昨日あたりからTwitterで、7pay でクレジットカードを不正に利用されて、他者に電子マネーをチャージされてしまうという問題が発生しているみたいです。
昨日見たのはこんなツイート。
ちなみに私のチャージは1分以内に3回やられてますよ
どんだけ手練なんだと pic.twitter.com/xu8joIgDez
— めるかば (@methuselah3) July 3, 2019
クレジットカードが不正に利用されて、第三者の電子マネーとしてチャージされてしまう、というツイートが散見されました。
セブンイレブンは、昨日午前中には対処をしているようで、クレジットカードやデビッドカードを使用してのチャージはできないようにされているみたい1ですが、その後、いろいろなことがわかってきました。
パスワード変更の際に第三者にメール送信できる
これは、Twitterでもさんざんに指摘されていますが、パスワードを変更する際に、7ID (自身のユーザーID兼、メールアドレス)に加えて、「送信用メールアドレス」を指定できたことです。
ここに、悪意の第三者が別のメールアドレスを指定すると、そのメールアドレス宛に、パスワード変更用のURLの掲載されたメールが送信されるというものです。
【7payクレカ不正利用】アプリ問題点の検証記事書きました▲電話番号・生年月日でパスリセット▲第三者アドレスに送信可能▲二段階認証なし/7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - Y!ニュース https://t.co/eTfZKvScs7 pic.twitter.com/OPM6jeusLm
— 三上洋 (@mikamiyoh) July 3, 2019
ただし、送信する際には必須項目として、
- 生年月日
- 7ID (メールアドレス兼ユーザーID)
- 電話番号
が必要なのですが、
この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5
— Hiromitsu Takagi (@HiromitsuTakagi) July 3, 2019
このように、登録の際に生年月日をデフォルトのままにしていると、勝手に 2019-01-01 に設定されてしまうので、そのままにしている人は 7ID と 電話番号 さえわかれば、簡単にパスワードを変更できてしまうのです。
そして オムニ7 も危険だった
更に判明したのは、7pay と同様にセブンイレブンが運営するショッピングサイト、オムニ7 の(パスワードを忘れた場合の)パスワードリセットページ送信用フォームにも同様の脆弱性があることがわかりました。
セブンイレブンはもちろんすぐに、この送信フォームから「送信用メールアドレス」の項目を削除したかのように見えたのですが・・
7iD(オムニ7)のパスワード再設定画面から「送付先メールアドレス」が消えたけど内部的には有効になっていて、開発者ツールでメアドを入れたら登録してあるメールアドレスと「送付先メールアドレス」の両方にメールが届いて草
— menn☘🌈 (@menn) July 4, 2019
のような報告が。
オムニ7の送信フォームで試してみる
そこで、一応オムニ7のID(7ID) を持っているので試してみました。
確かに、フォーム上からは「送信用メールアドレス」の項目は消えているようですが、開発用ツールのインスペクターでページの内容を見てみると、
確かに、「送信用メールアドレス」と書かれた部分があり、その要素の下をたどっていくと、そのフォーム要素 senderMailAddress
が見えてきます。
が、これらは単純にCSSでtable.u-tableForm tbody tr:last-child
の要素を、display: none;
として非表示にしているだけで、フォームの要素としては有効なのがわかります。
そこでこの要素の display: none;
を無効にしてみると、見事にフォーム上に「送信用メールアドレス」の項目が現れるので、適当に他のメールアドレス(もちろん、自身の持っているアドレスですよ)を指定して、フォームの送信ボタンを押して見ると、
このように、POST されたパラメータにしっかりと、senderMailAddress
が指定されていることがわかります。
そして、このメールアドレスの受信ボックス・・
やはり、届いていました。
これがもしも第三者であれば、用意に私のクレカ情報を利用して、電子マネーをチャージされたかもしれません。
あまりに杜撰な対応
このように、場当たり的に対処しているだけで、根本的な問題が解決されないままサービスを継続しているのは問題じゃないでしょうか。
さすがに、オムニ7 は過去に何回か使ったことがあるのですが、流石にアカウントを削除するかどうか迷っています。
私の場合は アカウントを削除するか、クレカ情報を削除するだけですみますが、、、
7Pay(セブンペイ)クレジットカード不正利用騒動でセブンイレブン関連のサービスからクレカ情報を消してる方、omni7のだけ消して安心してはダメですよ
nanaco、nanacoモバイルでクレジットチャージしたことあるならそっちの情報は別なので「nanacoクレジットチャージ解約手続き」をする必要があります— ゆきつ (@yukitsu_mo) July 3, 2019
このような情報もあるので、念の為・・
まとめ
なんだか、日本国内の電子マネーの囲い込み合戦のせいか、Paypay に始まり今回の 7pay まで、なんだか電子決済に不信感を抱くような出来事が多いですね。
日本企業特有の「囲い込み」も良いかもしれませんが、もうすこしセキュリティ対策をしっかりとしてほしいもんですね。
0件のコメント