7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も
セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。
モバイル決済サービス「7pay」で不正ログイン被害が相次いでいる問題で、運営元のセブン・ペイがこのほど、7iDのログインパスワードを再設定する手順を変更したことが分かった。第三者がユーザーの生年月日や電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにもパスワードを再設定するためのメールを送れる、という問題に対処した。だが、ネット上では「解決していない」という声も上がっている。
第三者がパスワードを再設定可能
7payでは1日のリリース直後から、第三者にアカウントが乗っ取られ、残高を不正利用される被害が発生。Twitter上では「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いだ。セブン・ペイは3日、不正ログイン防止のためにログインIDやパスワードの管理を気を付けるように呼び掛けた他、クレジットカードとデビットカードによるチャージを停止した。
具体的な手口は明らかになっていないが、ネット上では、アカウントのパスワードを再設定する手順に問題があるとの指摘が出ている。第三者がユーザーの生年月日と電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにパスワードを再設定する画面のURLを送れるというものだ。
解決していない?
これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。
しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。
同社は4日、記者会見で「普段スマートフォンを使っている人がPCを使ってパスワードを変更する場合、携帯キャリアのメールアドレスが使えない。そういった人のために(フォームを)用意していた」と説明した。
関連記事
- 7pay、クレジット・デビットカードでのチャージ停止 不正利用対策で
「7pay」で不正ログインの被害が相次いでいる。セブン&アイ・ホールディングスは対策として、クレジットカードとデビットカードによるチャージを一時停止した。再開時期は未定。 - 「7pay」で不正アクセス被害 「クレカから勝手にチャージされた」報告相次ぐ 運営元はID・パスワード変更を推奨
7月1日にリリースしたモバイル決済サービス「7pay」の一部アカウントが、 第三者による不正アクセスの被害を受けた。Twitter上にも「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いでいる。運営元のセブン・ペイは、簡単なID・パスワードを設定しているユーザーに対し、変更するよう呼び掛けている。 - コンビニ2社の独自決済サービス、初日は使えない状態が続く 「想定以上のアクセス」で ファミペイとセブンペイ
セブン-イレブン・ジャパンとファミリーマートが、それぞれ7月1日から独自の決済サービスをスタート。いずれもアクセスが集中し、決済アプリが使いづらい状態が続いている。 - コンビニ2社の独自決済サービス、初日は使えない状態が続く 「想定以上のアクセス」で ファミペイとセブンペイ
セブン-イレブン・ジャパンとファミリーマートが、それぞれ7月1日から独自の決済サービスをスタート。いずれもアクセスが集中し、決済アプリが使いづらい状態が続いている。 - ファミマ、モバイル決済「FamiPay」を7月から提供 クーポン、レシートもアプリで「財布いらず」目指す
ファミリーマートは、独自のモバイル決済サービス「FamiPay」を7月1日から提供する。決済機能に加え、クーポンや回数券なども使えるスマートフォンアプリ「ファミペイ」を公開する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.