7Payの問題に関する雑感

作成日:2019/07/07 更新日:----/--/--

BMW and more(デジタル)のインデックスページ
Mastodon(お一人様インスタンス)

人気ブログランキング

ブログランキング・にほんブログ村へにほんブログ村

PVアクセスランキング にほんブログ村

問題の本質はそこなのか?

7Payについての雑感。二段階認証を導入していないからいけない、パスワードリセットの際に他のメールアドレスにメールを送れるからいけないということが主に責められているが問題の本質はそこなのだろうか?二段階認証は第一段階の認証に加えてもう一つの方法で認証をするものなので第一段階の認証がガバガバでは意味をなさない。パスワードリセットに関してもメールアドレスと生年月日が一致して初めて他のメールアドレスに送信できる。つまり一つは認証を突破されているのだがその件数が4日で900件というのは多すぎる気がする。いろいろな情報が漏れている時代とはいえ少々突破されすぎでは?

原因はどこ?

どういうケースで被害が発生しているのか詳細が発表されていないので想像になるがここまで出ている情報としてはiPhoneでユーザー登録を行った場合、生年月日が2019/01/01で登録されるというもの。これによってパスワードをリセットされたのではないかということ。個人情報にうるさい時代なので入力せずにすむ項目は入力しない人も多いだろう。自分だって入力しない。しかし未入力の場合の固定値が2019/01/01になるようではこの項目は認証としては使えないことになる。この辺の入力系とパスワードリセット系を設計した人が別で連携がとれていなかったのではないだろうか?生年月日を言わせて本人確認をするケースは結構ある。まあ、本来はそこもあまりよくないのだが非対面で即時にとなった場合はそれくらいしかない。一応、もう一つのキーであるメールアドレスや会員IDを知っているわけなので。ということで生年月日が固定値になるのが最大の原因ではないかと。他にもチャットでチャージパスワードをリセット出来る等があるらしいがいずれも被害の拡大に影響するものでやはり被害の発生原因としてはアプリへのログインを簡単に許しているところではないかと。なお、きちんとした生年月日を登録した場合でもアプリにログインされているとなると他に原因があることになり、メールアドレスとパスワードが漏れていることになる。一度ログイン出来てしまえば生年月日を抜くことも出来るだろう。そうなってしまうと先の方法でパスワードリセットをされてしまうので被害を押さえることが出来なくなってしまう。しかしサービス開始から数日でこの被害、事前に欠陥が漏れていたのでは?と疑いたくなる。また限度額はどうなっていたのだろう?コンビニの買い物で1日に何十万円も支払いが発生することは希と思われるのでそこの制限がかかっていれば被害額はもう少し少なかったのではないだろうか?

これはQRコード決済の問題ではない

本件に関してQRコード決済の安全性が、という話もあるがこれはQRコード決済に限った話ではなくアプリ決済全体に関わってくる話である。例えばSuicaでもアプリに不正ログインされれば他の端末に移されてしまう。そうならないようにいろいろと工夫はされているが。認証を突破されない、突破されても重要な操作に関しては別の認証を必要とする。そういった工夫が7Payの場合は不足していたのだろう。

二段階認証→二因子認証(多要素認証)

蛇足ながら今回、二段階認証という言葉が有名になったがセキュリティを向上させるために行うのは二段階認証ではなく二因子認証(もっと言えば多要素認証)である。これは異なる要素(記憶と媒体等)で認証を行うというもの。例えば銀行のキャッシュカードはカードと暗証番号という感じで。パスワードを2回入れるというのはパスワード1が漏れてる場合、パスワード2も漏れている可能性が高く(ショルダーハッキングされていれば全て見られているだろう)、セキュリティの向上には不十分。