【７ｐａｙ】「組織的攻撃の可能性」専用パスワードでも被害

1 ：みつを ★：2019/07/14(日) 00:33:02.55 ID:AYLe+piZ9.net

https://www3.nhk.or.jp/news/html/20190713/k10011992571000.html

７ｐａｙ「組織的攻撃の可能性」専用パスワードでも被害
2019年7月13日 21時06分スマホ決済

スマホ決済サービスの「７ｐａｙ」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「７ｐａｙ」の情報が何らかの形で抜き出されていた可能性があると指摘しています。

「７ｐａｙ」をめぐっては、サービスを開始してまもない先週、不正利用が相次ぎ、これまで、利用者になりすましてたばこを買おうとしたとして中国人合わせて３人が逮捕されています。

こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がＮＨＫの取材に応じました。

「７ｐａｙ」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。
男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたということです。

不正アクセス事件では、過去に流出したパスワードから手当たりしだいに不正なログインを試みるいわゆる「リスト型攻撃」の被害が深刻になっていますが、専門家によりますと、男性の状況からはリスト型攻撃の可能性は低く、システムの弱点を悪用したり、「７ｐａｙ」のシステムを攻撃したりしてＩＤやパスワードなどの情報が抜き出された可能性があるということです。

一方、「７ｐａｙ」のシステムでは、第三者がパスワードを変更できた可能性が指摘されていますが、男性の場合、パスワードは変更されていませんでした。

「何者かがサーバーに侵入か」
（リンク先に続きあり)

663 ：名無しさん＠１周年：2019/07/15(月) 06:11:15.62 ID:JfGoE2ZO0.net

>>661
前は便利だから使ってたけど、いろいろ不安になって今は300円しか入れてない。
ローソン銀行も同じようにヤヴァイんでねえの？
ジャパンネット銀行やSBIネットはトークン使ってるから一応安心だけど。

664 ：名無しさん＠１周年：2019/07/15(月) 06:15:12.88 ID:2Jgf53WA0.net

タイミング的に犯人は韓国人

665 ：名無しさん＠１周年：2019/07/15(月) 07:16:41.46 ID:xw2PIEts0.net

北朝鮮ならまだしも、韓国人にそんな能力あるかい！
捕まったやつらは中国人だし

666 ：名無しさん＠１周年：2019/07/15(月) 07:20:17.38 ID:wxyxKD+Z0.net

下請けの中国人がバックドアでも作ってたんだろ

667 ：名無しさん＠１周年：2019/07/15(月) 07:23:59.52 ID:H824rAcd0.net

だから、アプリを作った奴が情報を流してる

668 ：名無しさん＠１周年：2019/07/15(月) 07:28:01.80 ID:QWiWUsn70.net

後発もド後発なのにこんな問題起こすなんてなぁ

669 ：名無しさん＠１周年：2019/07/15(月) 07:29:17.53 ID:q0QtZ4vs0.net

だから中国が絡んでる言ってるだろ

中国資本のペイペイを残すためだよ

後は攻撃対象

それで日本人の財布を牛耳る

そうすれば日本人が無抵抗になるからな

中国の国家的戦略だよ

いい加減気がつけお前ら

つまり7ぺイは日本企業でまともに運営をするってことよ

670 ：名無しさん＠１周年：2019/07/15(月) 09:12:04.03 ID:ykI5uKB90.net

使わなければどうと言う事は無い

671 ：名無しさん＠１周年：2019/07/15(月) 09:50:15.48 ID:DV8uVplL0.net

二段階認証だと手間と時間が掛かるからね。
手間と時間がかかっ電子マネーの利便性がなくなる。
だから７ではそれをやめた。

672 ：名無しさん＠１周年：2019/07/15(月) 09:53:51.22 ID:DV8uVplL0.net

>>651
サイトごとのパスワードは大変だよね。
規則性があると見破られるし。

673 ：名無しさん＠１周年：2019/07/15(月) 10:09:44.29 ID:OWBkA8Wu0.net

>>505
scott/tiger
ぢゃないの(´・ω・｀)？

674 ：名無しさん＠１周年：2019/07/15(月) 10:13:06.03 ID:osRsDeQ80.net

>>671
手間軽減が安全性が引き替えになるようでは
本末転倒もいいところ
擁護するならもっとまともなことを言え

675 ：名無しさん＠１周年：2019/07/15(月) 10:14:57.82 ID:tnI4l3BY0.net

数回間違うとロックがかかったりしないの？
アタックチャンス無限回？

676 ：名無しさん＠１周年：2019/07/15(月) 10:18:48.02 ID:veYucAVE0.net

>>675
デフォルトの生年月日を入力しさえすれば
(サイト側で固定)勝手にパスが変えられる設定で
アタックする必要すらなかった

677 ：名無しさん＠１周年：2019/07/15(月) 10:24:56.92 ID:V1gYfYKZK.net

そいや前はオムニとか入れとくのためらうようなやつだったな

678 ：名無しさん＠１周年：2019/07/15(月) 10:28:48.64 ID:DV8uVplL0.net

>>674
養護する気はない。
7payの経営者が考えた道筋をトレースした。

679 ：名無しさん＠１周年：2019/07/15(月) 10:28:52.36 ID:tnI4l3BY0.net

>>676
設計した奴は池沼かw

680 ：名無しさん＠１周年：2019/07/15(月) 10:29:52.05 ID:Eyf0s5c10.net

次回からは、まず社員達だけで先行開始させて、
問題が出なければで。

681 ：名無しさん＠１周年：2019/07/15(月) 10:37:09.95 ID:6cORgBm30.net

セブンはもう参入諦めたほうがいい
参入業者多すぎだし
その中でもダントツにレベル低いしwww

682 ：名無しさん＠１周年：2019/07/15(月) 11:49:38.36 ID:0rHPF7yN0.net

もう、nanacoでいいじゃん
国はQR推進するのやめろ

683 ：名無しさん＠１周年：2019/07/15(月) 11:50:23.33 ID:9EUbdsnt0.net

アプリ開発は中国に丸投げとか

684 ：名無しさん＠１周年：2019/07/15(月) 12:06:47.62 ID:osRsDeQ80.net

Amazonジャパンもシナゴキブリ乗り入れ解放して
Amazonジャパン内にシナゴキブリスタッフ増やした途端に
アカウント乗っ取りが大量発生したんだよなあ
ほんと馬鹿

685 ：名無しさん＠１周年：2019/07/15(月) 12:34:57.95 ID:JVvp+Ek90.net

payで問題起こした2payはyahoo関連ってのがおもろいよな

686 ：名無しさん＠１周年：2019/07/15(月) 12:36:48.40 ID:ctG4lqZV0.net

5000万円とか、大した被害額じゃないな
コンビニじゃ換金性の高い商品が少ないから
早い者勝ちで開始直後に突っ込むシナ人らしいせっかちさ

687 ：名無しさん＠１周年：2019/07/15(月) 15:23:41.53 ID:LL25HbCY0.net

再開まで後何日待たせるの？

688 ：名無しさん＠１周年：2019/07/15(月) 16:03:43.05 ID:1+CNMswb0.net

システム構築のプログラム開発で中国の会社に下請けに出していたのかな

689 ：名無しさん＠１周年：2019/07/15(月) 16:09:38.73 ID:1+CNMswb0.net

>>650
サイバーポリスに通報します

690 ：名無しさん＠１周年：2019/07/15(月) 16:17:36.31 ID:cx2WelY70.net

>>688
華為締め出しても、こういう連中がシステム開発の孫請けとかで
あんなことやこんなことを仕込んだり、あんな情報やこんな情報を
持ち出すから、意味無いんだよねｗ

691 ：名無しさん＠１周年：2019/07/15(月) 16:31:21.70 ID:0mU8nMe10.net

>>681
nanacoの還元率を引き下げた手前諦めることは無いと思う

692 ：名無しさん＠１周年：2019/07/15(月) 17:23:53.14 ID:4a3qZduj0.net

　中国企業がメインのシステム、アプリを開発しているという可能性は相当たかそう。
日本はまだノウハウはもっていないだろうし。
中国ですでに完成されたものを日本向けにちゃっちゃとカスタマイズした、そんなところでないの。
そもそも国内で決済を処理しているかもどうか疑わしい。
稼動したばかりだから不具合がでまくる、と。　アリペイの株主のソフトバンクでさえ、丸投げしてるかんじだ。

マルチＱＲコード決済サービスといって、日本の大手が見かけ上ひとつにまとめあげて、
パッケージとして、小売やＱＲコード決済事業者に販売するみたいな。
業者名だせないのは、中国企業が開発しているとなれば、
ＱＲコード決済おししている空気にダメージを与えるから官民いったいで、阻止してるとか。

693 ：名無しさん＠１周年：2019/07/15(月) 18:07:44.12 ID:6pfKQ89n0.net

>>72
いろいろ調べた結果「ニコ技深圳コミュニティ」オフィスの看板の前でしゃべっているみたいだな。
ニコ技深圳コミュニティは当代の研究者が中国深圳に作ったオフィスで深圳はエコシステムが面白いから研究ツアーを組んで日本人の研究者が参加してる。
日本の企業が半年くらいかけて製品化するのに深圳は半日で設計して翌日に試作品が出来上がり3日目に生産ラインが動いて製品化される。
アマゾンに新製品がバンバン出現してるのがそう。
日本にいても何がどうなってるかわからないのであっちにいってるんだとさ。
・写真に写ってる看板はニコ技が入ってる深圳市賽格集団によって設立されたMaker向けオフィススペースSegMaker（深圳市賽格創業匯有限公司）
ttps://cdn-images-1.medium.com/max/1600/1*AM6JOLv1ad_Gvc_GB-bvpA.jpeg

694 ：名無しさん＠１周年：2019/07/15(月) 19:11:44.48 ID:osRsDeQ80.net

組織的攻撃も糞も攻撃される前から壊れてたようなもんなのに馬鹿なの

695 ：名無しさん＠１周年：2019/07/15(月) 19:35:43.09 ID:T7bBHxuU0.net

IT系は特アの下請けに丸投げするの止めろ

696 ：名無しさん＠１周年：2019/07/15(月) 19:59:52.26 ID:6pfKQ89n0.net

>>142
社内抗争だったりして

697 ：名無しさん＠１周年：2019/07/15(月) 20:04:54.20 ID:6pfKQ89n0.net

>>138
リバースブルートフォースぽいよ

698 ：名無しさん＠１周年：2019/07/15(月) 20:23:51.16 ID:6pfKQ89n0.net

>>292
そうだったのか

699 ：名無しさん＠１周年：2019/07/16(火) 01:12:29.00 ID:u+5WFU330.net

QRとか手書きでかけるようなものを推進する日本のお偉いさん。
業者から金もらってんだろうね。
その業者の後には中華IT企業。

700 ：名無しさん＠１周年：2019/07/16(火) 03:11:02.87 ID:Xmo7IMSD0.net

>>659
中国客が欲しかったんだよｗ　察しろよｗ

ついでにオリンピックで押しかける外国人どもに合わせろって
外貨に目がくらんだ政府がうるさいんだよｗｗｗ

いままで困ってなかったのにもかかわらずな！

701 ：名無しさん＠１周年：2019/07/16(火) 03:11:51.18 ID:Xmo7IMSD0.net

>>661
いちおう報道ではその銀行業からは何も参考にできてなかったというぞ
社長と言ってもただ座ってたんだろ

702 ：名無しさん＠１周年：2019/07/16(火) 03:13:30.24 ID:Xmo7IMSD0.net

>>138
パスワード回数制限かけると幹部がうるさいことが多いｗ
これは施行の段階か、設計で邪魔って言って外させた奴がいるなｗ
（ＳＥ側で最初からそう言う思考とか制限を外すとかありえんからな）

703 ：名無しさん＠１周年：2019/07/16(火) 09:07:35.09 ID:dAZ5pyFL0.net

>>521
Nスペが「人事も経理も中国へ」で警鐘鳴らしてたのが2007年9月3日(月)だった。
この時も大連。
近鉄百貨店が顧客データ入力させてて震え上がったな。
ttp://www6.nhk.or.jp/special/sp/detail/index.html?aid=20070903

704 ：名無しさん＠１周年：2019/07/16(火) 09:12:56.21 ID:dAZ5pyFL0.net

>>521
あー、本当にヤバい！！
セブンが大連へ委託する目的
１．スピーディかつ高品質事務の実現
２．現状(日本国内での事務業務)に比べコスト削減を実現
３．海外拠点を災害発生時などの事務バックアップ拠点として活用
４．将来、事務レベルの効率化、高度化を実現し、他の金融機関などからの事務受託を展望
ttps://news.mynavi.jp/article/20120323-a088/images/001.jpg

705 ：名無しさん＠１周年：2019/07/16(火) 18:17:15.61 ID:Cqr6TzdO0.net

>>701
おかざりにしても責任は社長にあるわけよ
知らない分からないじゃすまされない
いざとなったら責任とらせるために飾ってるんだから

706 ：名無しさん＠１周年：2019/07/16(火) 19:35:06.33 ID:/BJd9hly0.net

これ内部犯いるな
何次請か知らんが中国に丸投げしちゃったかな
少なくとも中国組織の手にはシステム内部情報渡ってるな
あんな社長だったし金融系システムをセブン出すの駄目だろ

707 ：名無しさん＠１周年：2019/07/17(水) 00:02:43.83 ID:UXh9cIN20.net

>>705
それ東電東芝日立にいえればいいんだけどねぇ・・・

708 ：名無しさん＠１周年：2019/07/17(水) 19:34:17.43 ID:+hriXuSd0.net

おにぎりクーポン本日まで。

709 ：名無しさん＠１周年：2019/07/18(木) 06:53:54.53 ID:iXxV92Ou0.net

内通はあるだろうが、この専用パスワードでもーってのは、外部ID連携と原因が同じなんでないかと思う。
例えば7ぺアカウント専用の認証サーバもOauth実装だったら、同じこと(数字列の書き換えでの詐称)が可能なんでないかと。

信販売買が通るのは、意味がわからないが。
取引時のパスワードを7ぺが記録する訳がない。

710 ：名無しさん＠１周年：2019/07/18(木) 06:54:33.80 ID:g+fMCbyF0.net

黒幕はファミマかローソン

711 ：名無しさん＠１周年：2019/07/18(木) 07:56:04.95 ID:ScJqGwm80.net

こうなると逆に外部ID連携のほうが安心な気がするが、なぜ外部IDを閉じたんだろう
原因を探るための経過的な措置なんだろうか

712 ：名無しさん＠１周年：2019/07/18(木) 08:08:08.45 ID:ggczKQjr0.net

原因すらつかめてないんじゃ
新しく作った方が安全で確実だろうけど
ケチってちょっと改造するだけでそのままやろうとするんだろうな