昨日あたりからTwitterで、7pay でクレジットカードを不正に利用されて、他者に電子マネーをチャージされてしまうという問題が発生しているみたいです。

 

 

昨日見たのはこんなツイート。

クレジットカードが不正に利用されて、第三者の電子マネーとしてチャージされてしまう、というツイートが散見されました。

セブンイレブンは、昨日午前中には対処をしているようで、クレジットカードやデビッドカードを使用してのチャージはできないようにされているみたい1ですが、その後、いろいろなことがわかってきました。

 

パスワード変更の際に第三者にメール送信できる

これは、Twitterでもさんざんに指摘されていますが、パスワードを変更する際に、7ID (自身のユーザーID兼、メールアドレス)に加えて、「送信用メールアドレス」を指定できたことです。

ここに、悪意の第三者が別のメールアドレスを指定すると、そのメールアドレス宛に、パスワード変更用のURLの掲載されたメールが送信されるというものです。

ただし、送信する際には必須項目として、

  • 生年月日
  • 7ID (メールアドレス兼ユーザーID)
  • 電話番号

が必要なのですが、

このように、登録の際に生年月日をデフォルトのままにしていると、勝手に 2019-01-01 に設定されてしまうので、そのままにしている人は 7ID電話番号 さえわかれば、簡単にパスワードを変更できてしまうのです。

 

そして オムニ7 も危険だった

更に判明したのは、7pay と同様にセブンイレブンが運営するショッピングサイト、オムニ7 の(パスワードを忘れた場合の)パスワードリセットページ送信用フォームにも同様の脆弱性があることがわかりました。

セブンイレブンはもちろんすぐに、この送信フォームから「送信用メールアドレス」の項目を削除したかのように見えたのですが・・

のような報告が。

 

オムニ7の送信フォームで試してみる

そこで、一応オムニ7のID(7ID) を持っているので試してみました。

確かに、フォーム上からは「送信用メールアドレス」の項目は消えているようですが、開発用ツールのインスペクターでページの内容を見てみると、

確かに、「送信用メールアドレス」と書かれた部分があり、その要素の下をたどっていくと、そのフォーム要素 senderMailAddress が見えてきます。

が、これらは単純にCSSでtable.u-tableForm tbody tr:last-child の要素を、display: none; として非表示にしているだけで、フォームの要素としては有効なのがわかります。

そこでこの要素の display: none; を無効にしてみると、見事にフォーム上に「送信用メールアドレス」の項目が現れるので、適当に他のメールアドレス(もちろん、自身の持っているアドレスですよ)を指定して、フォームの送信ボタンを押して見ると、

このように、POST されたパラメータにしっかりと、senderMailAddress が指定されていることがわかります。

そして、このメールアドレスの受信ボックス・・

やはり、届いていました。

これがもしも第三者であれば、用意に私のクレカ情報を利用して、電子マネーをチャージされたかもしれません。

 

あまりに杜撰な対応

このように、場当たり的に対処しているだけで、根本的な問題が解決されないままサービスを継続しているのは問題じゃないでしょうか。

さすがに、オムニ7 は過去に何回か使ったことがあるのですが、流石にアカウントを削除するかどうか迷っています。

私の場合は アカウントを削除するか、クレカ情報を削除するだけですみますが、、、

このような情報もあるので、念の為・・

 

まとめ

なんだか、日本国内の電子マネーの囲い込み合戦のせいか、Paypay に始まり今回の 7pay まで、なんだか電子決済に不信感を抱くような出来事が多いですね。

日本企業特有の「囲い込み」も良いかもしれませんが、もうすこしセキュリティ対策をしっかりとしてほしいもんですね。


0件のコメント

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です