「パスワードリスト攻撃」だと頑なに主張するセブンイレブン・7Pay廃止会見

8/1のセブンイレブン・7Pay廃止の記者会見をITジャーナリスト・三上洋のツイートでまとめました
7pay ニュース pay セブン-イレブン セキュリティ
132
三上洋 @mikamiyoh
4日の7pay会見以降にも80件弱の不正利用があったことが判明 Q:7/4の会見以降の被害について(今日の会見で不透明だったので広報に確認しました) A: 前回の会見以降、7月中旬までの被害は「1日あたりで数件程度、今回発表させて頂いた808という数値に対しては約1割弱あった」
三上洋 @mikamiyoh
セブンイレブン15時から急遽会見。未確認情報だけど9月いっぱいで7pay撤退との情報と
三上洋 @mikamiyoh
7pay会見きました。登壇するのはセブン&アイホールディングスの副社長とセキュリティ担当役員、セブンペイ取締役、セブン&アイネットメディアの社長の4名とのこと pic.twitter.com/Vsmup3bl0e
拡大
三上洋 @mikamiyoh
7pay会見配布資料 pic.twitter.com/6PVVtDMjhh
拡大
拡大
拡大
拡大
三上洋 @mikamiyoh
7pay会見開始。後藤副社長あいさつ。不正なアカウントハッキングが行われ被害が出た。ご迷惑とご心配をおかけしましたお客様、加盟店の皆様にお詫び申し上げます pic.twitter.com/U9YlwJYYW3
拡大
三上洋 @mikamiyoh
7/5より調査検討を行ってきた。7payサービス開始には相応の時間がかかり、それまでサービス継続させると不完全な形になる。お客様にも不安を与える。告知期間を含め9/30に7payを廃止することを取締役会で決定した。ホールディングス後藤副社長
三上洋 @mikamiyoh
被害状況について。被害額は7/31の17時時点で808人3861万人5473円。7月中旬以降、新たな被害は確認されていない。
三上洋 @mikamiyoh
手口について。攻撃者がどこかで入手したパスワードなどを用いたパスワードリスト型アカウントハッキングの可能性が高いとの結論に至った。 外部ID連携、パスワードリマインダー、有人チャット、内部流出について検討したが、明確な流出の痕跡は確認できなかった。ホールディングス後藤副社長
三上洋 @mikamiyoh
開発体制について。二要素認証や複数端末からのログイン対策などが十分ではなかった。グループ各社が参加してきたがシステム全体の最適化ぎできていなかったのが1つの原因。ホールディングス後藤副社長
三上洋 @mikamiyoh
7iDには流出を確認していないが7/30にパスワードリセットを実施した。不正に取得したとしてリスクを極小化できると考えている。今後も7iDのサービスは継続する。
三上洋 @mikamiyoh
Q:なぜリスト型と判断したか? A:手口は先にIDを攻撃、次にパスワード、そして不正チャージという流れからだった。チャージ用のパスワードは7iDのパスワードと同じにすることができる。それらの要素からリスト型と判断している
三上洋 @mikamiyoh
一人一問のためさらに突っ込めず。どなたか追加質問お願いしたく twitter.com/mikamiyoh/stat…
三上洋 @mikamiyoh
Q:リセットと廃止の関係は?一番の大きな要因は? A:7iD自体のリセットと7payの廃止は別の次元で検討していた。リスト型ハッキングへの対策が甘かったことが大きな要因
三上洋 @mikamiyoh
Q:なぜ二要素認証を入れなかった? A:利用の後モニタリングすることで守れると判断したため。 Q:スマホ決済の信頼度を失わせたことについて A:その通りで大きなご迷惑をおかけした。7payは廃止したが、スマホ決済は様々なプレーヤーと連携しながら続けていきたい
三上洋 @mikamiyoh
(ぼそり) 「7iDのセキュリティレベルはちゃんとしたレベルに達している」との説明と「二要素認証がないのは甘かった」との反省。いやいやいや、7iDに二要素認証がないんですよ?今でも
三上洋 @mikamiyoh
Q:Githubに出ていたソースコードは? A:15年の秋に開発用に作ったソースコードであり現在のものと異なる。現在の環境に影響はない。管理が甘かったことはお詫びする
三上洋 @mikamiyoh
7iDをなぜ残すのか? ネットスーパーなどセブンイレブングループ全体で使っている。デジタル戦略の要。今後も中心に使っていく
三上洋 @mikamiyoh
脆弱性はないと回答したが、脆弱性検証の範囲と深さが適切ではなかったと考えている。セキュリティはサービス別のレベルを検討している。現状のサービスにおいては、7iDのセキュリティレベルは十分だと判断した
三上洋 @mikamiyoh
Q:リストハッキングについて A:翌日早朝から何千万回という回数でIDのアタックがあった Q:なぜ数字を出せないのか? A:入られた件数はまだ調査中 Q:ログインされた件数は? A:まだ調査中
三上洋 @mikamiyoh
Q:ログは? A:ログは残っていた。どのページを見たなどのデータはある。情報漏洩が起きているか確認中だが、現時点では確認できていない
三上洋 @mikamiyoh
被害額について。7/4の数字は試算であった。相談ダイヤルの相談などから同様の取引から11日に数字を出した。その後一件ずつ精査をして今回の数字になった。これから気づくお客様もいるのでクレジットカード明細を見ていただきたいとお伝えしている
三上洋 @mikamiyoh
被害を受けた店舗について。被害を受けた方は全国に散らばっている。被害を受けた店については集中して使われている店がある。
三上洋 @mikamiyoh
7payは2018年2月に単独アプリとして開発を始めた。それとは別に6月にセブンイレブンアプリ開始。そこでセブンイレブンアプリに入れたほうがお客様の利便性を高めると判断しセブンイレブンアプリに7payを入れることにした
三上洋 @mikamiyoh
7/4チャージ停止以降、残っていた残額の不正利用があった。808人のうち1割程度の被害が、7/4以降に起きている
三上洋 @mikamiyoh
Q:他の手口を否定できるのはなぜ? A:外部IDを他人が使用していた形跡がない。パスワードリセットを使ったという痕跡はない。 Q:ログインシステムの変更について A:単独アプリでは二要素認証は検討していた。セブンイレブンアプリへの統合での検討で二要素認証を外した
残りを読む(2)

コメント

星山 等(E-SW20改) @H_Hoshiyama 2019年8月1日
「セキュリティ会社が判断した」 トレンドマイクロだったりしてなー
yositosi @yositosi 2019年8月1日
発覚直後に自分たちでパスワード再発行の仕組みを修正してたのに、なぜセキュリティホールがあったことを認めないのか?あやしい。
zero2x @zero2xzero 2019年8月1日
確信した。こいつらはまたやらかす。
🐔名無し🐔 @ScreamIcecream7 2019年8月1日
脆弱性はないことにしないとならない理由があるんでしょ 7payみたいなグループ内子会社は上に向けてそういう説明しないとややっこしくなる まあ保身の為ですけど
やまだ @eien0213 2019年8月1日
閃いた⁉あの業者は騒ぎにならなかった⁉私達もそう言えば許されるはず‼
黒田信武 @kurodashinobu11 2019年8月1日
7idもメタクソにな~れ(なってる)
tetra @tetra1945 2019年8月1日
元請けのコメントが欲しいなー。
おろろ @fYe39CoQsPrbZVK 2019年8月1日
そらID(メアド)だけ知ってたら誕生日20190101でパスワードリセット可能かつ任意のメアドから再設定可能で、みんなそこからやってましたなんて話したら逮捕されてもおかしくないしな。異常すぎて馬鹿か詐欺かワイにもわからんわ
fai into VR @faifx 2019年8月1日
自社サービスからごっそり抜かれた生ID&パスワードのリストが使われたんでしょ。出し子は、IDとパスワードのリストを持っていたわけだし。
セマフォ @NoMoreLivesOne 2019年8月1日
グループの会員基盤でオムニチャネル戦略の中核だから、どうしたって7IDを守りたいのかな? そいつがお粗末だってのが、根本的な問題なんじゃなかったっけ?
しろの @zoshirono 2019年8月1日
クロネコヤマトの件でパスワードリスト攻撃だからと擁護の声もみて「これだ!」と思ったのかなと少し邪推してしまう
柳瀬那智@シンデレラ7thツアーお疲れ様でした @nachi_yanase 2019年8月1日
7payの事件発覚直後のまとめで、ScreamIcecream7 とほぼ同じコメントを見たような気がする。つまり何も成長していない……。
Yeme @yer_meme 2019年8月1日
あっ(察し) これは駄目みたいっスね……
おきぐすり @1985oronine666 2019年8月1日
廃止決定したならnanacoの還元率モドシテ!
スレッジ・ハマーへ伝言 @mahiroya_8492 2019年8月1日
この間の火炎放射で逮捕されたアホと同レベルの言い訳だなあ 素直に謝っておいた方がまだ印象が良くなりそうな物を…
やし○ @kkr8612 2019年8月1日
配布資料から察せられる7iDのパスワード一斉リセットを有効な手段であったと確信している(あるいはそういう姿勢を見せなければ対内部的に問題が生じる)雰囲気で白目剥いた
苺花見に欲をかけたらラッキー7 @adgjmpt_1011110 2019年8月1日
まとめの最後のツイートを見ると、記者もセブンと同程度にアホンダラのように思える。
Yeme @yer_meme 2019年8月1日
うーん、資料読み直して見たんスけど「IDに対するリスト攻撃(パスワード再発行のセキュリティホールが主原因じゃないとは言ってない)」って感じっスねー。 資料の作成者含め現場は解ってるのに何らかの圧力()喰らってる、みたいな感じっス。どこの経営陣が検閲したんスかね(棒)
sam @samturn 2019年8月1日
いろいろよくわからんけど、このまま続けてもイメージダウンなだけだから、やめます!ってことか。だめだこりゃ。
朝倉梗概 @asakura_outline 2019年8月1日
こりゃ上層部相当クズだらけだな
くおんみどり🖖Master_Asia 作品集単行本発売中&iTunes&Spotify等楽曲配信中 @midorik 2019年8月1日
某アニメ監督が言われたアレみたいですねw 「Payの域に達していなかった」
みこみこ。 @MikoMiko2048 2019年8月1日
パワードリフトに誤読しました…
fishburgerman @fishburgerman 2019年8月1日
邪推だけど、会見で「リスト攻撃でした」と主張をしたいからそれに間に合わせるために慌てて実績づくりでパスワードリセット実施させたんじゃないかなーなんてね。
ながいずみ(個人用) @nameriizumi 2019年8月1日
1985oronine666 8/10〜9/30までnanacoポイント2倍(つまり7月前の水準)になるらしいですよ
BD-bular @bdburage 2019年8月1日
ここでまともに謝罪出来ないのが今のセブン…
tom20160121 @tom20160121 2019年8月1日
吉本興業にせよ7PAYにせよ、登壇者が無能過ぎて真の問題の顕在化を防御するのが流行ってるのかな?肉を切らせて骨を断つ、みたいな。
mikumiku_aloha @mikumiku_aloha 2019年8月1日
この会見は社会的影響度に関係しての説明が重要で、技術的にどのような問題があったかの質問をするような場では無いと思う。残したサービスの安全性という点でのツッコミは分かるけど
こばやし 'にらたま' けんいち @Niratama 2019年8月1日
「パスワードリスト攻撃」ってキーワードしか知らないだけだったりして
kata_game @kata_game 2019年8月1日
セキュリティホール認めたら保険が下りないとかじゃないかなー、これ
Tsuyoshi CHO @tsuyoshi_cho 2019年8月1日
普通のリスト攻撃はID/パスワードのセットだけど、これはIDのリストだからリスト攻撃なんだ的なものかもしれんな...。そう強弁するならリスト攻撃...?
木庭数図 @kiniwasuzu 2019年8月1日
2種類それぞれ別の16桁パスワードにしてたけど破られた人がいたってニュースでやってたような
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2019年8月1日
パスワードリスト型攻撃以外の攻撃手段を知らなかったら、そりゃパスワードリスト型の可能性が一番高くなりますわな、他の可能性は検討外なんだから。という感想を持った。
nomad(のまd) @nomaddaemon 2019年8月1日
「会見でなにか隠してる」「本当の原因も被害額もわかっていないし、これ以上追及する気も無い」「組織的責任は取る気が無い」ってあたりで、会社組織の自浄作用は全く期待できないので、こりゃ近い将来、カタストロフが来ると思いますねえ
くじら @kujira_desu 2019年8月1日
「セブン&アイのシステムは内外から評価されている」→「内外って具体的にどこ?」って質問にうにゃうにゃ答えてたのがハイライト。セブン銀行は大丈夫なのかな?
しぇりりん(令和の次はがんばる) @m_sheririn 2019年8月1日
セブン&アイ・ホールディングス略してアホ?
ゆっきーおじさん @vicy 2019年8月1日
ソニーとかベネッセとか、過去に流出やらかした企業のせいにしたがってるのか、コイツは
aki @Yy7_f 2019年8月1日
パスワードリスト攻撃という事は、多要素認証でない今、穴を開けたまま2ヶ月運用しますということかな。リセットは根本的な対策ではないし。
kazoonx(かずーえぬえっくす) @kazoonrx 2019年8月1日
設計段階でザルの仕様が漏れてだから、サービス開始直後から不正利用が出てきたと考える。できるだけ安くの発想で中国人の開発者多数入れてて、そこから外部の中国人にもれて広まったのだろう。
d2b @d2breathe 2019年8月1日
「多要素認証ではなくモニタリングで行けると思った」って言ってるけど、事後的にログを漁った事しか言及してないのはなんで? 「外国からのアタックを遮断した事で相当な抑止になった」って、そうなんだろうけど、さっさとそうしなかったのはなんで? 今ひとつ腑に落ちないなぁ。
ざの人(togetter用垢) @zairo2016 2019年8月1日
MikoMiko2048 自分も パワードリフト というワードが脳裏をぐるぐるかけめっぐったwww
Naruhito Ootaki @_Nekojarashi_ 2019年8月1日
数年前に転職活動してて転職サイトの求人でセブン関連のIT企業があったんだけど、ほんとスルーして良かったとつくづく思う。
マシン語P @mashingoP 2019年8月1日
普通に考えたら金融庁からトドメ刺されたんでしょうね。最初のしくじりで再発防止策を求められているのに再開後即これですもん。消費税増税後のキャッシュバック対象から7payは外すと最後通牒受けたとしてもおかしくない。その辺絶対認めないでしょうけどガバい会社なのでうっかりお漏らししてもいいのよ?(期待)
RXF-91 @rxf_91 2019年8月1日
発覚直後の会見で二重認証を知らなかったんだから、今回の会見までにネットリテラシーに関わる用語と意味を実務者レベルで知識仕入れられるワケがねえんだから担当者から「リスト型アタックと言って下さい」と言われたらそれしか言えんよなぁ?
kata_game @kata_game 2019年8月1日
前があれだけグダってて、今回想定問答をきっちり詰めているのは防衛ラインが経営陣が理解できる明確なものなんじゃないかな。例えば、攻撃の結果じゃないとカード会社から損害請求されてしまうとか…… 保険が下りないとか…… 金の問題であればやる気になるのも分かる。
脱臼 @pratula_twi 2019年8月1日
問答は詰めているが、「そんなはずはない」としか言いようがない  絶対に、パスワードリセットのログが大量に残っているはずだ。あんなに話題になってみんなアクセスしたんだから
すっぱんぴん組@おやつ担当 @lolGlo0IlopLoz 2019年8月1日
信用が地に堕ちるってこういうことなんだな……。もう利用できない。怖すぎる。
kata_game @kata_game 2019年8月1日
いくらログが残ってても、握ってるのはあちらさんだから「コレしかない」って言われちゃうと証明のしようが無いんだよねぇ。
青髪のれいじてんてー @layzy_glp 2019年8月1日
もうなんか良くわかんないから止めるッスみたいな感じやな>RT
脱臼 @pratula_twi 2019年8月1日
セブンペイは毎年500億積めば、なんとか動くだろうと思っていたらしいな。エンジニアに昔から言われている言葉だ。「銀の弾などない」
shuich kimura @NEOura36 2019年8月2日
>Q:チャージパスワードはどうやって破られたのか A:7iDと同じにしていた人がいた なんか客のせいみたいな言い方やな
降間 @purimusu_ji 2019年8月2日
kiniwasuzu 私も覚えています (あの事例から 単なるリスト攻撃だけではないと思うが7payは解決する気がなさそう
くま参式 @kuma3style 2019年8月2日
2段階認証の言葉の意味もわからんようなヤツが社長やってて、パスワードリスト攻撃の意味本当に理解されてます?
とっとこハムサンド @orz_1442 2019年8月2日
7payだけじゃなくて、7アプリもとてもじゃないけど使えないな。せっかくポケGOとかでキャンペーンやってアプリ使ってくれる人増えたのにこれじゃね
ビールクズ猫 @WAKUWAKUTAKKU 2019年8月2日
IT後進国というか「社内政治(権謀術数)だけ巧みな奴」が上に来た結果、世の中を根底からひっくり返す大ごとに対応できずに全員まとめて沈む ってまさに清朝末期の再現じゃねーか。
gori.sh/aoki/140コロニー/comitia @gori_sh 2019年8月2日
「パスワードリセットを使ったという痕跡はない」って何気に重要な発言では(本当ならば)
ALCaDEUS-メカ娘派/大正桜の文系メイドさん @d07249 2019年8月2日
あの大穴空いてた7IDの現状と素っ頓狂な問答見せられた後で、今更「リスト型攻撃だった!」って連呼されても、何一つ信用できない。どこの誰に「そう言え」って吹き込まれたのか知らないが。あと、全パスリセットは改修等が一通り終わってからやるモノでは?
ぃめ @ime07 2019年8月2日
サービスもクローズでお偉いさんも本社から来てるだけだろうし、自己保身のために徹底的に逃げる選択をしてもなんらおかしくない。誠実にしてもメリットない状態だろうし。
ヒロセジロウ✏️ @denjiro13 2019年8月2日
「パスワードリスト攻撃=パスワード使い回すユーザーのせい」だからウチらに責任ないんで──と?
KITI @KITI_TW 2019年8月2日
一般に「二段階認証」と呼ばれているところを「二要素認証」と言ってるのが専門家にそのまま言わされてる感。会見の応答シナリオもセブンペイ廃止の判断もそのセキュリティー会社かも。
よっき @yokki256 2019年8月2日
結果、京都新聞紙上でも「デジタル音痴」露呈だの責任逃れに終始と大文字太字の見出しに書かれる始末
お空キレイキレイ @747_bold 2019年8月2日
midorik payどころか決済システムの領域に達していなかった…
Yeme @yer_meme 2019年8月2日
gori_sh 「(ログが残ってないので)痕跡はなかった」
katasan111 @karasan111 2019年8月2日
「7payにも突っ込む穴があるんだよな…」
サイフィス @saifisu 2019年8月2日
今朝の新聞で、消費税増税に伴うキャッシュレス優遇措置をセブン側が辞退したみたいに書かれてたが、本当は政府側から梯子外されてたんだろな
たる @taruwo 2019年8月2日
gori_sh パスワード使いまわしをしていない人がアカウント乗っ取りにあっているから、原因だと思われていた「パスワードリセットの脆弱性を使った攻撃」ではないのが本当なら、別の大穴があるって事になるんだけど大丈夫なのか?
娑婆助 @shabasuke 2019年8月2日
所謂連アタで突破され落ちたというのであれば連アタ対策で回数制限による垢ロックはシステムになかったという事になる。どういう事かというと自社のシステムが90年代のWEBサービス以下のセキュリティ体制であったという事を認めるに等しいのだが此の期に及んで墓穴を掘り恥を上塗るこの経営陣マジで大丈夫か?w
海◆eoxyl9RE @umi_eoxyl9RE 2019年8月2日
システムにも穴があるんだよな・・・
あごにー @Agony_01 2019年8月2日
パスワードリスト型アカウントハッキング以外にどのような攻撃があるのかご存知ですか?って質問すればまたうろたえる姿が見れたのだろうか。
冶金 @yakeen4510 2019年8月2日
これはあまりにもひどいけど、口座から勝手に入金される仕組みのものはどんなものであれ危険はあると思う。だから自分は使わない。
堀石 廉 (石華工匠) @Holyithylene 2019年8月2日
リスト攻撃だとしても、過去事例見るとだいたい試行回数の1/100~1/10000くらい侵入されてる感があるので、クレジットカードの登録率を考えても数千万回試行されて被害が808件ってちょっと少なすぎるのではという感がある。
堀石 廉 (石華工匠) @Holyithylene 2019年8月2日
大幅に隠れ被害者がいる可能性とか、リスト攻撃に見えるようなアクセスを囮にして裏でもっと効率の良い攻撃方法が行われてた可能性とかもあり得ると思ってる。
ALCaDEUS-メカ娘派/大正桜の文系メイドさん @d07249 2019年8月2日
saifisu この状態の7payを参画させたら非難囂々でしょうし、どういう時系列であれ7payに辞退してもらう以外の道はなかったかと。なお読売によればnanacoはポイント還元に参加できるっぽいです。
モケケピロピロ @yok_4725 2019年8月2日
「7payは2018年2月に単独アプリとして開発を始めた。それとは別に6月にセブンイレブンアプリ開始。そこでセブンイレブンアプリに入れたほうがお客様の利便性を高めると判断しセブンイレブンアプリに7payを入れることにした」つまり1ヶ月の突貫工事で作られたアプリだったということ?今回の事象は起こるべくして起こったということか。
梵我一如 @nanji_sorenari 2019年8月2日
パワードリフト攻撃!
itachi @itachinho 2019年8月2日
7iDの脆弱性を7payのせいにして幕引きを図りたいだけにしか見えない。 7pay自体はガイドラインに沿ってない程度で、致命的な問題を抱えてなかったのだし。 結果7iDの問題は野放し(こっそりと修正したいんだろうけど)で実質何も解決してない。 問題の原因とリスク、対策をまともに公表せずに、こっそり対応しようという考えがとても前時代的。
RXF-91 @rxf_91 2019年8月2日
ガイドラインに沿ってないのは致命的じゃねえかな…
水素が粉末になるmaruishi @maruishi 2019年8月2日
単純にWEBサービスについてろくに知らないから原稿をそのまま読んでるだけの会見。
な.ん.ば. @namba_1301 2019年8月5日
パスワードの形跡なんか残ってるわけ無いだろwなぜ他の可能性がないといい切れるのか
WicKid @wickid101 2019年8月8日
H_Hoshiyama この手の「知ってる会社の名前を取り敢えず出した」コメントに100近くいいねが付くのがTwitterでのリテラシーの限界かなぁ… 普通は客観性の観点もあるので調査会社に依頼します。有名どころだとラックやネットエージェントもこの手の調査をやっていますよ。
ログインして広告を非表示にする
ログインして広告を非表示にする