セブンペイ根本原因を報じない読売

セブンペイ問題なんですが、昨日の紙面はこんなところです。

昨日も関連記事があり、本日の紙面としては「二段階認証がなかったからやられた」といった誘導をしているのですが、これは真っ赤なウソなので皆さん注意してくださいね。

※二段階認証というのは、おそらくおおよその方が知ってますよね。本人確認のために、(メアドではなく)登録電話番号にSMS(ショートメッセージ)にて数桁の番号が送られてくるアレのことです。

二段階認証の有無ではなく、根本的な問題としては、セブンがあまりに愚かなシステムを作ったことです。これを理解するには専門家である必要はありません、ごく普通の方でも判断できます。

ふだんごく普通にあちこちのアカウント登録をされている方が見れば、誰が見たって「ありえないだろ」というレベルなんです。「これを作ったのは中学生か?」と思わせるものとなっておりますね。

以下の記事を見てみましょう。

7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点

攻撃者達はパスワードを取得したのですが、その方法としては「パスワード忘れ」を利用しているわけです。

誰しも、「パスワードを忘れてしまった」ということはあります。その場合には、例えば登録メールアドレスに新しいパスワードを送ってもらうとか、あるいは登録メールアドレスに「パスワードリセット」のメールを送ってもらうとかします。そして、何かしらの新たなパスワードを使ってログインするわけです。

攻撃者は、この「パスワード変更機能」を利用したわけです。あまりに愚かなセブンのシステムでは、簡単に他人がこれをできるようになっていたんです。

攻撃に必要なものは三つです。ターゲットの電話番号、生年月日、登録メールアドレスです。これらをセブンのシステムの「パスワードを忘れた」機能に入力し、そしてパスワードリセットメールの送信先として自分の(攻撃者の)メールアドレスを指定します。

こうすると、本人の気が付かない間に、攻撃者がパスワードをリセットしてログインできるという素晴らしい仕組みとなっておりました。

先の記事のトップにある図解は以下のようなものです。

まぁ、ありえないですよね。一体全体どういったボンクラの方がこんなことを考えたのでしょうか???パスワードリセットメールを任意のメアドに送れてしまうんです。

さらには、iOSの場合には生年月日も不要であるとのことです。ターゲットの電話番号とメアドがあれば良いというわけです。

私が担当者であれば、クビつってお詫びものでしょう。システム云々の問題ではなく、常識の有無の問題です。

しかし、こういうことは読売を読んでてもわかんないんですねぇ。。。いかにセブンのシステムがひどい代物であるかなど。

まぁ、この調子でがんばってくださいね。