「パスワードリスト攻撃」だと頑なに主張するセブンイレブン・7Pay廃止会見

8/1のセブンイレブン・7Pay廃止の記者会見をITジャーナリスト・三上洋のツイートでまとめました
132
三上洋 @mikamiyoh

4日の7pay会見以降にも80件弱の不正利用があったことが判明 Q:7/4の会見以降の被害について(今日の会見で不透明だったので広報に確認しました) A: 前回の会見以降、7月中旬までの被害は「1日あたりで数件程度、今回発表させて頂いた808という数値に対しては約1割弱あった」

2019-08-01 18:48:00
三上洋 @mikamiyoh

セブンイレブン15時から急遽会見。未確認情報だけど9月いっぱいで7pay撤退との情報と

2019-08-01 12:57:51
三上洋 @mikamiyoh

7pay会見きました。登壇するのはセブン&アイホールディングスの副社長とセキュリティ担当役員、セブンペイ取締役、セブン&アイネットメディアの社長の4名とのこと pic.twitter.com/Vsmup3bl0e

2019-08-01 14:43:28
拡大
三上洋 @mikamiyoh

7pay会見配布資料 pic.twitter.com/6PVVtDMjhh

2019-08-01 15:01:13
拡大
拡大
拡大
拡大
三上洋 @mikamiyoh

7pay会見開始。後藤副社長あいさつ。不正なアカウントハッキングが行われ被害が出た。ご迷惑とご心配をおかけしましたお客様、加盟店の皆様にお詫び申し上げます pic.twitter.com/U9YlwJYYW3

2019-08-01 15:03:12
拡大
三上洋 @mikamiyoh

7/5より調査検討を行ってきた。7payサービス開始には相応の時間がかかり、それまでサービス継続させると不完全な形になる。お客様にも不安を与える。告知期間を含め9/30に7payを廃止することを取締役会で決定した。ホールディングス後藤副社長

2019-08-01 15:06:13
三上洋 @mikamiyoh

被害状況について。被害額は7/31の17時時点で808人3861万人5473円。7月中旬以降、新たな被害は確認されていない。

2019-08-01 15:09:09
三上洋 @mikamiyoh

手口について。攻撃者がどこかで入手したパスワードなどを用いたパスワードリスト型アカウントハッキングの可能性が高いとの結論に至った。 外部ID連携、パスワードリマインダー、有人チャット、内部流出について検討したが、明確な流出の痕跡は確認できなかった。ホールディングス後藤副社長

2019-08-01 15:12:49
三上洋 @mikamiyoh

開発体制について。二要素認証や複数端末からのログイン対策などが十分ではなかった。グループ各社が参加してきたがシステム全体の最適化ぎできていなかったのが1つの原因。ホールディングス後藤副社長

2019-08-01 15:15:00
三上洋 @mikamiyoh

7iDには流出を確認していないが7/30にパスワードリセットを実施した。不正に取得したとしてリスクを極小化できると考えている。今後も7iDのサービスは継続する。

2019-08-01 15:17:01
三上洋 @mikamiyoh

Q:なぜリスト型と判断したか? A:手口は先にIDを攻撃、次にパスワード、そして不正チャージという流れからだった。チャージ用のパスワードは7iDのパスワードと同じにすることができる。それらの要素からリスト型と判断している

2019-08-01 15:29:26
三上洋 @mikamiyoh

一人一問のためさらに突っ込めず。どなたか追加質問お願いしたく twitter.com/mikamiyoh/stat…

2019-08-01 15:31:09
三上洋 @mikamiyoh

Q:リセットと廃止の関係は?一番の大きな要因は? A:7iD自体のリセットと7payの廃止は別の次元で検討していた。リスト型ハッキングへの対策が甘かったことが大きな要因

2019-08-01 15:38:31
三上洋 @mikamiyoh

Q:なぜ二要素認証を入れなかった? A:利用の後モニタリングすることで守れると判断したため。 Q:スマホ決済の信頼度を失わせたことについて A:その通りで大きなご迷惑をおかけした。7payは廃止したが、スマホ決済は様々なプレーヤーと連携しながら続けていきたい

2019-08-01 15:41:27
三上洋 @mikamiyoh

(ぼそり) 「7iDのセキュリティレベルはちゃんとしたレベルに達している」との説明と「二要素認証がないのは甘かった」との反省。いやいやいや、7iDに二要素認証がないんですよ?今でも

2019-08-01 15:49:36
三上洋 @mikamiyoh

Q:Githubに出ていたソースコードは? A:15年の秋に開発用に作ったソースコードであり現在のものと異なる。現在の環境に影響はない。管理が甘かったことはお詫びする

2019-08-01 15:52:34
三上洋 @mikamiyoh

7iDをなぜ残すのか? ネットスーパーなどセブンイレブングループ全体で使っている。デジタル戦略の要。今後も中心に使っていく

2019-08-01 15:58:42
三上洋 @mikamiyoh

脆弱性はないと回答したが、脆弱性検証の範囲と深さが適切ではなかったと考えている。セキュリティはサービス別のレベルを検討している。現状のサービスにおいては、7iDのセキュリティレベルは十分だと判断した

2019-08-01 16:06:12
三上洋 @mikamiyoh

Q:リストハッキングについて A:翌日早朝から何千万回という回数でIDのアタックがあった Q:なぜ数字を出せないのか? A:入られた件数はまだ調査中 Q:ログインされた件数は? A:まだ調査中

2019-08-01 16:14:19
三上洋 @mikamiyoh

Q:ログは? A:ログは残っていた。どのページを見たなどのデータはある。情報漏洩が起きているか確認中だが、現時点では確認できていない

2019-08-01 16:16:02
三上洋 @mikamiyoh

被害額について。7/4の数字は試算であった。相談ダイヤルの相談などから同様の取引から11日に数字を出した。その後一件ずつ精査をして今回の数字になった。これから気づくお客様もいるのでクレジットカード明細を見ていただきたいとお伝えしている

2019-08-01 16:22:06
三上洋 @mikamiyoh

被害を受けた店舗について。被害を受けた方は全国に散らばっている。被害を受けた店については集中して使われている店がある。

2019-08-01 16:26:03
三上洋 @mikamiyoh

7payは2018年2月に単独アプリとして開発を始めた。それとは別に6月にセブンイレブンアプリ開始。そこでセブンイレブンアプリに入れたほうがお客様の利便性を高めると判断しセブンイレブンアプリに7payを入れることにした

2019-08-01 16:30:38
三上洋 @mikamiyoh

7/4チャージ停止以降、残っていた残額の不正利用があった。808人のうち1割程度の被害が、7/4以降に起きている

2019-08-01 16:35:00
三上洋 @mikamiyoh

Q:他の手口を否定できるのはなぜ? A:外部IDを他人が使用していた形跡がない。パスワードリセットを使ったという痕跡はない。 Q:ログインシステムの変更について A:単独アプリでは二要素認証は検討していた。セブンイレブンアプリへの統合での検討で二要素認証を外した

2019-08-01 16:45:43