クレジットカード社会で生きるということ~生き残るためのお金の知識~

キャッシュレス社会でこの先生きのこるため、クレジットカードのお得情報や入会審査に関する情報を発信しています。

ズブズブ!7pay ~ID収集するまでもなく不正ログイン可能でした~

2019年7月18日



どうやればここまでザルなセキュリティになるのか---- コンビニ最大手のセブン&アイHDがリリースしたQRコード決済の「7pay (セブンペイ)」、リリース数日で不正使用被害の報告も相次ぎ、悪意の第三者が勝手にログインパスワードを変更可能である致命的なセキュリティ欠陥が指摘され、早々にサービス停止しています。

ここに来て、不正使用の際に利用されたと思しきセキュリティホールの詳細が、Business Insiderで報じられました。今回は安心・安全が最も必要とされる決済サービスにおける、セブンペイの致命的なセキュリティ欠陥について前述のBusiness Insiderの記事を引用しつつ考えてみたいと思います。

このまま黒歴史過去のサービスになっていくのでしょうか・・・

 

実はメールアドレスさえも要らなかった、外部ID連携でログインし放題のセブンペイ

外部ID連携とは

ご存知の方も多いと思いますが、外部ID連携とは、他サービスのアカウントと(この場合はセブンペイを)紐付けすることで、他サービスのアカウントでセブンペイへログインすることを可能とする機能です。

引用元 : https://m.nexon.com/forum/thread/1198

例えばオンラインゲーム、Nexonのサービスだとe-mail以外にFacebook, Google, Twitterのアカウントと紐付けてこれらのアカウントをNexonのログインアカウントとして利用可能になります。

7payのズブズブな外部ID連携

去る7月12日に外部ID連携の停止を発表したセブンペイですが、実際は7月11日時点でこの機能は停止されていました。それほど急いで外部ID連携機能を無効化しなければいけない理由があったということになります。

発表当日の7月12日時点で既にスラッシュドットコムあたりでは「外部ID連携周りに脆弱性があるのではないか」、などと予想されておりましたが、今回のBusiness Insiderの記事でその予想が事実であったことが分かりました。

  • 外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換えによるなりすましログインができた
  • 書き換えに使うID情報は、X桁の数字を元にした英数字が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
  • オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

引用元 : 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由  ---- BUSINESS INSIDER  (一部編集)

詳細は上記のURLへアクセスして読んでいただくとして、重要なポイントは以下の点です。

  • 外部ID連携において、7pay側認証を担うomni7に対して他人のIDを通知すればパスワード認証無しで他人のIDに紐付く7pay IDでログイン可能だった
  • 総当たり攻撃で外部サービスIDとomni7 IDの紐付けを容易に特定可能だった

例えば、攻撃者は自分のFacebook IDでFacebookにログインします。その状態で7payへFacebook ID連携で7payにログインする際に、第三者であるAさんのFacebook IDをomni7へ通知すればAさんのIDに対するパスワード認証なしでAさんの7payにログインできたそうです。そういう悪さするセキュリティ実験用のアプリを使えば割と簡単に自分のIDをAさんのIDに書き換え可能な模様。

簡単に言えば、他人のFacebookやYahoo! IDさえ分かっていれば、そのIDに紐付く7pay IDに簡単にログインできた、ということに。だってパスワード要らないんだもん。

悪意を持った人間が他人のIDでログインしたらやることはひとつ!気付かれる前に買い物しまくるということになります。

セキュリティ屋さんの言葉を借りれば、外部ID連携の基礎となるOpenID Connectをきちんと実装していなかった、ということになります。認証周りの実装をおろそかにしたままサービス開始するとはなかなかの大物ですが、社長自身が二段階認証すら知らない会社なのでいかにセキュリティにカネと労力をかける意識がなかったかが知れてしまいますね。

やはりOAuth2.0とOpenID Connectの実装例を見ても、7payの認証周りの実装がいかにチャチだったか、そして成果物のレビューをろくにせずにサービスリリースだけを重要視していたかが分かりますね。

7payアプリなどOAuthクライアントとFacebook認証シーケンス図 (クリックで開きます)

引用元 : OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ

※ 既にこの外部ID連携機能は無効化されていますので良い子はマネしない様にしましょう

他のomni7系サービスにも飛び火した模様

本件を受けてか、ひっそりとセブン&アイ主要サービスが軒並み外部ID連携による認証を停止しています。何でかなー、と考えてみるまでもなく本丸のomni7自体に外部ID連携で認証を行うプロセスでセキュリティホールがあるんでしょうね。復旧の際にはセブン&アイ系アプリ更新が走り最新バージョン以外ではログイン不可能となるでしょう。

因みにオープンIDでなく、OpenIDです。専門用語は正しく書きましょうよ、プレスリリースなんだし。

・・・「株式会社セブン・ペイ」なのにサービス名は「セブンペイ」なので深く気にしない主義なんですね、きっと!

株式会社セブン&アイ・ホールディングス(本社:千代田区、代表取締役社長:井阪 隆一)は、株式会社セブン・ペイ(本社:千代田区、代表取締役社長:小林 強)が運営するバーコード決済サービス「7pay」に対する不正アクセス被害を真摯に受け止め、現在、社外のセキュリティアドバイザーと連携しながら、セキュリティ対策プロジェクトにおいて総点検を進めております。

セキュリティ強化に向けた総点検の一環として、本日 17 時をもってオープン ID によるログインを一時停止いたしました。
尚、今月中には、現在進めているセキュリティ対策における具体的かつ網羅的な施策について、取りまとめる予定です。
皆様には多大なるご迷惑、ご心配をお掛けしたことを、深くお詫び申し上げます。

【今回の対応策】
オープン ID(Facebook 、Twitter 、Google、Yahoo!JAPAN、LINE)によるログインを一時停止

【対象となる各社アプリ】
セブン-イレブンアプリ、イトーヨーカドーアプリ、西武・そごうアプリ、ロフトアプリ、アカチャンホンポアプリ

引用元 : 「7pay(セブンペイ)」に対する不正アクセスの件(第 4 報)オープン ID による各社アプリへのログインの一時停止のお知らせ

確定被害報告を7月16日に発表

7月16日付でセブン&アイHDが確定した7pay不正使用による被害総額・被害に遭った人数を公表しました。それによると、被害人数は1,574人、被害総額は3,240万688円とのこと。

当初の被害900人、被害額5,000万と5割ぐらい食い違っています。多数ある被害報告のいくつかをサンプリングしてその平均値を使用した推計だったのだと思いますが、けっこうずれてますね。

セブン&アイHDは7月16日、7payの不正利用について、正確な被害規模を公表した。

7pay社として認定した被害人数は1574人、被害金額は3240万688円(7月11日17時時点)。

従来公表していた情報(参考:被害人数900人、被害金額5500万円)は被害推定規模だった。

引用元 : 7pay不正、確定被害は1574人、総額3240万688円と公表。7月中に対策公表へ ---- BUSINESS INSIDER

おわりに

今回は続報として、7pay (セブンペイ) の不正使用被害の原因となったセキュリティホールについてのお話でした。流石にこれは7payも被害者面だけしていたら本当に顧客が離れて二度と戻ってこなくなるレベルだと思いますが、社長があそこまで他人事のようにぼへーっとしてて大丈夫なんでしょうか。

すごく不安になりますね。

関連記事

発行しやすい人気のクレジットカード

ライフカード年会費有料版(Ch)

審査が不安な方向けのライフカード登場!
他社でクレジットカードを作れなかった人、申し込む価値アリです。
・年会費5,000円+消費税
ライフカードの完全独自基準による寛容な審査。
「審査の通りやすさ」がウリ。
・お誕生月はポイント3倍!ポイントは各種ポイント、マイル、仮想通貨に交換可能

カード不正利用・紛失対応 〇
年会費ポイント還元
マイル換算
審査難易度国際ブランド
5,000円+消費税0.5%~1.5%
ANA 2.5~7.5マイル/1000円
★+
最短発行利用限度額サービス充実度お得度
一週間程度10万~30万円★★★★+★★★++

デポジット型ライフカード(Dp)

有料版ライフカード(Ch)を作れなかった方でも審査に通るライフカード登場!
どうしてもクレジットカードを欲しい方、他社でクレジットカードを作れなかった人、申し込む価値アリ。
・年会費5,000円+消費税 (ゴールドは10,000円+税)
デポジット (預り金 : 10万円 or 20万円) がそのまま利用限度額に
「審査の通りやすさ」がウリ。
・お誕生月はポイント3倍!ポイントは各種ポイント、マイル、仮想通貨に交換可能

カード不正利用・紛失対応 〇
ゴールドカードは空港ラウンジも利用可能

年会費ポイント還元
マイル換算
審査難易度国際ブランド
5,000円+消費税0.5%~1.5%
ANA 2.5~7.5マイル/1000円
最短発行利用限度額サービス充実度お得度
一週間程度一般 : 10万円
ゴールド : 20万円
(預り金と同額)

ゴールドのみ30万円~200万円まで選択可 (同額の預り金が必要)
★★★★+★★★++

アメリカン・エキスプレス®・カード

海外旅行に強いアメックスの元祖、定番のT&Eカード。
各種プロテクション(不正利用補償・ショッピング返品保障・盗難/紛失補償)が充実。
海外旅行サポート … ○
・国内空港ラウンジ … ○ (同伴者一名も無料利用可能)
・海外空港ラウンジ … ○ (プライオリティパス、スタンダード付帯)
年会費ポイント還元
マイル換算
審査難易度国際ブランド
12,000円(税別)0.3%~1% (最大3.0%)
ANA1マイル/100円 
 ★★★+
最短発行ステータス度サービス充実度お得度
通常1~3週間★★★★★★★★★★★++

セディナカード Jiyu!da!

自由自在に毎月の支払額・支払い方法を選べる審査緩めのリボ専用カード
・年会費無料
審査は比較的寛容
・口座引き落とし+余裕のある時は追加返済、返済プランも自由に!
・ハローキティデザインも選べます

ダイエーとイオンで毎日ポイント3倍! & 海外のショッピング利用もポイント3倍!
・新規入会&登録で最大6,000ポイントプレゼント
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料0.50%~1.50%★★+
最短発行利用限度額サービス充実度お得度
審査 : ~二営業日
発行 : ~二週間
10万~200万円★★★★★★★

※本サイトの表記内容は2018年11月現在の内容になります。正しい詳細に関しては株式会社セディナの公式ページをご確認下さい。

楽天カード

楽天カードマンでお馴染み、年会費無料の高還元率カード。最初の一枚におススメ。
・信用育成後は最大ショッピング枠最大300万円/キャッシング枠最大100万円
常時1%以上の還元率
・楽天市場で3%~還元!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料1%~10%★★++
最短発行利用限度額サービス充実度お得度
一週間5万~100万円★★+★★★★

VIASOカード

安心と信頼の銀行系ブランド、三菱UFJニコスによる年会費無料カード
・最短で翌営業日発行
国内/海外旅行保険(最大2,000万円)利用付帯
・たまったポイントは1ポイント1円で年一回オートキャッシュバック
・会員用ショッピングモール経由でのネットショッピングで最大10%還元
・ETCカード決済でポイント2倍
・大手携帯電話キャリア利用料金(NTTドコモ、au、Softbank、Y!Mobile)決済でポイント2倍
・大手プロバイダ利用料金(Yahoo! BB、OCN、au one net、BIGLOBE、ODN)決済でポイント2倍
年会費ポイント還元
マイル換算
審査難易度国際ブランド
無料0.50%
5ポイント/1,000円
★★++
最短発行利用限度額サービス充実度お得度
最短1~2営業日10万~100万円★+ ~ ★★★★★★★

三井住友VISAクラシックカード

VISAカードの定番、銀行系プロパーカード!迷ったときはこれを作っておけばOK
・緊急時の対応に定評あり、学生の方や初心者におススメ
クレジットカードに必要な基本機能を一通り備えたカード
信頼と安心の銀行系プロパーカード
年会費ポイント還元
マイル換算
審査難易度国際ブランド
 初年度無料
翌年以降1,350円
0.5%~1.0%
ANA300~600マイル/10万円
★★★(一般)
★★++ (学生)
最短発行利用限度額サービス充実度お得度
3営業日10万~80万円★★★+★★★

dカード

ドコモユーザでなくても発行可能!作れば確実にお得、今や作らないのはもったいない
・ローソンでのお買物、5%還元!
・年会費永年無料!!
・マツキヨ系列ドラッグストアでdポイント3倍!
・最短5分の超速審査!
・普段のお買物は1%還元
・ポイントは1ポイント単位で無駄なく利用可能!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料 1.0%~4.0% ★★++
最短発行利用限度額サービス充実度お得度
即日審査完了(条件付き)10万~100万円★★★★+★★★★★+

マジカルクラブTカードJCB

高齢ホワイトでクレジットカード審査に通らない方、マジカルで修業しませんか?
・年会費は永年無料!
Tポイントが貯まりやすい
・審査は相当に寛容な部類
・高齢ホワイト(クレヒスなし)にも優しい審査
・限度額はやや低め

年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料0.5%~★★
最短発行利用限度額サービス充実度お得度
二週間程度3万円~100万円★★★++★★★++

JCB CARD W

安心と信頼のJCBブランドによる高還元プロパーカード
・いつでもどこでもポイント還元率2倍
・18歳~39歳までの方専用カード

JCB CARD W plus LにはJCB LINDAと同様の女性向けサービス多数付帯

 

年会費ポイント還元
マイル換算
審査難易度国際ブランド
無料0.70%~2.50%★★★
最短発行利用限度額サービス充実度お得度
~2週間明記なし
初期与信~100万(?)
★★★★★★

おすすめ記事

1

2018年8月現在の、日本国内の主要クレジットカードの審査難易度のランキングです!当サイト独自基準で作成しております。2 ...

2

2018年8月現在の日本国内の主要クレジットカードの審査難易度の一覧をランキング形式で公開いたします!先日公開した、「ラ ...

3

ライフカードがデポジット型のクレジットカードをリリースしました。保証金を預ければ誰にでも発行されると噂のデポジット型ライ ...

4

今回は反響の大きかった、「ライフカード有料版(Ch)」と一般のライフカードの違いについて、審査における違いや付帯特典の違 ...

5

年会費無料ながら、ライフカード(Ch)などと同等に審査に不安のある方でも通りやすいと言われているセディナカードJiyu! ...

6

今回は、クレジットカードに必ず載っている、「VISA」や「Mastercard」といったいわゆる「国際ブランド」と呼ばれ ...

7

今回は最近よく聞く、「共通ポイント」という言葉の意味や、日本国内で現在主流となっている共通ポイントについて解説します。 ...

8

今回は、2018年4月現在の主要なクレジットカードに特典として付帯してくる、海外旅行傷害保険・国内旅行傷害保険の一覧表を ...

-QRコード決済
-,

Copyright© クレジットカード社会で生きるということ~生き残るためのお金の知識~ , 2019 All Rights Reserved.