この記事には広告を含む場合があります。
記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。
7pay(セブンペイ)の不正利用が話題になっています。
個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。
二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。
さらにはiOS版だと生年月日を登録なしにでき、その場合は2019/1/1が自動入力される仕組み(⇒生年月日を知らなくても突破される可能性すらある)。多少でもITをかじったことのある人間なら、あり得なさすぎて乾いた笑いしか出てこない状態。
第三者であっても「メールアドレス(セブンイレブンアプリに登録したもの)」「生年月日」「電話番号」がわかれば、パスワードを変更できる
(中略)
なんとiOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力。つまり未登録の人は生年月日なしでパスリセットができる
(中略)
セブンイレブンアプリには二段階認証がありません。そのため会員ID(メールアドレス)とパスワードがわかると、第三者が別の端末から乗っ取ることが可能
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) – 個人 – Yahoo!ニュース
7payのパスワード再設定方法は、日本のIT系試験においてもっともベーシックな「基本情報技術者試験」で典型的な不正解として扱われているタイプのもの。
つまり、誰でも知ってる大企業のシステムが基本情報技術者レベルにすら達していないわけです。
7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます pic.twitter.com/Zn3uBPuas0
— 赤鉛筆 (@aka_pencil) 2019年7月4日
他にも、問題の1つである「パスワード再設定で送付先メールアドレスを別に指定できること」の対応策が「display: none;」だったことも衝撃的でした。
オムニ7の話題のパスワード再設定ページ、送付先メールアドレスの項目消えたと思ったらCSSで display: none; になってるだけだった。display: none; はすぐ解除できるし意味あったのかな。 pic.twitter.com/5xatqFLnc2
— Tadayuki Onishi (@kenchan0130) 2019年7月4日
要するに、多少でもHTMLやCSSの知識がある人ならサクッと書き換えて不正利用を継続できる状態ということ。つまり対策としては0点。どこまで無能なのか。。。
記者会見に臨んだセブン・ペイ社長の小林氏が、セキュリティ対策としては常識の範囲である「二段階認証」を全く知らなかったのも恐ろしい。
セブンペイを運営するセブン・ペイの小林強社長は、東京都内で4日に開いた緊急記者会見で「2段階認証」についての質問にしどろもどろとなった。スマホ決済で一般化している安全対策を、トップが把握していない実態を露呈した。
セブンペイ、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし – 産経ニュース
たとえ現場のエンジニアが問題を認識していたとしても、トップに報告することがなかった/報告しても握り潰された/報告の意味がわからないまま突っ走った、という内部事情が容易に想像できます。
7payの件を見て、きっとここに至るまでにこの仕様はまずいと声をあげた人は多かれ少なかれいたものの、こういう方面の知識がないのに意思決定権がある偉い人たちに無視されてしまったんだろうなぁと思う位には大人になりました。
— かおにゃお総書記@バンコク (@kaolynn) 2019年7月4日
さらに、事ここに至ってもセブン&アイの総合通販サイトであり、ザルセキュリティの大元であるオムニ7のサービスは止めないという体たらく。
火元である7payすら、新規登録・チャージの停止のみで全面停止はしていません。
#7pay
記者「情報が流出する被害が続いているのに全面停止しないのか?」
7「まず取り得る安全策、まずできることは対策しながら、調査をして抜本的に対応したほうがいいことが出てくれば対応する。」
記者「流出が続いてもいいというのか」
7「流出が起きていると認識できていない。」— Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月4日
日本ITの黒歴史として間違いなく名を刻むであろう今回の7pay事件に際していちユーザーとしてできるのは、自分たちの個人情報を可能な限り守ること。
そのためには、今すぐ7payのみならずオムニ7、セブンイレブンやイトーヨーカドー、アカチャンホンポやロフトアプリの使用を止めて情報を書き換え・削除し、退会する必要があります。
それでもデータ保持の仕様によっては100%防ぐことはできませんが、やらないよりはマシ。
何をしていいか戸惑っている方のために、今回はオムニ7の情報書き換え・削除、退会方法をスクリーンショットつきで解説します。
オムニ7の個人情報を可能な限り変更・削除する
品薄のスプラトゥーンamiiboを購入するために1度だけオムニ7を利用したことがあったため、私もオムニ7に登録してある個人情報を削除することに。
ただ、普通に削除しただけではオムニ7の内部にデータが残っている可能性が高いため、流出の危険は免れません。
よって、変更可能なものはなるべくデタラメな情報に書き換えてから削除することを推奨します。
オムニ7の個人情報を架空のものに上書きし、クレカ情報削除してから退会完了。個人情報預けておくのは危険と判断。
名前変更できるのに誕生日だけは変更不可だったり、「削除された後にも個人情報を一定期間保有することがあります。」とか注意書きあったりでいろいろ怖い。
— ushigyu (@ushigyu) 2019年7月4日
登録メールアドレスの変更
まずはオムニ7にログイン。
右上の「会員サービス(マイページ)」をクリックします。
まずはメールアドレスを、普段使わないものや新規取得したワンタイムメールアドレス(一定期間しか使えないアドレス)に書き換えましょう。
「ログイン情報」を押します。
メールアドレスの横にある「変更」をクリック。
メールアドレスを知られても特に問題ないものに変更し、「変更確認メールを送る」。
入力したアドレス宛にメールが届くので、URLをクリックして変更完了です。
不要なメールアドレスを持っていない場合は、以下のようなサービスで一定期間しか使えないアドレスを作るのがおすすめです。
オムニ7に使っているものと同じパスワードを他でも使う(使っている)可能性があるなら、そちらも適当な乱数等に変更しておいた方がいいでしょう。
住所や電話番号を書き換える
住所や電話番号を、架空のものに変更します。
マイページの「ご登録情報(住所・電話番号等)」をクリック。
名前やフリガナ、住所等を適当に架空のものに書き換えます。
他にも電話番号など、変更できるものは全て変えてしまった方がいいでしょう。
アカチャンホンポと連携して子供の情報を入力しているなら、これも全て変更すべし。
住所以外にもお届け先を設定している場合は、そちらも変更しておきましょう。
クレジットカード情報の削除
次に、登録してあるクレジットカード情報を削除します。
マイページのメニューから「クレジットカード」を選択。
カード情報横の「削除」ボタンを押します。
住所等と同様にデタラメな情報で上書きできればいいのですが、不可でした。内部的にカード情報を保持していないことを祈るしかない。
(これまで露見してきた杜撰さから言って、最悪の場合セキュリティコードを平文で持っていたりしかねないので恐ろしい。。。)
オムニ7の退会手続き
変更・削除可能な情報を全て書き換え終えたら、オムニ7(セブンiD)の退会手続きをしましょう。
マイページの「退会手続き」から。
退会すると、以下のサイトやサービスが利用できなくなります。
・オムニ7
・セブンマイルプログラム
・セブン-イレブンアプリ
・イトーヨーカドーアプリ
・アカチャンホンポアプリ
・ロフトアプリ
なお、「データが全て消去されます」と謳ってはいるものの、これに関しては信用できません(後述します)。
退会理由の入力欄があるのですが、なんと改行や記号が入っているとエラーになるというクソ謎仕様。
改行や記号を無くせば問題なし。退会理由など伝える義理もありませんが、何か入力したい場合にはこの点お気をつけて。
最終確認し、退会ボタンを押せば完了。
……ん、「削除された後にも個人情報を一定期間保有することがあります」だと…!?
さっきの「データが全て消去されます」ってのは嘘だったのかい。
わざわざこんな文言を表示している以上、退会しても個人情報を持ち続けているのはほぼ確定でしょう。
つまり今後さらに被害が拡大した場合、退会者であっても関係なく不正利用されてしまう可能性があるわけです。
それを見越して、今回は可能な限り個人情報をデタラメなものにしてから退会する方法を紹介しました。
ちなみに、今回退会するボタンを押すとアクセスエラーが起きてしまいました。どういうこと…?
Twitter IDを使って登録していたのですが、以下の状態になってしまい八方塞がり。
・退会完了メールは届いた
・ログイン状態は継続している(退会どころかログアウトすらされていない)ため、確実に情報は保持されている
・念のため再度退会手続きをしようとすると、ログイン情報の再入力を促される
⇒エラーが起きるため、退会や変更含め何の操作もできない
もう、何かと危なすぎてどうしようもないですね。。。
TwitterやFacebook等外部サービスのIDとオムニ7を連携させていた場合は、その連携も解除しておきましょう。乗っ取り被害に遭わないとも限らないので。
Twitterの場合は設定の「アプリと端末」から、
omni7を探して「許可を取り消す」でOKです。
あとがき
日本有数の大企業であるセブン&アイグループが、日本を代表するIT企業と組んで作ったシステムがこれですか。。。本当に残念さしかありません。
同社では、チームITの考えで、NTTデータ、NEC、NRI、Oracleの4社のITベンダーのチームで開発し、成功したという
11月から始まった「セブン&アイ」のオムニチャネル戦略とは? | マイナビニュース
これだけのヤバイ不正利用事故を起こしている最中なのに、未だにオムニ7のサービスを停止していないどころかFacebook広告すら普通に流れてくる状態。(2019/7/7現在)
もはや危機感がないなどという生ぬるい言葉では済まされないほどの酷い有様。
戸愚呂弟「おまえもしかしてまだ 自分が死なないとでも思ってるんじゃないかね?」
「今のおまえに足りないものがある」「危機感だ」
ともかく、関係者でも何でもないほとんどのユーザーにできることは、自分たちの個人情報を守って可能な限り不正利用を防ぐことだけ。
オムニ7やセブンイレブン、イトーヨーカドー等のWebサービス・アプリを使っている方は、この記事に従っていますぐ情報の書き換えと退会を済ませておきましょう。
ちなみに、私が心配しているのは個人情報流出よりも、7payの極悪イメージによる日本のキャッシュレス決済の衰退だったりします。。。
7payのザルセキュリティを突いた不正利用が大々的に報じられて「やっぱり現金が一番!」みたいな流れになってしまったら、セブンイレブン(セブン&アイ)は日本の電子決済を果てしなく退化させた戦犯になり得るね
— ushigyu (@ushigyu) 2019年7月4日