7Pay不正アクセスの問題点まとめ

アプリのセキュリティがザル

1. 電話番号、メールアドレス、生年月日が判明すればパスワードのリセットが可能
2. 別のメールアドレスにパスワードリセットのメールを送信することができる危険な仕様
3. アプリの場合は生年月日を設定しないこともでき、その場合はデフォルト値が使われる
4. 試行回数の制限がない（総当たりでいける）

ただでさえ総当たりでできるかつ、生年月日がデフォルト値の可能性も高いため突破は簡単。
ちなみに7ID （オムニ7）からの問題である。なので実はもっと昔からの仕様である。なのでペイリリース後に不正使用する価値ができたということ。
金融だけでなく、WEBアプリとしての基準も満たしていません。

記者会見で分かったトップのIT知識の無さ

・社長が二段階認証の意味が分かっていなかった
・インシデント対応計画がない
・サービスを停止しなかった

サービスの急造による問題、日本のSI業界・構造の問題点も浮き彫りになってきそう。
7Payだけに限った話ではなく、IT知識の低い企業は多いため、明日は我が身と思ってた方が良いでしょう。ユーザーであってもIT知識を持った方が被害者になりにくいです。

参考

7payの失敗、もし自分が構築・運用してたら防げていたか？／なお『7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった』というネットユーザからの報告も

7Payの不正クレジット使用に関するメモ SIerが抱える構造的な欠陥

7payの件：『こういう方面の知識がないのに意思決定権がある偉い人たちに無視されてしまったんだろうなぁ』とネットユーザの推測←記者会見で7payの社長が二段階認証を知らないことが露呈

「7pay緊急会見」で露呈した3つの大問題。なぜ脆弱なセキュリティ対策で開始したのか

【緊急寄稿】7pay問題に見るリスクマネジメントの欠如と真の問題点とは