トンデモな仕様のセブンイレブン7payクレジットカード

ニュースを賑わしているセブンイレブンの7payクレジットカードの不正使用問題なのだが、その中身について調べた記事を見て驚愕した。以下である。

7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点

セブンのシステム構築は素人以下

要するに、素人以下の人間がセキュリティシステムを構築したことが明らかである。これはもはや、システム屋としてはクビをつってお詫びする位の勢いだろう。それほどひどい仕様、ありえない仕様である。

とどのつまりは、攻撃対象のユーザの電話番号と生年月日とメアドがわかれば、誰でも簡単にそのアカウントを盗むことができるのである。

冗談ではない、これはマジな話なのである。記事冒頭の図解はこうだ。

セブンのシステム攻撃方法

攻撃方法としては簡単なことだ。おおよそこの種のシステムでは(二段階認証をしないとすれば)、メールアドレスとパスワードで認証を行うのだが、「パスワードを忘れた」というのは往々にしてありうることである。

この場合、再度パスワードを発行するか、あるいはパスワードを再設定するために、登録メールアドレスにその旨の通知がされるわけだ、通常の場合は。

しかし、セブンのシステムでは、別のメールアドレスに通知ができるようになっていたのだ。つまり、電話番号、生年月日、登録メアド、(登録メアドとは異なる)通知先メアドを入力すれば、アカウントが盗めてしまうのだ。恐るべきデタラメさである。

さらにその上

記事中にあるが、セキュリティ関連の専門家である高木浩光氏が発見したところによれば、iOSでは生年月日を省略できるのだという。この場合は2019/1/1が自動入力され、生年月日の入力は不要なのだそうだ。

したがって、ターゲットの電話番号とメアドさえわかれば、誰でも簡単にアカウントが盗めてしまうということだ。

素人以下も以下、ごく普通の素人でさえ、これがいかに危険であるかはすぐに想像がつくことだろう。いかにセブンという会社が低レベルであるかがわかる話だ。

このような会社に何かを登録したり教えてはいけない。何か登録した途端にすべて盗まれてしまうことが容易に想像可能だ。