ITmedia NEWS > STUDIO >
セキュリティ・ホットトピックス

7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も

» 2019年07月04日 14時06分 公開
[谷井将人ITmedia]

 モバイル決済サービス「7pay」で不正ログイン被害が相次いでいる問題で、運営元のセブン・ペイがこのほど、7iDのログインパスワードを再設定する手順を変更したことが分かった。第三者がユーザーの生年月日や電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにもパスワードを再設定するためのメールを送れる、という問題に対処した。だが、ネット上では「解決していない」という声も上がっている。

photo

第三者がパスワードを再設定可能

 7payでは1日のリリース直後から、第三者にアカウントが乗っ取られ、残高を不正利用される被害が発生。Twitter上では「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いだ。セブン・ペイは3日、不正ログイン防止のためにログインIDやパスワードの管理を気を付けるように呼び掛けた他、クレジットカードとデビットカードによるチャージを停止した。

 具体的な手口は明らかになっていないが、ネット上では、アカウントのパスワードを再設定する手順に問題があるとの指摘が出ている。第三者がユーザーの生年月日と電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにパスワードを再設定する画面のURLを送れるというものだ。

photo 変更前のフォーム

解決していない?

 これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。

photo 変更後のフォーム

 しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。

 同社は4日、記者会見で「普段スマートフォンを使っている人がPCを使ってパスワードを変更する場合、携帯キャリアのメールアドレスが使えない。そういった人のために(フォームを)用意していた」と説明した。

Copyright © ITmedia, Inc. All Rights Reserved.