不正アクセスや強制パスワードリセット等と開始早々やらかした7Payですが、何もせずに終了して話題になりました。

 

それだけでなく、7Payが終了し、大川隆法さんがセブンペイを降霊するとも話題になっています。

そんな、7Pay終了の話題や、終わってしまった経緯は?

 

ということで今回は、7Pay終了について、

  • 7Pay終了!大川隆法が降霊すると話題に!
  • 7Pay終了した経緯は?

気になりましたので、調べて紹介したいと思います。

スポンサーリンク

セブンペイ終了で大川隆法が降霊?7Pay終わった経緯!

セブンペイ終了で草

不正アクセスや強制パスワードリセット等と開始早々やらかした7Payが、荒らすだけ荒らして終了しました。

 セブン&アイ・ホールディングスがスマートフォン決済「7pay(セブンペイ)」のサービスを9月末で終了する方針を固めたことが1日、分かった。

引用:セブンペイ、9月末で終了へ

 

7Payはセブンイレブンのスマートフォン決済として始まりましたが、開始早々に不正アクセスが多発。

 

さらに謝罪会見も「二段階認証」「SMS認証」等を知らないお粗末な会見で話題になっていました。

 

それだけでなく、7Pay会員に通知もせずに、強制パスワードリセットをし、残高がリセットしたと騒がせていました。

 

そんな、様々な話題をかっさらっていったセブンペイは、通常運転することなく、9月で終了となったのです。

セブンペイ終了で大川隆法が降霊?

セブンペイが終了と決まり、あの大川隆法さんが終わるセブンペイを降霊すると話題になりました。

 

実際に多数の方々が、大川隆法さんがセブンペイを降霊することを期待・予言したツイートをしていました。

 

このように、多数の方々が大川隆法さんのセブンペイ降霊を期待して待っているのでした。

スポンサーリンク

7Pay終了した経緯は?

7Payの不正アクセス!原因まとめ!

7Payは開始早々にセキュリティの脆弱性による不正アクセスが多発し、約900名の約5,500万円の被害があったとのことです。

1、発生の経緯

2019年7月2日
・お客様より「身に覚えのない取引があったようだ」とのお問い合わせをいただく。(第一報)

2019年7月3日
・社内調査を実施した結果、不正利用が発覚。
・お客様サポートセンター緊急ダイヤルを設置。
・7payホームページの「重要なお知らせ」にID・パスワード管理の注意喚起を掲載。
・クレジットカードおよびデビットカードによるチャージを停止。

2、不正アクセスが疑われる人数・金額(試算)
約900名/約5,500万円 ※2019年7月4日 6:00現在

引用:一部アカウントへの不正アクセス発生による チャージ機能の一時停止について

 

実際に以下のように、7Payで不正アクセスによる被害が多発し、炎上しまくりました。

7Pay不正アクセス原因は?

セキュリティガバガバ

まず7Payは生年月日、性別なしで登録でき、登録なしだと初期設定され、その初期設定で総当たりするとパスワードを任意のアドレスに送信できるガバガバセキュリティが見つかりました。

パスワードなしでアクセス可能

7Payはパスワードなしでアクセス可能なため、不正アクセスし放題でした。

日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

引用:[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明

 

なんでも、外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるようです。

 

しかも、あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できるという、個人情報ダダ漏れにさせているのでした。

スポンサーリンク

「秘密の質問」で忘れて問い合わせば不正アクセスし放題?

今度は「秘密の質問」の答えを忘れたとチャットサポートに問い合わせると、クレカチャージパスワードをリセット・再設定し、不正アクセスし放題なことが判明しました。

 

そして実際にこの不正方法で被害に遭われた方がいたようです。

7payが通知無しで強制パスワードリセット!

7Payは不正アクセス対策として、利用者に有無を言わさずに会員1650万人全員のパスワードを強制リセットする強行を働いて不安にさせていました。

セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しないと使えないようにする。

引用:セブン、全会員のパスワードを強制リセット 1650万人

 

しかし、利用者には通知もせずに有無を言わさせない、強制パスワードリセットで批判されました。

スポンサーリンク

7pay強制パスワードリセットで残高もリセット?

7Payは通知もせずにパスワード強制リセットを行い、再設定するとクーポンや7Payの残高が消えるバグを起こして炎上しました。

 

実際に以下のようにツイッターにて、クーポンや7Payの残高が消えた被害の声が届いています。

 

ただ、表示されていないが、データは残っている説が出ており、どうなっているのかセブンイレブンの説明が待たれています。

 

ついでにですが、パスワードリセットして永遠にログインできない被害も出ています。

セブンペイ終了で大川隆法が降霊?7Pay終わった経緯がヤバイ!

不正アクセスにお粗末な会見、強制パスワードリセット等とやらかしまくったセブンペイですが、何も良いことをせずに終了しました。

 

唯一、分かったことは二段階認証がとても大切で、どんな大手でもお粗末な事をするんだと学びました。

 

そして、大川隆法さんがセブンペイを降霊すると期待されています。

 

果たしてセブンペイは大川隆法さんに降霊され、どんな気持ちなのか聞いてくれることを期待しています。

 

そして、セブンペイは終わりましたので、別のPayを使っていきましょう!

 

せばな~

スポンサーリンク