-
- いいね!145
三上洋
@mikamiyoh
4日の7pay会見以降にも80件弱の不正利用があったことが判明 Q:7/4の会見以降の被害について(今日の会見で不透明だったので広報に確認しました) A: 前回の会見以降、7月中旬までの被害は「1日あたりで数件程度、今回発表させて頂いた808という数値に対しては約1割弱あった」
2019-08-01 18:48:00
三上洋
@mikamiyoh
7pay会見きました。登壇するのはセブン&アイホールディングスの副社長とセキュリティ担当役員、セブンペイ取締役、セブン&アイネットメディアの社長の4名とのこと pic.twitter.com/Vsmup3bl0e
2019-08-01 14:43:28
拡大
三上洋
@mikamiyoh
7pay会見開始。後藤副社長あいさつ。不正なアカウントハッキングが行われ被害が出た。ご迷惑とご心配をおかけしましたお客様、加盟店の皆様にお詫び申し上げます pic.twitter.com/U9YlwJYYW3
2019-08-01 15:03:12
拡大
三上洋
@mikamiyoh
7/5より調査検討を行ってきた。7payサービス開始には相応の時間がかかり、それまでサービス継続させると不完全な形になる。お客様にも不安を与える。告知期間を含め9/30に7payを廃止することを取締役会で決定した。ホールディングス後藤副社長
2019-08-01 15:06:13
三上洋
@mikamiyoh
手口について。攻撃者がどこかで入手したパスワードなどを用いたパスワードリスト型アカウントハッキングの可能性が高いとの結論に至った。 外部ID連携、パスワードリマインダー、有人チャット、内部流出について検討したが、明確な流出の痕跡は確認できなかった。ホールディングス後藤副社長
2019-08-01 15:12:49
三上洋
@mikamiyoh
開発体制について。二要素認証や複数端末からのログイン対策などが十分ではなかった。グループ各社が参加してきたがシステム全体の最適化ぎできていなかったのが1つの原因。ホールディングス後藤副社長
2019-08-01 15:15:00
三上洋
@mikamiyoh
7iDには流出を確認していないが7/30にパスワードリセットを実施した。不正に取得したとしてリスクを極小化できると考えている。今後も7iDのサービスは継続する。
2019-08-01 15:17:01
三上洋
@mikamiyoh
Q:なぜリスト型と判断したか? A:手口は先にIDを攻撃、次にパスワード、そして不正チャージという流れからだった。チャージ用のパスワードは7iDのパスワードと同じにすることができる。それらの要素からリスト型と判断している
2019-08-01 15:29:26
三上洋
@mikamiyoh
Q:リセットと廃止の関係は?一番の大きな要因は? A:7iD自体のリセットと7payの廃止は別の次元で検討していた。リスト型ハッキングへの対策が甘かったことが大きな要因
2019-08-01 15:38:31
三上洋
@mikamiyoh
Q:なぜ二要素認証を入れなかった? A:利用の後モニタリングすることで守れると判断したため。 Q:スマホ決済の信頼度を失わせたことについて A:その通りで大きなご迷惑をおかけした。7payは廃止したが、スマホ決済は様々なプレーヤーと連携しながら続けていきたい
2019-08-01 15:41:27
三上洋
@mikamiyoh
(ぼそり) 「7iDのセキュリティレベルはちゃんとしたレベルに達している」との説明と「二要素認証がないのは甘かった」との反省。いやいやいや、7iDに二要素認証がないんですよ?今でも
2019-08-01 15:49:36
三上洋
@mikamiyoh
Q:Githubに出ていたソースコードは? A:15年の秋に開発用に作ったソースコードであり現在のものと異なる。現在の環境に影響はない。管理が甘かったことはお詫びする
2019-08-01 15:52:34
三上洋
@mikamiyoh
脆弱性はないと回答したが、脆弱性検証の範囲と深さが適切ではなかったと考えている。セキュリティはサービス別のレベルを検討している。現状のサービスにおいては、7iDのセキュリティレベルは十分だと判断した
2019-08-01 16:06:12
三上洋
@mikamiyoh
Q:リストハッキングについて A:翌日早朝から何千万回という回数でIDのアタックがあった Q:なぜ数字を出せないのか? A:入られた件数はまだ調査中 Q:ログインされた件数は? A:まだ調査中
2019-08-01 16:14:19
三上洋
@mikamiyoh
Q:ログは? A:ログは残っていた。どのページを見たなどのデータはある。情報漏洩が起きているか確認中だが、現時点では確認できていない
2019-08-01 16:16:02
三上洋
@mikamiyoh
被害額について。7/4の数字は試算であった。相談ダイヤルの相談などから同様の取引から11日に数字を出した。その後一件ずつ精査をして今回の数字になった。これから気づくお客様もいるのでクレジットカード明細を見ていただきたいとお伝えしている
2019-08-01 16:22:06
三上洋
@mikamiyoh
7payは2018年2月に単独アプリとして開発を始めた。それとは別に6月にセブンイレブンアプリ開始。そこでセブンイレブンアプリに入れたほうがお客様の利便性を高めると判断しセブンイレブンアプリに7payを入れることにした
2019-08-01 16:30:38
三上洋
@mikamiyoh
Q:他の手口を否定できるのはなぜ? A:外部IDを他人が使用していた形跡がない。パスワードリセットを使ったという痕跡はない。 Q:ログインシステムの変更について A:単独アプリでは二要素認証は検討していた。セブンイレブンアプリへの統合での検討で二要素認証を外した
2019-08-01 16:45:43