話した。だが、原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。 セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イ
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
Appleの製品セキュリティ解説が面白い
Appleは自社の製品セキュリティについて割と詳細に解説したホワイトペーパーを公開している。何故か日本語版もある。 (PDF版) https://manuals.info.apple.com/MANUALS/1000/MA1902/ja_JP/apple-platform-security-guide-j.pdf EDIT: 日本語版は無くなったようだ (PDF版) https://help.apple.com/pdf/security/ja_JP/apple-platform-security-guide-j.pdf EDIT: 新しいURLで公開された (PDF版) https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf このドキュメントは言わば ユーザのプライバシで商売をすることの決意表明
「権限要求多すぎ」──セブン-イレブンのTwitterキャンペーンに批判相次ぐ→中止に なぜこうなったかは「確認中」
セブン-イレブン・ジャパンが7月11日に始めたTwitterキャンペーンが波紋を呼んでいる。社名にちなんだ「セブン-イレブンの日」として無料クーポンをプレゼントする企画だったが、応募のためには個人のTwitterアカウントと外部アプリを連携させる必要があった。その際に要求される権限が不適切ではないかという声が上がり、同社は12日午後11時にキャンペーンの新規応募を中止した。 要求の中には「他のアカウントをフォロー、フォロー解除する」「他のアカウントをミュート、ブロック、報告する」「このアカウントでダイレクトメッセージを送信、確認、管理、削除する」など、アカウント情報を閲覧する以上の権限が含まれていた。 この要求を許可すると、セブン-イレブンが管理するサードパーティーアプリからツイートやフォロー、いいね、RT、プロフィール変更などの操作が可能となってしまう。これに対し、立命館大学の上原哲太郎
セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 セブン&アイHD/セブン・ペイ 2019年7月1日 [PDF] セブン&アイのバーコード決済「7pay(セブンペイ)」本日サービススタート! 2019年7月3日 【ご注意ください】ID・パスワードの管理について(削除済み) 7payに関する重要なお知らせ [PDF] 7pay に関する重要なお知らせ 2019年7月4日 チャージ機能の一時停止に関するお知らせ [PDF] 「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について 2019年7月5日 「7pay(セブンペイ)」に対する不正アクセスの件(第3報)セキュリティ対策の強化を目的とした新組織発足の
少し早いですが、メリークリスマス!事業開発部の早川です。 早いもので、入社して 1 ヶ月半が経ちました。 現在は、 prismatix の理解を深めながら、導入支援を行っています。 今回はその中から、認証 / 認可についてお伝えします。 と言っても、これまでに同僚達が書いた分かりやすい記事がありますので、これらのガイダンスの形で、整理していきたいと思います。 ジョインしました 以来、初めての記事となりますドキドキ 目標 本記事をご覧いただいた後、こちらのスライドを何となく理解できる気がすることを目標とします。 本スライドに関するブログ記事はこちらです。 AWS Dev Day Tokyo 2018 で「マイクロサービス時代の認証と認可」の話をしてきた #AWSDevDay 目的 まず、認証 / 認可を学ぶ理由を考えてみました。 近年、様々なサービスが API を通じてつながり、より便利
7pay終了へ 記者会見の一問一答まとめ
セブン&アイ・ホールディングスは8月1日、不正ログインの被害が相次いだモバイル決済サービス「7pay」を9月末で終了すると発表した。同社は同日午後3時から、都内で記者会見を開催。会見内容を一問一答形式でまとめた。 記者会見には、セブン&アイ・ホールディングスの後藤克弘副社長(兼 セキュリティ対策プロジェクト総責任者)、清水健氏(セキュリティ対策プロジェクト リーダー)、セブン・ペイ奥田裕康取締役、セブン&アイネット・メディア 田口広人社長が登壇した。 左からセブン&アイ・ネットメディアの田口広人社長、セブン&アイHDの後藤克弘副社長、セブン&アイHDの清水健執行役員(デジタル戦略推進本部 デジタル戦略部 シニアオフィサー)、セブン・ペイの奥田裕康氏(取締役 営業部長) ――手口について。原因は「リスト型アカウントハッキング」ということだが、不正利用にはログイン用のID・パスワードに加え、チ
セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。 モバイル決済サービス「7pay」で不正ログイン被害が相次いでいる問題で、運営元のセブン・ペイがこのほど、7iDのログインパスワードを再設定する手順を変更したことが分かった。第三者がユーザーの生年月日や電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにもパスワードを再設定するためのメールを送れる、という問題に対処した。だが、ネット上では「解決していない」という声も上がっている。 第三者がパスワードを再設定可能 7payでは1日のリリース直後から、第三者にアカウントが乗っ取られ、残高を不正利用される被害が発生。Twitter上では「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いだ。セブン・ペイは3
7pay(セブンペイ)の不正利用が話題になっています。 個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。 二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。 さらにはiOS版だと生年月日を登録なしにでき、その場合は2019/1/1が自動入力される仕組み(⇒生年月日を知らなくても突破される可能性すらある)。多少でもITをかじったことのある人間なら、あり得なさすぎて乾いた笑いしか出てこない状態。 第三者であっても「メールアドレス(セブンイレブンアプリに登録したもの)」「生年月日」「電話番号」がわかれば、パスワードを変更できる (中略) なんとiOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力。つまり未登録の人
こんにちは。アドカレ12/24の記事を簡単にではありますが書かせていただきました。(25日のポストで遅刻ですが) Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2023 - Qiita はじめに 本日のテーマ:思わず天を仰いでしまうID関連システムトラブル 本日のテーマは、みんな大好き「トラブル」の話です。CIAM(Consumer Identity and Access Management)領域のさまざまなシステムにさまざまな立場で関わり、さまざまなトラブルに遭遇してきた経験を踏まえて、クリスマスの合間の気楽な読み物として記載しましたので、一息ついていただければ幸いです。 今回はトラブルの中でも思わず「天を仰いでしまう」激ヤバトラブルにフォーカスして、私的ランキング形式でお届けしたいと思います。 天を仰ぐトラブルとは? 私
キャッシュレス決済がこんなに便利だって想像できた?
このごろのキャッシュレス このごろいくつかキャッシュレスの話題をネットで見かけた。 飲食店などが、キャッシュレス決済の手数料の高さに困っている、という話である。おれはそういう商売に携わったことがないのでわからないが、なるほど高そうだ。 とはいえ、この問題で小売店に同情する声というのはあまりない。ほとんどないといってもいいかもしれない。 「だったら現金オンリーにすればいいのでは?」という声が多い。「なじみの店、応援したい店では現金払いにしたい」という声もあるが、あまり多いとは言えない。 むしろ、オダギリジョーのCM(オダギリジョーの店に大口のお客さんがきそうになるが、キャッシュレス決済ができないことによって機会損失する……テレビをまったく見ない人向けの解説)のように、「じゃあいいですー」ってなるよ、という人が多い。現金まったく持ち歩かないよ、という人もいる。 おれは、どうなのか。おれはつねに
エイプリルフールに便乗しているサイトまとめ2020年版
By mera 毎年おなじみのエイプリルフールが今年も始まりました。さまざまな意味でいろいろなネタがネットを飛び交う日です。 ◆エイプリルフール記事が更新される度にすぐ知る便利な方法 GIGAZINE編集部はエイプリルフールに便乗していろいろと仕込みまくっている各サイトを4月1日0時~24時まで、文字通り24時間リアルタイム更新し、この記事にまとめて追加し続けます。時間の経過とともに更新内容が追加されていけばいくほど、どんどん長くなっていきます。「ページを再読み込みして、追加があるかどうか確認するのはギガも無駄に減るしちょっと……」という場合は、GIGAZINEのTwitter公式アカウント・Facebook公式アカウントに随時、更新通知の投稿をしますので、フォローしておくと今後ともいろいろ便利です。さらにChromeとFirefoxの場合、右上の「通知」アイコンをクリックすると、プッシュ
[2023/05/09追記]この記事には補足の記事があります。[/追記] 弊社、設立時からのメーンバンクはみずほ銀行だったんだけど、近年、みずほ銀行は色々アレな感じで、ネットバンキングがうっかり止まってしまったりしたらダメージもろに受けうるなぁというリスクをひしひしと感じていたので、去年の5月…だからちょうど1年前くらいですか。三井住友銀行(SMBC)に変更したんです。いっていの並行期間を持ちつつ、取引先の各方面へ周知しつつって感じで無事に移行完了と。 SMBCは、法人のネットバンキングが、振込制限が1日300万円までとか振込予約ができないとか明細のCSVがダウンロードできないとかの制約があるプランが一番下のグレードにあって、そうした制約でも構わないなら使用料ががただなんですよ。住信SBIネット銀行も維持費無料ですが、ネット専業銀行じゃない大手銀行としては珍しいというか良心的だなぁと。 で
【レポ】毎年iPhone買い替えしなくてもOK。バッテリー交換で延命してきました 2021 12/29 毎年秋に発表・発売される新型iPhoneシリーズ。正直なところ、ここ数年は前機種と比べてわかりやすい大きな変化がなく、端末価格を考えて毎年の買い替えはせずに2年ごと、4年ごと…という方も多いのではないでしょうか。 筆者は昨年秋にiPhone12 Proを購入し、それまで使っていたiPhone11 Pro Maxは家族にお下がりに。ただ、2年利用した端末のためバッテリー持ちが悪くなっていました。今年秋のiPhone13シリーズに買い替えるか検討しましたが、Apple公式修理のバッテリー交換で”延命”することにしました。 バッテリー交換の目安は「バッテリー残量80%未満」 iPhoneのバッテリー持ちが悪くなったと感じたときに、端末買い換えを検討する方が多いと思います。iOS機能でバッテリー
セブン-イレブンのスマートフォン決済アプリ「7pay(セブンペイ)」で、不正アクセスへの対応のため7月30日に全アカウントのパスワードリセットが実施されました(関連記事)。 SNS上では「このリセットのせいで、チャージしてあった残高が消えてしまった」といった報告が拡散中です。ねとらぼ編集部が運営元のセブン&アイ・ホールディングスに問い合わせたところ、「今回のリセットに伴い残高が消えてしまうことはありません」と説明がありました。 7月30日にパスワードの一斉リセットを行っていた 同社広報は、SNS上での「残高が消えた」との声は把握していると前置いた上で、「今回のリセットや、システム上の不具合のせいで残高、バッジ、クーポンが消えているということはない」と回答。 利用者から問い合わせがあった場合はヒアリングをした上で個別対応を行っており、「事象はお客様によって異なります。例えば複数IDを使ってい
2019-nCoVについてのメモとリンク
リンク集目次 国内外の状況 政府機関・国際機関等 学術情報 疫学論文 分子生物学/ウイルス学論文 臨床論文 インフォデミック関係 ワクチン関係 変異株関係 時系列メモ目次 新型コロナウイルス(2020年1月6日,11日) インペリグループによる患者数推定(2020年1月18日) 患者数急増,西浦さんたちの論文(2020年1月20日,23日) WHOはPHEIC宣言せず(2020年1月23-24日) 絶対リスクと相対リスク(2020年1月26日) 研究ラッシュが起こるかも(2020年1月27日) なぜ新感染症でなく指定感染症なのか? なぜ厚労省令でなく閣議決定なのか?(2020年1月27日) コロナウイルスに対する個人防御(2020年1月27日) 国内ヒト=ヒト感染発生(2020年1月28日) フォローアップセンター設置,緊急避難等(2020年1月29日) PHEICの宣言(2020年1月3
エイプリルフールに便乗しているサイトまとめ2022年版
By ほしのるる 毎年おなじみのエイプリルフールが今年も始まってしまいました。一体どれが本当なのか、どのあたりが実はウソなのか、どこからどこまでがネタで、もしかして実はマジでやるのではないか?というようにして現実と虚構が融合していき、いろいろな意味で記憶に残る恐るべき一日の始まりです! ◆エイプリルフール記事が更新される度にすぐ知る便利な方法 GIGAZINE編集部はエイプリルフールに便乗していろいろなことをしている各サイトを4月1日0時~24時まで、文字通り24時間リアルタイム更新し、この記事にまとめて追加し続けます。時間の経過とともに更新内容がどんどん追加されていき、この記事は次第にとんでもない長さになっていきます。「ページを再読み込みして、追加があるかどうか確認するのはギガも無駄に減るし重いし……」という場合は、GIGAZINEのTwitter公式アカウント・Facebook公式アカ
「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について | セブン&アイ・ホールディングス
株式会社セブン&アイ・ホールディングス(以下、当社)傘下の株式会社セブン・ペイ(以下、セブン・ペイ)が運営するバーコード決済サービス「7pay(セブンペイ、以下、7pay)」の一部アカウントに対する不正アクセスが発生いたしました。 お客様をはじめとする皆様に、多大なご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。 上記不正アクセス事案(以下、本事案)につき、当社では「セキュリティ対策プロジェクト」を立ち上げ、被害状況の把握と発生原因の調査を進めるとともに、今後の対応等を含めた検討を重ねてまいりました。当該プロジェクトにおける検討結果を踏まえ、(1)7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されること、(2)その間、サービスを継続するとすれば「利用(支払)のみ」、という不完全な形とせざるを得ないこと
多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して本人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。 The Booming Underground Market for Bots That Steal Your 2FA Codes https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon
Huaweiは米国により制裁措置を受けています。その影響によりGMS(Googleサービス)がすべて利用できない状態になっています。そんなP40 Proは実用できるのか。そして端末の出来はどうなのか。レビューしていきます。 外観 今更ですが一応外観を確認していきます。背面はつるつるしたガラス、カメラユニットはかなり大きめ。光の当たり方で色が若干変わるのがおしゃれですね。 側面は音量ボタンと電源ボタンのみ。反対側にはなにもありません。端子はUSB Type-Cのみ。イヤホンジャックはありません。上部にはIRセンサーがあります。 アプリ問題 初期設定は意外とすんなり行きました。Huaweiアカウントは所持していたので、それでログインするだけでOK。思っていたより普通に使えるのではないか?と思っていたのもつかの間。アプリインストールから徐々に雲行きが怪しくなっていきます。 GMS問題 ご存知の通
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(1/5 ページ) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。 ほとんどの人が日常的に行っている、ログイン(サインイン)などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・
まず確認すべきもの 7pay のチャージ・利用履歴 クレジットカードの使用履歴 登録しているアドレスのメールボックス怪しいチャージを察知したら クレカ・デビットカードを紐付けしていれば →クレジットカード会社や銀行に連絡 不正に残高を使われていたら →7payお客様サポートセンター緊急ダイヤル:0570-012-113(24時間・年中無休) →お客様サポートセンター(フリーダイヤル)できました:TEL:0120‐192‐044 それらと同時に ログインIDやパスワードを推測しにくいものに変更 Tack C. Mizoguchi @ttack1122 【写真】7payで不正アクセス被害に会いました。 今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。 1分間で3回のチャージとは、人間業でしょうか? pic
Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示
0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature Author: mala Introduction This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium. This is done as my personal activity and is not related to my organization.
KDDIのスマホ決済サービス「au PAY」のアカウントの情報が盗まれ、商品の購入に悪用される被害が各地で相次いでいます。 京都では8日、「au PAY」を不正利用した疑いで中国籍の容疑者が逮捕され、警察は組織的な犯行とみて捜査しています。 スマホの決済サービスをめぐっては、セキュリティーを高めるために、認証の強化などさまざまな対策が取られてきましたが、いま、なぜ被害が増えているのでしょうか。 (京都放送局 絹川千晴) 「au PAY」不正利用 中国籍の容疑者を逮捕 警察によりますと、ことし4月、京都府八幡市のコンビニエンスストアで、スマホ決済サービス「au PAY」を不正に使った男に加熱式たばこのカートリッジ10箱5800円相当がだまし取られる被害がありました。 警察は、8日、大阪に住む中国籍の自営業の24歳の容疑者を詐欺の疑いで逮捕しました。 警察の調べに対し、「au PAYを使ってた
「FamiPayは大丈夫?」ネットで不安の声 ファミマは「不正ログインは起きていない」「二段階認証を使用」と明言
「FamiPayは大丈夫?」ネットで不安の声 ファミマは「不正ログインは起きていない」「二段階認証を使用」と明言 「7pay」問題のあおりを受け、ネット上では「FamiPay」のセキュリティ面を心配する声が出ている。ファミリーマートに見解を聞いたところ、「不正ログインは起きていない」と明言。二段階認証などを使用しており、セキュリティ面に問題はないと説明した。 モバイル決済サービス「7pay」で不正ログイン被害が相次ぎ、問題となっている。7payは7月1日のリリース以降、第三者にアカウントを乗っ取られ、残高を不正利用される被害が発生。4日の時点で被害者は約900人、被害額の合計は約5500万円に上る。この問題を受け、ネット上では、同じ日にリリースされた競合サービス「FamiPay」のセキュリティ面を心配する声が出ている。 例えば、Twitterには「7payでこれだけの問題が起きたから、同じ
コンビニエンスストアを日本に広げた流通の王者、セブン&アイ・ホールディングスに異変が起きている。規律と実行力で競合他社を上回ってきたが、今年7月に始めた決済サービス「7pay(セブンペイ)」は開始直後に不正利用が相次いで発覚し、9月末でのサービス廃止に追い込まれた。同社の成長を支えてきたコンビニを巡っては、24時間営業など同社が作り上げてきた仕組みの根幹に厳しい視線が注がれている。セブン&アイに今、何が起きているのか。 この夏、セブン&アイ・ホールディングス社内では、数人の弁護士が一部のグループ幹部らを呼び、事情を聞く作業が進んでいた。2019年9月30日でサービス廃止となったスマートフォン決済サービス「7pay(セブンペイ)」の開発経緯などを調査するためだ。 セブン&アイは7月1日に7payのサービスを開始した。しかし、サービス開始直後から不正アクセス被害が発生。SNS(交流サイト)上で
全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制
2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが3月28日に、同件の調査報告書を公開した。調査によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用しており、侵入経路となったVPN機器は脆弱性が放置されているなどずさんな管理体制だったことが分かった。 問題が発生したのは22年10月31日。電子カルテシステムを稼働させていた基幹システムサーバがランサムウェアで暗号化され診療を制限することになった。完全復旧したのは23年1月11日。被害額は調査と復旧で数億円。診療制限で十数億円に及ぶという。 攻撃者は同センターが患者給食業務を委託している業者経由でシステムに侵入したとみられる。給食事業者に設置されていたVPN機器は脆弱性が放置されていたため、侵入経路になったという。 攻撃者は給食事業社のシス
はじめに みなさんはミニアプリってご存知ですか? 中国で流行っているらしいです! 日本でもそれを受けて、LINEやPayPayあたりが取り組んでいます。 先日私が行ったお店でもLINEミニアプリを導入しており、「はやり始めているぞッ。。」とひしひしと感じています。 今回はそんなミニアプリについて色々解説していきたいと思います。 後半では具体的にLINEを例に出して、開発するにはどうすれば良いかなどにも触れます。 ミニアプリとは ざっくり解説 1つのアプリをプラットフォームとして、そのアプリ上で起動するアプリのことをミニアプリと言います。 日本ではLINEやPayPayがミニアプリを提供しており、インストール不要で使うことができます。 とりあえず見せます 自作アプリ 飲食店を検索・お気に入り登録できるミニアプリ&LINE BOTです。 デモ動画のロングバージョンはこちら(Twitter)にあ
おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで
もう、これ以上長いパスワードなんて覚えられない! セキュリティとプライバシーの問題は、個人にとっても企業にとっても、もはや抜き差しならない大問題になってしまっている。 あなたは、いくつぐらいのアカウントとパスワードを使っているだろう? よく、指導されるようにランダムな英数文字記号を組み合わせている人は? パスワードの使い回しはしていないだろうか? おそらく日常生活で使うサービスのために、何百というランダムな文字列を記憶できる人はいないだろう。異常といえる程の記憶力を持っている人でないと、そんなことは不可能だ。ITに詳しくない一般の人……というところで考えると、大半の人がパスワードを使い回しているだろうし、中には端末に付箋で貼っているような人も少なくはないだろう。 しかし、セキュリティの問題は、個人にとっても企業にとっても、もはや最重要課題。個人にとっては、穴があると財産を失ったり、個人情報
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
SMSで送信元を偽装したメッセージを送る
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
7payの不正利用についてまとめてみた - piyolog
よりよくわかる認証と認可 | DevelopersIO
7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も
オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを
思わず天を仰いでしまうID関連システムトラブル - =kthrtty/(+blog)
法人も個人もどっちでもカードを作ろうと思ってる人はSMBC VISAカードを選ばないほうがいい
【レポ】毎年iPhone買い替えしなくてもOK。バッテリー交換で延命してきました - iPhone Mania
7payパスワードリセットで残高が消える?→セブン広報「消えません」 SNS上のウワサを否定
AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている
Huawei P40 Proレビュー。万人に推奨は到底不可能 - すまほん!!
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
【注意喚起】「7pay」でさっそくクレカ不正利用 相次ぐ高額チャージ→使用、ようやくセブンも認める
「au PAY」被害相次ぐ 不正利用疑いで容疑者逮捕 組織的犯行か | NHK
7payを廃止に追い込んだセブンイレブンへの「忖度」
中国で流行っているミニアプリが日本でも流行り始めているらしい - Qiita
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
パスワード世界の終焉! MS、Google、Samsung、などが大連合するFIDOとは? | flick!