7pay

黄色川蜉蝣（キイロカワカゲロウ）

鉢植えに水をやろうとベランダに出たら、壁に止まってじっとしていた。 近付いても逃げる様子もない。 後尾が終わって、後は死を待つだけなのだろうか。

7pay

セブンイレブンの決済サービス 7pay が、サービス開始直後から不正利用が相次いでいるらしい。 ツイッターとか、被害報告が次々と寄せられている。 ちょっと追いつけない勢い。 サービスはもう止まっているようだが。 いや、もうすぐ止まるのかな。

色々みたところによると、ユーザー認証が緩かったらしい。

• 7iDのパスワード再発行時、以下の入力を求められる。

  • 登録メールアドレス
  • 誕生日
  • 送付先メールアドレス

• 誕生日が未設定だと、エラーにはなるが、その処理内で 2019/01/01 が仮設定される。

• 再実行すると、仮設定された 2019/01/01 を有効な値として処理してしまう。

つまり入力値が不完全でも、新しいパスワードが送付先メールアドレスに送信されてしまうということ。 最近は2段階認証が主流だが、そうした不正防止策も実装されなかったらしい。

不正利用する側は、登録メールアドレスさえ解れば、送付先メールアドレスを自分にすることで、本人に知られることなくアカウントを乗っ取れるのだな。

そもそも緩いのが問題だが、しかしこの緩さが即日バレて不正利用されるってのも、おかしな話だよな。 しばらく時間があって気付くなら判るけど、即日だからね。 誰かが操作ミスで気付いたなら、ここまで急速に広まらないだろうし、疑わしいのはやっぱり開発を受けた側じゃないだろうか。 二次受け三次受けの先にいる海外のソフトウェア会社から漏れたとか。

ユーザー保護は緩くても、自分の保護はしっかりしているのがセブンイレブン。 問い合わせページには、以下が明記されているのだとか。

不正アクセスに関するお問合せには、ご本人様情報、直近の利用に関する情報の記載が必要となります。

当社所定の方法により、7payにログインし、7payマネーが第三者に使用された場合であっても、当社は一切責任を負わないものとします。

さて、これを貫けるのかね。

1. 炎上（現状）
2. 蒟蒻畑の時のように、人気取りしたい議員が騒ぐ
3. 経産省か総務省あたりから指導が入る
4. 今回に限り補償すると発表するが、補償を受けるための条件がやたら厳しい
5. 再び炎上

こんな展開を、俺は予想しているよ。