いつもお世話になっております。
うまづら社長です。
「7pay」で不正利用の報告相次ぐ、セブン側は注意喚起
— Engadget 日本版 (@engadgetjp) 2019年7月3日
https://t.co/Wnd6Gu3fzz
7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 https://t.co/mUNXozAt21
— 藤川大祐 (@daisukef) 2019年7月3日
7payアカウント乗っ取り被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。
クレジットカードカード会社からの確認依頼で見に覚えの無い複数回の高額チャージと100キロ以上離れた東京都内で決済が実行されているのを確認し、不正利用被害申告と対応措置を取りました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
問題発生箇所は調査中との事ですが、落ち着くまではカード・金融機関情報の一旦削除をお勧めします。
【続報】7pay アカウント乗っ取り被害に会いました。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
クレジットカードカード会社の対応については何ら不安はありませんでしたが、7pay側は不正アクセス以前の、私自身の意思によるチャージ分の補償の予定はないとの事。
利用登録者(私本人)アプリ利用登録上の落ち度は無いにもかかわらず、
この言い切り方は受け入れ難く、私自身の本アプリ利用上のセキュリティ管理には落ち度は無い旨伝え対応を求めた所、「どうしてもと言う事で有れば、警察への被害届け番号を改めてお知らせください」との事。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
「補償しません」「はい分かりました」と言える人はどれ程居るだろうか?
7pay不正利用の調査テスト途中経過。別スマホに7iDのメール+パスワードを入れたところ、元端末は自動ログアウト。新端末にすべて取られる形。電話番号認証などはない。今の所濃厚なのは「7iDに他でも使っていたメール+パスワードを使ってしまった人がリスト攻撃被害にあった」ことか(まだ推測段階) https://t.co/OgwDasG2N4
— 三上洋 (@mikamiyoh) 2019年7月3日
イメージとしては昔のLINE乗っ取りと同じ感じかも(推測)。メールとパスワードだけで別端末に7payを使えるセブンイレブンアプリが移行できてしまう。犯人は端末を用意し、リストを元に総当たりしてセブンイレブンアプリを乗っ取る形か(まだ検証必要です)セブン側は移行時の電話認証を用意するべき
— 三上洋 (@mikamiyoh) 2019年7月3日
7payで不正利用発生!
— ぬのびき@2019年はJGCプレミア! (@nuno_chann) 2019年7月3日
クレジットで計18万円チャージされ
内、9万円がセブンイレブンJR錦糸町駅前店で使われる!
クレジット会社への連絡→済。担当者からの折り返し待ち
7payのパスワード変更→済。
クレジットカードの紐付け解除→済。
7pay運営への電話→つながらず。メール送信済み。
不正利用は朝の7時ならないぐらいから7時半の
— ぬのびき@2019年はJGCプレミア! (@nuno_chann) 2019年7月3日
約30分ぐらいの犯行!
当時私は北の地の自宅で就寝中。
スマートフォンも枕元。
残っている高額の残高が気持ち悪い。
私もやられました。私は11時ごろだったのですが、出先でメールを見てませんでした。9万円ぐらいチャージされていて、それからはクレジットカード会社が不正使用ではないかと疑って止めてくれたのですが、クレジットが停止になりました。メインのカードなので不便です。
— Daiohika2 (@daiohika2) 2019年7月3日
7Payは、omni7…じゃない、7iDののID/パスワードだけでログインできてしまうので、リスト型攻撃に拾われましたね…。
— 猫頭 (@nekogashira) 2019年7月3日
せめてアカウントと携帯電話番号SMS認証を活用した紐付けをする実装にしておけば少し不正使用ハードル上がったろうに…。 https://t.co/PewG1jQ3LE
さきのPayPay騒動と今般7Pay騒動の違い
— 猫頭 (@nekogashira) 2019年7月3日
●攻撃使用リスト
PP:カード番号/期限/CSC
7P:メールアドレス/パスワード
●リスク範囲
PP:クレジットカード所有者
7P:7Pay利用者
どう考えても7Pay側の責任重大ですがなこれ…。
PayPayや7Payの不正利用で、一般的には「QRコード決済は危険」という認識が広まって、結局、たいして普及せずに終わってしまいそうだなぁ。
— 石川 温 (@iskw226) 2019年7月3日
7payの不正利用報告が増えてるけど、アカウントを乗っ取られたのだろうか。チャージには「認証パスワード」が必要だけど、小文字と数字だけで総当たりに弱そうではある pic.twitter.com/fi3ItanGDa
— 山口健太 (@tezawaly) 2019年7月3日
セブンIDのパスワードとチャージ用の認証パスワード、同じものにできるのか。もしそうなら全く意味がない。。。
— 山口健太 (@tezawaly) 2019年7月3日
アプリにはIDとパスワードだけでログインできるので、それが流出してると登録したカードの限界までチャージされる。
実際にやってみると、2つのパスワードは微妙に要件が違うけど「8文字以上の小文字と数字」なら使い回せてしまう。
— 山口健太 (@tezawaly) 2019年7月3日
しかも認証パスワードの2回目の入力はコピペ不可のため、パスワード管理アプリでランダム生成した強いパスワードは使いにくい仕様。 pic.twitter.com/r4cBfrYMGX
7payをかばうわけではないけど
— Masayoshi Nakamura (@masayang) 2019年7月3日
「今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージ」
はカード会社側で止めるべきだったのでは。AmexだとApple Pay経由でSuicaに短時間でチャージを繰り返すと3回目で止まる。
7月開始の「7pay」アプリ乗っ取りによる不正使用の報告がタイムラインで相次いでいる。まるで悲鳴が聞こえるようだ。
— 星 暁雄 (@AkioHoshi) 2019年7月3日
仮想通貨業界のノリで考えると「キャッシュレス決済の信頼を損なった責任を取り、また信頼できる体制構築のため、向こう1年間は新規会員募集を自主的に停止」相当の事案では。
7pay不正使用を別の角度から。
— 星 暁雄 (@AkioHoshi) 2019年7月3日
この短期間でこの頻度の不正利用とは、それなりの規模の流出パスワード(あるいはブルートフォースアタック)を使い、それなりの人数をコンビニ店頭に動員した計画的、組織的な犯行と考えられる。警察のサイバー犯罪捜査の実力が問われる事案ではないだろうか。
7payやらファミペイやらスマホ決済がたくさん乱立しているけど、結局のところお前らは日銀Payが一番好きだろ。 pic.twitter.com/YXw9pfKYLX
— 世界四季報(セカ報) (@4ki4) 2019年7月2日
