7pay の一件がオムニ7 にも波及している件

昨日あたりからTwitterで、7pay でクレジットカードを不正に利用されて、他者に電子マネーをチャージされてしまうという問題が発生しているみたいです。

 

 

昨日見たのはこんなツイート。

#7pay

ちなみに私のチャージは1分以内に3回やられてますよ

どんだけ手練なんだと pic.twitter.com/xu8joIgDez

— めるかば (@methuselah3) July 3, 2019

クレジットカードが不正に利用されて、第三者の電子マネーとしてチャージされてしまう、というツイートが散見されました。

セブンイレブンは、昨日午前中には対処をしているようで、クレジットカードやデビッドカードを使用してのチャージはできないようにされているみたい¹ですが、その後、いろいろなことがわかってきました。

 

パスワード変更の際に第三者にメール送信できる

これは、Twitterでもさんざんに指摘されていますが、パスワードを変更する際に、7ID （自身のユーザーID兼、メールアドレス）に加えて、「送信用メールアドレス」を指定できたことです。

ここに、悪意の第三者が別のメールアドレスを指定すると、そのメールアドレス宛に、パスワード変更用のURLの掲載されたメールが送信されるというものです。

【7payクレカ不正利用】アプリ問題点の検証記事書きました▲電話番号・生年月日でパスリセット▲第三者アドレスに送信可能▲二段階認証なし／7payクレジットカード不正利用：第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - Y!ニュース https://t.co/eTfZKvScs7 pic.twitter.com/OPM6jeusLm

— 三上洋 (@mikamiyoh) July 3, 2019

ただし、送信する際には必須項目として、

• 生年月日
• 7ID （メールアドレス兼ユーザーID）
• 電話番号

が必要なのですが、

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5

— Hiromitsu Takagi (@HiromitsuTakagi) July 3, 2019

このように、登録の際に生年月日をデフォルトのままにしていると、勝手に 2019-01-01 に設定されてしまうので、そのままにしている人は 7ID と 電話番号 さえわかれば、簡単にパスワードを変更できてしまうのです。

 

そして オムニ7 も危険だった

更に判明したのは、7pay と同様にセブンイレブンが運営するショッピングサイト、オムニ7 の（パスワードを忘れた場合の）パスワードリセットページ送信用フォームにも同様の脆弱性があることがわかりました。

セブンイレブンはもちろんすぐに、この送信フォームから「送信用メールアドレス」の項目を削除したかのように見えたのですが・・

7iD(オムニ7)のパスワード再設定画面から「送付先メールアドレス」が消えたけど内部的には有効になっていて、開発者ツールでメアドを入れたら登録してあるメールアドレスと「送付先メールアドレス」の両方にメールが届いて草

— menn☘🌈 (@menn) July 4, 2019

のような報告が。

 

オムニ７の送信フォームで試してみる

そこで、一応オムニ7のID（7ID） を持っているので試してみました。

確かに、フォーム上からは「送信用メールアドレス」の項目は消えているようですが、開発用ツールのインスペクターでページの内容を見てみると、

確かに、「送信用メールアドレス」と書かれた部分があり、その要素の下をたどっていくと、そのフォーム要素 senderMailAddress が見えてきます。

が、これらは単純にCSSでtable.u-tableForm tbody tr:last-child の要素を、display: none; として非表示にしているだけで、フォームの要素としては有効なのがわかります。

そこでこの要素の display: none; を無効にしてみると、見事にフォーム上に「送信用メールアドレス」の項目が現れるので、適当に他のメールアドレス（もちろん、自身の持っているアドレスですよ）を指定して、フォームの送信ボタンを押して見ると、

このように、POST されたパラメータにしっかりと、senderMailAddress が指定されていることがわかります。

そして、このメールアドレスの受信ボックス・・

やはり、届いていました。

これがもしも第三者であれば、用意に私のクレカ情報を利用して、電子マネーをチャージされたかもしれません。

 

あまりに杜撰な対応

このように、場当たり的に対処しているだけで、根本的な問題が解決されないままサービスを継続しているのは問題じゃないでしょうか。

さすがに、オムニ7 は過去に何回か使ったことがあるのですが、流石にアカウントを削除するかどうか迷っています。

私の場合は アカウントを削除するか、クレカ情報を削除するだけですみますが、、、

7Pay（セブンペイ）クレジットカード不正利用騒動でセブンイレブン関連のサービスからクレカ情報を消してる方、omni7のだけ消して安心してはダメですよ
nanaco、nanacoモバイルでクレジットチャージしたことあるならそっちの情報は別なので「nanacoクレジットチャージ解約手続き」をする必要があります

— ゆきつ (@yukitsu_mo) July 3, 2019

このような情報もあるので、念の為・・

 

まとめ

なんだか、日本国内の電子マネーの囲い込み合戦のせいか、Paypay に始まり今回の 7pay まで、なんだか電子決済に不信感を抱くような出来事が多いですね。

日本企業特有の「囲い込み」も良いかもしれませんが、もうすこしセキュリティ対策をしっかりとしてほしいもんですね。