Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。

7payの失敗、もし自分が構築・運用してたら防げていたか?/なお『7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった』というネットユーザからの報告も

試験に出るくらいのベタな事例であれば十分防げたのでは?とも思いますが、それは素人考えなんでしょうね。
231
丹治吉順 a.k.a.朝P, Tanji Yoshinobu @tanji_y

7pay会見に関する反応をタイムラインで見ているわけだけれど、日本の大企業の中で、テクノロジーを理解している人が(特に役員レベルの意思決定や権限を持つ層で)どれほど冷遇されているか、その結果としていかに無残なことが起きるか──その決定的なモデルケースになったようだ。

2019-07-04 15:29:30
Yuta Kashino @yutakashino

(´-`).。oO( 7Payの釈明会見,決済会社なのに「二段階云々」発言をみるに,自社のコアの周辺テクノロジーを理解できない脳死のシニアを上に持つというのは,ビジネス継続上の大きなリスクですよね….理解できない勉強できないシニアを組織から排出する仕組みが必要になっていくかも… )

2019-07-04 20:46:49
ねむりんちゃん(NEM Mainnet tipbot) @tipnem

私の方が7payよりしっかり者だと思うの

2019-07-04 20:58:05
Masanori Kusunoki / 楠 正憲 @masanork

相次ぐ不正と抗いながらIdPを構築運用保守した者だけが石を投げなさい。7Pay以前のOmni7がそうだったように、世のほとんどのサービスは堅牢なのではなく攻撃する価値がないだけ。だから不正と闘えるIDを構築運用したエンジニア(ID厨)は本当に希少

2019-07-04 21:28:05
Masanori Kusunoki / 楠 正憲 @masanork

みんな7Payのことを馬鹿にしてるけど、本当は他人事じゃないんじゃないの?同じ事はきっとまた起こるよ、自分だったら防げたって胸を張れる?ってことを考えてみたり / “7Payの失態で露呈した本当は怖いIDの話|楠 正憲(国際大学GLOCOM 客員研究員)” htn.to/3b6sFD32DK

2019-07-05 01:25:28
上原 哲太郎/Tetsu. Uehara @tetsutalow

そう、内製じゃないのが本質だと思う。こういうサービスが事業の根幹を支えるものだと認識しているのであれば、セキュリティ確保のためには運用も開発も内に抱えるべき。5年前から言い続けてる。digitalforensic.jp/20 / “7Payの失態で露呈した本当は怖いIDの話|楠 正憲…” htn.to/3nyMqwAhLJ

2019-07-05 05:08:41

・『7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった』

コッテリア @asaou0306

7pay 原因これとメアド設定か... 本当にセキュリティ診断やったの? ツールだけしか使ってないんじゃ.... pic.twitter.com/2gthHGPzyq

2019-07-05 11:50:11
拡大
Naoya Hatayama @ApplePedlar

7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった。 ---- 平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com fe-siken.com/kakomon/28_har…

2019-07-04 22:58:15
赤鉛筆 @aka_pencil

7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます pic.twitter.com/Zn3uBPuas0

2019-07-04 21:07:55
拡大
Yuki Yugui Sonoda @yugui

よく聞くようなSIの業界構造で、この前提条件で、自分だったら #7pay の問題を防げたとは思えないんだよね。 ちゃんと普段製品コードを書いている人間がフレームワーク選定から設計へのフィードバックから携わらない限り

2019-07-04 21:33:23
酒粕GT@ジムニー納車待ち @sakecars

前にも呟いたけど、ジュラシックパークがダメになった原因も、あのピザプログラマーの報酬をケチったからだったでしょうに。 もう30年近く前のアメリカの映画で語られてたのに、恐竜ばっか見てるから教訓が活かされないんやで。 #7pay pic.twitter.com/pL4F6XNEul

2019-07-04 22:06:56
拡大
シャチ (Killer Whale) @killerwhale1981

7payのやらかしの何がマズいかって、 長い間日本に根付いてきて信頼を得てきた企業がやらかしたというのがな。 Paypayの時は「Paypay?何それ?」という感じだったけど、7payの時は「あのセブンイレブンがやるんだから大丈夫だろう」で登録してしまう人が多そうだし。

2019-07-04 22:58:40
れいな@底なし沼の魔女 @MegaBlackLabel

7payで協力会社のOracle、NEC、NTTデータ、NRIって「大企業や官公庁のお抱えでデカくなり、利益確保のために下流工程に安い外注入れて、社員は管理のみのSIerとなった代表格」だと気付いた。これでIBMがいれば完璧だったのに。

2019-07-05 09:31:37
しょうP @55mnsio

7payでバズったツイートに既にあったけど、規模だけ大きいIT(SIer)の案件、大半が低賃金派遣下請け屋な上に仕様の欠陥指摘してもリスク大、上手く改良しようとしても見返りないので完全にこの心理 pic.twitter.com/DrI7HzJpIQ

2019-07-04 23:01:33
拡大
めいろま 「世界のニュースを日本人何も知らない2」12月9日発売 @May_Roma

7payのガバガバなセキュリティはセブンやベンダだけの問題にされそうだが、実はもっと責めるべきは総務省と金融庁で、電子マネー事業者の内部統制や外注要件を政府が監査した上でサービス認可しなければならない。日本ではこの点を指摘する人が少ないですね。政府が消費者保護をやってないということ

2019-07-04 22:12:33
バレッタさん@ゲーム実況(予定)・ゲーム用垢 @Berrette_sunsun

ナギさんに見せてもらった7payの問い合わせページだけど、下の注釈の二つ目、消費者センターに電話したら間違いなく引っかかる文言だと思ってきた。 これ本気で弁護士入れてやってる?この感覚でセブン本部はずっと現代の奴隷制度運用してたんだ…はぁ(´・ω・`) #7payswar #7pay pic.twitter.com/56dZbR2n00

2019-07-04 22:24:00
拡大
井上慎也@IT学習コミュニティTechCommit @ino_dev

まぁ、7payは色々酷いけど、「経営者が技術わからんとかwww」とか言ってるエンジニアはどれだけ経営の勉強してるのか怪しいもんだが

2019-07-04 22:57:14
たか @takaNNK

クライアントが2段階認証を拒否していたが、7payの事象で必要性の説明がしやすくなった(^^)

2019-07-04 22:57:37
Y Tambe @y_tambe

そもそも「7pay」って名前が「しっぱい」と読める

2019-07-04 23:11:07
ハ ム っ く ん @mukkun26

セブンイレブンの支払い方法のページから、7payが消えました。 pic.twitter.com/r26AtHxzsD

2019-07-05 00:14:02
拡大
あや∴▷▶︎▷… @Jumpool_1oo1

7payの呼びかけして下さい。登録してもらってください。7payの広告貼ってください。登録してください。チャージしてください。使ってみてください。って散々言ってきたくせに、今日になって大至急7payって書いてあるものは全部撤去してください。ってなるのほんとウケる。

2019-07-04 23:01:04
ろくろくび @RockLockBee1

#7pay 炎上してるけど、そもそも7pay使うメリットってあるんですか? PayPayかLINE Payで全部いけるやん pic.twitter.com/JQCXTw5La6

2019-07-05 01:08:04
拡大
残りを読む(53)

コメント

肉=ローステッド @Roasted_Meat102 2019年7月5日
防がなきゃいけないし、防げそうにもないのなら、サービスを始めてはいけない
56
びびったー☆うるせえ @vivitter_vivitt 2019年7月5日
規格の乱立って利便性の面からだけでなく、セキュリティの面からもユーザーを幸せにしないんだなあ
50
臼沢沙英 @Sae_anime 2019年7月5日
シレッとジェフをディスるのはやめろ!
10
野良馬 @nobody_oyaji 2019年7月5日
paypayが7payと同じ7月1日から使えるようになったという話を聞いて、「セブンイレブンは導入を焦りすぎて全てをパーにした」という感想しかない。
68
野良馬 @nobody_oyaji 2019年7月5日
最初はファミマみたいに余所のサービスを使って、その後自社QR決済を立ち上げればよかったのに、その分の利益もと欲を出して急いだせいで完全に失敗に終わった。  改善しても信用しない人多そうな。
12
野良馬 @nobody_oyaji 2019年7月5日
つかさぁ…利益の為なら手段を選ばない社風が招いた結果だと思うぞこれ。身から出た錆というか。
51
RYU-1貴族 @r1kzk 2019年7月5日
石投げ理論って前提条件が雑だと逆に石を遠慮なく投げつけていい手助けになるんだよな
78
黒田信武 @kurodashinobu11 2019年7月5日
技術者の立場で出来ること…この件クソほど燃やして100年残る悪しき前例を作り上げること?
44
黒田信武 @kurodashinobu11 2019年7月5日
「自分だったら防げたって胸を張って言える?」 問題の根幹そこじゃないからどんな有能技術マン連れてきてもどうにもならなかっただろうなってのが共通見解だと思うんですけど
87
雨 月 ▲ @uzukiisaki 2019年7月5日
経営者が技術を解らなくても別にいいが、それは仕事を出す技術者の主張をちゃんと聴いて経営者としての判断が出来て責任をとるのが前提だ。技術者が経営をわかれ?そんなもん技術者の仕事じゃないし、別料金だ寝言か。
107
神楽坂優奈@横鎮丙てーとく @BELLKARM 2019年7月5日
現状防げません。 なぜならよくわかってバカ管理職と会社の上の方の連中が決定権を持ってるので、技術者がいくら危険を訴えても他社に追従するためにサービス開始を優先させるからです。
93
きたあかり @kita_akari0420 2019年7月5日
競合他社サービスの研究・模倣してるだけでも、 サービスイン時に何が必要かわかりそうなもんだけど……。
13
田中 @suckminesuck 2019年7月5日
まあスイカのが便利なのは間違いないんだよな
3
黒田信武 @kurodashinobu11 2019年7月5日
自分なら防げたと胸張って言えるかってのはむしろ逆で、どんな有能技術者でも防げない組織・管理体制の問題だってのが見えるから一技術者として安心してバカにできるのだな
113
sou51@フェニックスサポーター @_sou51_ 2019年7月5日
一技術者の立場じゃ防げない、じゃぁその場にいたらどうするかといったら、やれるだけのこと(リスク喚起)はやってどうにもならなければ、こんな危険な仕事どうにかして関わらずに済む方法を探すしかないな
11
aomakerel @aomakerel1782 2019年7月5日
自分だったら気づけたとなら胸を張って言えるかな……多分みんなそう思ってる
0
Yamamaya @yamamaya3 2019年7月5日
「俺、エンジニア。7pay を救うために何度も要件定義からループしているが、どうやってもバッドエンドを回避することができない」と言うタイトルのループ物小説かな?
58
ゲーム用垢 @z1g6309 2019年7月5日
仮に中で脆弱性指摘しても今から直してリリースに間に合うわけ無いだろとかいわれて握りつぶされるに1ペリカ
55
マシン語P @mashingoP 2019年7月5日
7payの問題はマネジメントやましてや技術力云々でなくて、自分たちは頭良い完璧な存在と傲った年寄りがふんぞり返っていることじゃろ。先ず必要なのはトカレフ片手に社内をうろつく政治将校の集団。
39
野良馬 @nobody_oyaji 2019年7月5日
コレ防げなかったというより「防ぐ気なかった」ろ。  最初に設計した奴もアレだが、paypayとは違うのだよ、paypayとは!」とか「マヌケな他社と同じ轍は踏まん!」とか本社の上の方が本気で思ってそうな。
22
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2019年7月5日
開発現場の状況がわからんのに防げたかどうかなんてわかりようがない
11
野良馬 @nobody_oyaji 2019年7月5日
つうか期日最優先でバグだけ潰して、ハッキングとかのセキュリティー関連のテスト殆どしてなさそう。
2
野良馬 @nobody_oyaji 2019年7月5日
プログラムエラーならまだしも初歩的なヒューマンエラーでしょ。  故にチェックしてれば防げたはず。  それができなかった事情があるんだろうな(主にクライアントであるセブンアンドアイ側に
45
@道交法微反 @deg2typeR 2019年7月5日
パソコン使えない桜田大臣がサイバーセキュリティ戦略副本部長になった時には、ここでも結構な人が、現場の担当がわかってれば上が詳しい必要はない、って擁護が結構あったけど、今回の件を見るにやはりそれは通用しないんですね。
36
樹望 @itsukinozomu 2019年7月5日
自分なら防げたか?というがそもそも仕様にあったのか? それに見合った工数を準備できていたか? それに見合った費用を準備できていたか? という前提条件がありすぎて何とも言えないというのが回答じゃないですかね…
29
syukusyukusyuku @syukusyukusyuk1 2019年7月5日
deg2typeR 極端すぎる。それを言ったら、殆どの電子マネーがアウトになるぞ。中国の同産業に至ってはトップは文字通りの政治将校だし どちらかというと「下請けに適正な裁量権を与えられるか、またその判断を上層部が的確に出来るか」って話で、その組織の奴隷構造の酷さの目安になる。 つまり7Iグループは共産党より奴隷構造が酷いと言える…アレ?
41
ねるにあ†Ridill @nelnia 2019年7月5日
昨日の会見を見ていれば、問題の本質は技術者側ではなく管理運用する側とその体制というのは誰でもわかると思うけどな…
61
生ハムばなな @Namahamu_BANANA 2019年7月5日
コンビニ最大手なんだからローソンと足並み揃える(自社では作らず対応QR決算を増やす)だけでファミマのハシゴ外しが出来たのに突貫すぎて先のこと考えずに後々何かしらやらかすのが目に見えてる案件を押し付けられましても……
2
コパ @ahirukopa 2019年7月5日
私はテスターなのでたとえ気づいて「これってバクじゃないですか?」って言っても、開発が直してくれなかったり、「リリース後にバージョンアップして直す」と言われてしまったらそれまでだから、 「自分なら防げた」とは言えない。
18
森のクマッチング(ぽっけ風) @peerchaky 2019年7月5日
nanacoなんていう囲い込み完了してるやつがあったのに何でわざわざ7Pay作ったんだろうね
71
ささみくん @3_3_me 2019年7月5日
「あいつがこれでいいって言ってんだからいいんだよ!」で押し切ったこと、押し切られたことがない人だけ投石
3
Tomonori Iwanaga @Tombu 2019年7月5日
どの層のエンジニアを想定して言ってるかにもよるけど、結局仕様の決定権のある人が「二段階…?」だとガバガバな仕様になるし、末端はその通りに作るしかないでしょう
30
Yeme @yer_meme 2019年7月5日
やらかしたのはマネージャーでしょうスから、エンジニアからするとむしろ「ほれ見たことか」って感じだと思うっスよ。
44
メラ @vprjct 2019年7月5日
大手ベンダーだと4次受け5次受けがある世界なので、発注者かその直下以外は止められないと思う 改善するならそもそも10年前からずっと言われてる多重下請け構造潰さないと(上位の名ばかりSEさん死んじゃうけど)
6
野良馬 @nobody_oyaji 2019年7月5日
peerchaky 「時代はスマホQR決済!ICカード決済は 時代遅れ!」みたいな奴が少し前に涌いてた記憶が。  それと同じ思考じゃないかね。
10
あかこ @akakored 2019年7月5日
中国は既にQR決済では相当先を行ってる(大八車引いて田舎から野菜果物売りに来てるおじいちゃんの屋台でも現金使えなかったりする)ので、不正狙い側も相当鍛えられてて、omniの穴に気がついた奴らがうずうずしながらサービス開始待ってたのかね…
25
にょぴ @hihiyokic 2019年7月5日
オタクってこういうとき俺の方が上と言わんばかりにめっちゃはしゃぐから可愛い
4
zero2x @zero2xzero 2019年7月5日
テクノロジーの問題ではなくガバナンスの問題だから問うなら「あなたが経営者ならこれを防げる?」です。
63
hmamdamd @hmamdamd 2019年7月5日
7pay側が素人なのは一旦置いておいて、これ受注側の上流工程の善管注意義務違反な気がするがどうなんだろ。おそらく請負契約でなく準委任契約になってるだろうからここまで素人なシステムを設計したら裁判されると負けると思うんだが。
7
野良馬 @nobody_oyaji 2019年7月5日
そして7payとnanacoとセブン銀行が系列なのに連携させず、それぞれ別会社同士な処理をしてるんで「アホw」としか言えない。 なんつーか囲い込み狙って行き当たりばったりでサービス始めてるからセットで持つメリットが無いのよね。セブン銀行デビットのnanaco還元率クソ渋くなったし。
47
出無精マスク @annoupoteto 2019年7月5日
ガバガバナンスすき、向こう百年バカにしろ
5
SSKTK@甲21 @SSKTK 2019年7月5日
もしも自分がそこのエンジニアだったら防げたか、というよりも小林( 弱)だったら防げたかということだと思う。要するに責任者が責任者としての役割を全うしてないのでは。
0
まんも @manmo999 2019年7月5日
自分が担当してもstruts1は使わないしパスワード変更先のメールアドレスを変更できるような仕様にはしないと思うけどなぁ
7
ぷりん @printai100 2019年7月5日
こういうサービスの登録用メアドにキャリアメールを使って、MNPでメアド変更しまくって、もちろん電話番号も変更しまくってニ段階認証出来ない状態にして、前のメアド使えなくなってパスワードもわからなくなったから何とかしろって言う馬鹿が沢山いるから今回みたいな仕様になるのはわからんではないがしたらあかんやろ。
23
よもぎ(よう、もぎ) @cataildragger 2019年7月5日
情報技術系の資格に無理解でコストをケチりたがる上司を説得するトーク・力と政治力も組み込まなきゃ
2
gaheki @gaheki 2019年7月5日
先行してる他社の前例をそのまま真似するだけでもこうはならなかったわけだしなぁ…
1
すいか @pear00234 2019年7月5日
別のところにも書いたが、この事例はIPAのAPやSCで未来永劫例題にし続けるべき事例。
27
すいか @pear00234 2019年7月5日
nobody_oyaji 「最大手のセブンイレブンが同時に始めることで、ファミマの方の話題を奪って美味しい」→大醜態→「我々も醜態をさらしたが、”スマホ決済は信用できない”という空気を作れたので、結果的にファミマや将来的なものも潰すことが出来た。結果オーライ。」ぐらいのこと考えてそうだぞ、セブンアンドアイなら。
19
syukusyukusyuku @syukusyukusyuk1 2019年7月5日
akakored なおQR決済より上の技術を持つ日本は、中国のQR決済を見て「QR決済を導入しよう!遅れてる!」とかやりだしてた模様…どうにもならんなこれは
15
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 2019年7月5日
一流は存在しなかったがごとく全てをキレイに回し、二流はトラブルをキレイに火消しする、三流はトラブる。
4
しろうと @sirouto 2019年7月5日
スレタイにあるように、「基本情報」の過去問にある位の初歩的な問題だから、セキュリティの専門家が見れば、確実に分かるはず。大企業の案件なのだから、セキュリティのガバナンスが十分なら、事件は防げたという印象。またかりに、「セキュリティのチェック自体は受けたが、参考として聞くだけで、経営層が安全よりもサービスの早期開始を優先した」とかでも、それは結局、安全管理の体制が不十分なことに変わりない。むしろトップにこそ、無謀な「インパール作戦」を止められる勇気が必要。
34
CAW=ZOO @CAWZOO 2019年7月5日
防ぐことの出来る権力のある役職・防ぐ現場の人間だけどクビ覚悟、もしくは辞表叩きつける・じゃないと出来ないかもね
2
びびったー☆うるせえ @vivitter_vivitt 2019年7月5日
pear00234 L君「サービスPに対する不正アクセスは、二段階認証を導入していれば防げたと思われます。」 K社長「二段階…認証?」 L君はK社長に二段階認証について説明した。 問1.二段階認証を導入していればサービスPに対する不正アクセスを防げたと考えられるのはなぜか、40字以内で答えよ。 問2.サービスPに対する不正アクセスが発覚した直後のS社の対応には不適切な点があった。どのような対応が不適切だったか、適切な対応はどのようなものか、それぞれ25字以内で答えよ。
10
すいか @pear00234 2019年7月5日
vivitter_vivitt A.1 「二段階認証を行えば、登録電話番号を持たない人物からのアクセスを防げたから。」A.2「不正アクセス認知後にシステムを停止しなかったこと。」A.3 「システムを停止し被害の拡大を最小限に抑える。」 でしょうか
8
スーパートムキャット @stomcat_MSC_fan 2019年7月5日
経営者クラスが、ことの本質的、技術的を理解せずに、下請けが失敗しやがった、ミスった下請けに損害賠償させて、別の下請けに切り替えよう、くらいに思っている可能性もかなりありそう。
40
akiran @akiran32748624 2019年7月5日
バカ経営者とバカ技術者のコラボレーションで、「これだから経営者は…」 って案件でもないと思うのよ
2
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 2019年7月5日
なんとかPayは商流を抑えるべく消費者監視用スパイウェアを合法的に導入させる手管らしい。PayPayぐらいかな本来の電子決済を市井にを行てるのは。
0
slips @techno_chombo 2019年7月5日
akiran32748624 経営者ってのはバカ技術者に仕事させないとか、そもそもバカ技術者を雇わないとか、バカ技術者でもちゃんと作らせるとかってのも仕事じゃないか。
11
gx9900 @GX9900GUMDAMX 2019年7月5日
nobody_oyaji むしろ問題はnanacoとセブン銀行はセブンアプリ(セキュリティガバ)と分けてたのになんで7payはくっつけちゃたのぉぉ。
7
syukusyukusyuku @syukusyukusyuk1 2019年7月5日
techno_chombo 横からだけど、その方はバカ経営者って言ってるし経営者のマネジメント能力叩きを否定してるのではなく、「これだから経営者は(技術を知らない云々)」って経営者にも専門技術に精通するよう言ってる人に向けてるんだと思うよ
0
びびったー☆うるせえ @vivitter_vivitt 2019年7月5日
pear00234 問題が模範的じゃないのでアレなんですが、回答はたぶん模範的だと思います
0
Daregada @daichi14657 2019年7月5日
(2段階認証を導入後)「ヨシ、パスワード再発行フォームで、登録時とは別のメールアドレスだけでなく、登録時とは別の電話番号にも(2段階認証用の)メッセージを送れるようにしたぞ」
8
しょーた @shota243 2019年7月5日
多重下請け構造って、労働市場の流動性の低さがなせるわざなんだよなあ。しかもそのせいで身分が固定化するから下の方はコーディングはできても設計はできないし、上の方はパワーポイント使いばっかりになる。
1
taro @jan22a0c 2019年7月6日
まー保険でなんとかなるだろ 位に外部化してるから経営陣は何とも思ってないよ
4
gx9900 @GX9900GUMDAMX 2019年7月6日
jan22a0c アプリも外部化してればこんなことには・・・
0
ジョージ2世 @GEORGE221 2019年7月6日
妙な英語試験を導入した挙句学生バイトに記述式の採点させるベネッセと文科省も、似たようなものだな。
6
rti @super_rti 2019年7月6日
この仕様は危険ですと何度か言うだろな。でもこれでいいんだよと言われたら、そうですかといってカネだけもらって終わりだろう。後で問題にならないように、進言した記録はちゃんと残してね。項羽に仕えた范増は何度も進言したけど全部無視されて、結果、圧倒的に優勢だった項羽は滅んだ。
1
ephemera @ephemerawww 2019年7月6日
日本の官僚組織や行政機関、そして企業は、海外の組織がいかにしてITオンチ世代とIT世代の障壁を乗り越えて、IT時代に適応した組織を作り上げたか、組織をどのように刷新していったかを、それこそ明治維新当時の気概を持って海外に学びに行くべきじゃないのかね。日本は遅れているんだと認めなけりゃ話にならない。なによりパソコンも使えないような老人はさっさと引退したほうがよい。それこそ老害だ
3
shiroi @68Shiroi 2019年7月6日
セブンペイ導入前のセブンアプリで乗っ取りは試されていたのかな? オムニ7のIDとかパスワードが古いメールアドレス使ってたせいで問い合わせでイライラした覚えがあるけど
0
ざの人(棘用垢) @zairo2016 2019年7月6日
二段階認証を使えば防げていたのかについては、LINEPAYの強固な前例があるので(強固なセキュリティで問題が起きていない)そこはしっかりやってれば防げていただろう。というのはある。 同時に毎回店頭で使う度に6桁のパスワードが要求されたりもするから。 レジに並ぶ前にログインで入る準備画面での認証がほしいが、1000円チャージしただけだから今はどうかは不明、煩わしかった(店頭での認証時間がとにかくかかるのは使いにくい)
4
旧 技北 皆(わざきた かい) @Kai_Wazakita- 2019年7月6日
ephemerawww そして「勉強のために海外に行った」という満足感だけで停滞するんですねわかります
0
4B @fourBfuzzy 2019年7月6日
「ほならね理論」の脆弱性はこのコメント欄が指摘する通りだと思う 「あなたと同等の医療知識しか持たない医者にかかりたいと思いますか?」って言いたい
4
ビールクズ猫 @WAKUWAKUTAKKU 2019年7月6日
「あまりにも初歩的過ぎて、後発が誰も参考にできない」って説明が一番正しいと思った。
19
みさ @misa_exchange_ 2019年7月6日
あの会見で個人的に気になったのが「何故有識者を同席させなかったのか」というとこ。責任者や偉い人が来るのもわかるし、そういう人たちが知識がないのもまぁ仕方ない部分もあるだろうと思う。けど記者会見開いてんだからきちんと技術に対する回答ができる人を同席させなきゃ駄目なのでは。それは別に内部の人間じゃなくてもいいし、外部の人間ならなら一緒に頭も下げなくてもいい。けど会見としてそもそも答弁が不明瞭なのはどうなんだ…。
10
田中一郎 @eggmanpat 2019年7月6日
役員がITを全く知らなくても、そういう会社が普通に存在できるのが日本の七不思議の一つかも。そういえば、昨年5月に日立の会長だった中西氏が経団連の会長となった。その際に日経に「中西氏は経団連の会長室にノートパソコンを持ち込みメールを発信するという。経団連会長が自分でメールを打つのは初めてであり、これぞ中西流。」という記事が載った。俺は一瞬、昭和時代にタイムスリップしたのかと思った。
10
Earwax @Earwax97409510 2019年7月6日
いやいや、「IdPを構築運用保守した者」じゃなくて「IdPを提供する会社のCxOを務めた者」でしょ。運用保守の担当やチームリーダーレベルで防止/解決すべき問題だと思ってるなら相当重症だぞ。
6
豆腐の角 @ayutimali 2019年7月6日
68Shiroi セブンアプリにしてもomni7にしても乗っとって厨房(古)の自己満足以外意味ないので認証それなりでよかったってだけ。金が直接絡まないもんに強固な認証要求しても無駄だし、問題はサービスと要求される認証レベルを発注側が理解できずにいたこと
2
Earwax @Earwax97409510 2019年7月6日
Omni7のセキュリティ方針に瑕疵があるから7pay可哀想なんて論まで出てきてるの!?流石に草。それならそれでpay側は「Omni7は非機能要件のセキュリティの項においてノックアウト要件未達の為、認証基盤として採用不可(または要改修)」と判断しなきゃダメでしょ。それを怠った責は免れないよ。
5
masano_yutaka @masano_yutaka 2019年7月6日
だってこう言うのって「テスター」段階でこれに気がついても「せっかくxxさん(お偉い人のお名前)が作ったシステムなんだから、文句を言うな」ってってレベルだよ。 そもそも、テスター以前にPGもSEも「知ってて、でも言えなかったor言っても無視された」だよ。 要件定義の段階で「メールアドレスが変わった人の為に別メールアドレス宛に送れるようにしよう」って言う話だったんだから。
10
豆腐の角 @ayutimali 2019年7月6日
問題は7payが認証に『それなり』なもんであったomni7の認証システムを採用してそれでokってやったことで、これは確実に仕様策定時にセキュリティチェックが機能していなかったってこと。サービスの質で認証に要求される要件変わる。
8
tubu8kiya @tubu8kiya 2019年7月6日
ジュラパの件は報酬をケチったというか、ネドリーが産業スパイ行為を働いたせいなんやけどなあ…。「産業スパイ行為を働くことになったのも、すべてハモンド側に原因がある」と言いたいなら話は別だけど。
0
MITA Tomohiro @MitAtoM 2019年7月6日
情報処理試験にも出るということは、逆にいうと落ち着いて考えないと見落とすようなものということ。 見つかった問題に注目すればまあすぐ気づくとして、じゃあそのくらいの注目をどの範囲にどの程度かけるかというテスト設計が必要になる。
1
豆腐の角 @ayutimali 2019年7月6日
masano_yutaka それ、7pay紐付く前は『それもあり』ってケースに属してるのでなんとも。
0
なみへい @namihei_twit 2019年7月6日
メールアドレスが変わってないのに変わった、と詐称されても発覚する様に、登録されているメールアドレスにも送る、が成されていないのが致命的にアウトだよね。
11
びびったー☆うるせえ @vivitter_vivitt 2019年7月6日
MitAtoM そのために本当に最低限見るべき項目がガイドラインとして出てるわけで。それすら見なかったのは言い訳のしようがない
9
豆腐の角 @ayutimali 2019年7月6日
正直omni7のアカウント削除しろってのも過剰反応。しょせんクーポンと通販のポータルで決済系扱わないシステムなんだし、その認証を決済で使い回して済ませようとしたのがダメ
0
すいか @pear00234 2019年7月6日
eggmanpat ニュースをよく読むと分かるが「経団連会長として会長室にノートパソコンを持ち込み、自分でメールを打った初の会長」ってだけだよ。経団連会長なんてメールが必要になるレベルの緊急要件や権限要求される仕事なんてないんだろうし、会長自身が会長室でメール扱う必要もないってのはそれはそれで別にアリだと思う。
1
ビールクズ猫 @WAKUWAKUTAKKU 2019年7月6日
MitAtoM例に出てる4択部分って、自動車免許の学科試験みたいな「ここは堅実に抑えて点を稼いでおきましょうね」ってエリアでっせ。
15
空弁者 @scavenger0519 2019年7月6日
みんなが「いいね」してて赤字太字になっているコメの多くは当然に「読み応えのある」「良いこと言っている」コメなんだけれど、比較的新しい時間のコメはおいといて、何の反応もついていない古いコメでも「いいね」なものがあるんで、単なる見落としなら良いんだけれど、理解できないから「いいね」しませんでした、だと棘民のスキルも・・・
1
ゆーき @yuki073 2019年7月6日
「構築・運用してたら防げてたか」ってどの立場で考えてるんだ?管理者なら仕様の時点で突き返すし、構築・運用フェーズのエンジニアなら上に警告を上げる事しかできないし。
6
赤間道岳 @m_akama 2019年7月6日
pear00234 とはいえ、会見に臨むのに、部下の技術者からなんの説明も受けてないってのが、全てでしょう。一番びっくりしたの記者さんだと思いますよ。 正直、技術を知らない経営層に説明をするのって、すごく骨が折れるし、生産性の敵とすら思っていましたが、あのやり取りを見て、考えが変わりました。
2
きさら@冬が来た @m_kisara 2019年7月6日
この騒動で一番思ったのが、クリティカルバグは指摘したらほぼ直してくれるクライアントでよかったなーって事なんだよね。おかげでFinal10版超えた事もあるけど(そして午前様休日出勤
0
かつて情弱と呼ばれていた肉片 @JoeJack03 2019年7月6日
自分の周りをイエスマンで固めたがる奴は何やっても駄目
3
もるのがわ ちょうすけ @1983216 2019年7月7日
あまりにガバガバ過ぎたからアッちゅう間に事件になって被害が5000万円ですんでラッキーだったのではないか
0
zzz @zzz09288714 2019年7月8日
「お前らだったら出来たのか!出来ないなら文句言うな!!」 って二段階認証着けてれば防げたんじゃねーの?
0
ダウト・コントラバル @doubt_contrabal 2019年7月8日
お前やったら失敗しなかったんか責めるなよってのは、例えば車の整備とか住宅建築とか医療とかの専門技能に依存するお仕事の過失を問うことができなくなるので結構危険な理論なんだよな。
1
やまひ(ロジマガ) @rightofselfde 2019年7月8日
専門の人間が指摘しようにも上の人間はそれを理解する時間がないために専門の人間が説明しようとしてもまともに聞きたがらない。 ちなみにここで言う専門は理系技術職の人間が必ず当てはまるとは限らない。自分は専門家だという自負を持っている人間のほうが意外と他の専門のことを理解したがらないという傾向もあるように思う。
1
みのん @minonwith5cats 2019年7月8日
結局のところ誰に責任があるのかは、外部の人間からは何とも言えないけど。 シロートにちゃんとわかりやすく説明するスキル、というのも専門家(特にその中で上に立つ立場の人)には必要だと思う。 専門用語でしか話が出来ない人とか、質問には答えるけど聞かれないことは説明しない人とか、結構いるからねえ。
1
ねや @AriaSub 2019年7月9日
自分がいたら間違いなく指摘してた ・・・けど、間違いなく上から却下されてただろうからなぁ 開発チームはあんまり悪くないけど、SIerが一番悪い、次点そういう要件を出さなかった7payが悪い、まぁどうせ要件定義書も自分たちで考えず、下請けに丸投げしたんだろうけど
0
ねや @AriaSub 2019年7月9日
minonwith5cats 専門用語を使わないと説明に100倍の時間掛かるから・・・ 例えば円周率と言う専門用語を使わなくても、円の面積は求められるけど、その場合積分を使った本来の計算方法を説明しないと行けないし積分を四則演算を使って説明しないと行けないから説明に何時間もかかる 専門用語の円周率を使えば10分で終わる話なのに。
2
きゃっつ(Kats)⊿ @grayengineer 2019年7月9日
『「経営者が技術わからんとかwww」とか言ってるエンジニアはどれだけ経営の勉強してるのか怪しいもんだが』 技術わかれとは言わんけど、技術わかってる人の話をちゃんと聞けってことじゃないのかと
1
きゃっつ(Kats)⊿ @grayengineer 2019年7月9日
日本はすぐ「だれが悪かったか」っていう議論をしたがる傾向があるけど、それはなぜかと考えると、最終的に「こいつが悪いという結論になりました。したがいまして我々は悪くないです」って言いたいためなのかなという気がしてる
2
きゃっつ(Kats)⊿ @grayengineer 2019年7月9日
「だれが悪かったか」じゃなくて「何がいけなかったのか」「どうすればよかったのか」を話すほうが建設的なんだけどね
5
🇯🇵ともき御前(´・ω・`)🎌 @TomokiAcura 2019年7月10日
現金…財布さえ落とさなければ万全なセキュリティw Felica…過去、不正利用されてニュースになったことは皆無。 それなのに安全性に問題のあるQR決済を普及させようとする企業も企業だが使う側にも問題ありやがな。こんなもんは絶対に使わんで。混雑時にQR決済なんて使われたらどれだけ時間が掛かると思ってんねん。
0
鍋島たま @nabeshima_tama 2019年7月11日
さすがにこんなん起こしたらエンジニア辞めるわ。馬鹿にしてんのか
0
うてん。 @uten00 2019年7月12日
新規メアドでパスワードリセットできるやばさはわかる人にはわかるけどこれをあの社長に理解させるのまあ無理だろうな…だからこうして事件が起きてやっと事の重大さがわかるハメになった
0
うてん。 @uten00 2019年7月12日
昔は確かに自動応答で生パスワードをメールで送ってたんだよな。でも今は登録メアドにリセットURLを送るパターンが主流でそれで万全ではないけど一番まし。「前のメアドが無効」などは自動対応じゃなく人間を通して前のメアドや登録内容などと照合して当人確認をするわけやね。面倒ではあるけど自動化は人が確認しない分、怪しい挙動や捨てアカで無数に申請みたいな怪しい行動を検出しにくくなるからなあ。
0
KPCG10 @KPCG10 2019年7月12日
自分も大昔に経験があるのが本番リリース直前になって「(アプリの下地にある)ミドルウェアを入れ替えろ」という命令。「確かに動くでしょうけど何が起こるか解りませんよ」と答え実行。一応全機能は動いてサービスインしたけれど、今までのミドルウェアとは違う挙動部分が有り、ヤバイ情報じゃないけどお漏らしがあって結局システムは無期限停止された。下請けは上からの命令には無力なんですよ。
0
KPCG10 @KPCG10 2019年7月12日
grayengineer たぶん技術者なら皆思うのは「3次受け・4次受け当たり前のマトリョーシカ状態のSIベンダ階層」じゃないですかね。実際に手を動かしている末端の技術者は(大元の発注金額から比較して)スズメの涙のような金額で働いていますよ。たぶんそんな現場でこういう「システム本体は堅牢なのにマヌケな抜け穴があるサービス」が出来上がるのでは。
0