メールアドレスだけでハッキングできる7pay、開発元は日本が誇るNTTデータ,NEC,野村総研にOracleと判明 日本のIT水準がヤバすぎると話題に

最新10レス
1番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 08:00:59.32 ID:D5CHT1h4

【7pay不正利用】開発会社(ベンダー)はどこ?オムニ7はNTTデータ,NEC,NRI,Oracle運用・保守
https://www.hiroiyomi.com/7pay-vendor/

7pay不正利用事件ではセブンイレブンアプリに二段階認証がないことが大問題となっています。

会員ID(メールアドレス)とパスワードがばれてしまったら、
第三者が別の端末からアカウントを簡単に乗っ取りできてしまうようなレベルの低いセキュリティ。

オムニ7開発会社(ベンダー)はどこのシステム開発会社なんだ?と犯人探しが始まっています。

Q:7payの開発はどこ? A:協力会社とともに構築してきた Q:攻撃の検証はしたのか? A:7payはシステムチェックをし安全面で問題ないと思っていた。どこに問題があるのか調査をしているところ
— 三上洋 (@mikamiyoh) July 4, 2019

7pay不正利用の開発会社(ベンダー)はどこ?

7Pay開発元がどこなのかは今のところはっきりとしていません。

ただ、オムニ7に関しては、
チームITの考えでNTTデータ,NEC,NRI,Oracleの4社連合で開発成功したと発表されています。

7Payのシステムに関しても、
NTTデータはCAFISで決済周りにノウハウがありますし、
NECはPoSのバーコード認識周りを固めたんじゃないでしょうか?

セブンペイの小林強社長の経歴を見てみるに、セブンイレブンの生え抜きだということは分かるけれど、経営企画部とか海外企画部とか、事業推進部といった名称ばかりで、ITにはほとんどかかわってこなかったことがうかがえます。

ITは使う人間と作る人間では残念ながら天と地ほどの差があり、素人が「これくらい簡単にできるだろ?」って思うことにかなりの工数が必要になってしまうことは良くある話です。

今回の件も、クライアントであるセブンイレブンとベンダーの間でスケジュールの進行でそれなりにもめる事態は起きていたんじゃないかと推測しています。

そしてベンダー側でセキュリティ関連を担当する責任者もしくは担当社員もしくはSESさんも「これじゃまずい!」っていうアラートを出していたんだとは思いますが、大人の事情で揉み消されてしまったんだろうな、と感じるのは私だけでしょうか。

システム開発なんてバグ(セキュリティホール)を見つけて怒られるとか、意外と日常茶飯事の世界かもしれません。

バグ(地雷)があることを知っていてあえてリリースしてしまい、運用時にバグがあったように見せかけて追加料金を…、おっと、誰か来たようです。

明日からセブンイレブンでバーコード決済が始まるので7payにチャージしてみた。
そしたら届いたメールがこれ。null様。
システム担当のベンダーさんとか、担当者さんが起こられるんだろうな・・・と心中お察しする。#7pay #セブンイレブン @711SEJ pic.twitter.com/TjblwklvqL
— Kensei Suzuki (@kenseis) June 30, 2019

オムニ7の開発は4社連合か… 認証/セキュリティ部分はどこなんだろう… 'チームITの考えで、NTTデータ、NEC、NRI、Oracleの4社のITベンダーのチームで開発し、成功したという。'

11月から始まった「セブン&アイ」のオムニチャネル戦略とは? https://t.co/eV2Ippfb8L
— Yuichi Uemura (@u1) July 4, 2019

#7pay 緊急会見
・被害が疑われる場合は7payから連絡がくる
・開発は何社かの協力会社と
・店舗でのAmazonカードを大量購入は止めていない(犯人か分からないため)対応は検討中
— コグレnote本

2番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 10:02:21.62 ID:???

日本のITへの軽視の発注が横行しているからね
とにかく納期を絶対に間に合わせろ、と。
今回も、"セブン"だから7月には絶対に間に合わせろと。
おまけに実際の構築は、下請けのIT会社(いわゆるIT土木)が請け負っている。
こんな劣悪な環境で、まともなのは出来ないわな

3番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 10:09:03.04 ID:???

確かファミマのファミペイが2/1発表で7/1開始
セブンペイが4/1発表で7/1開始
ファミマに対抗して同日に強行リリースが原因なのは間違いないだろうね

4番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 10:57:16.59 ID:???

そそ

5番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 16:28:07.07 ID:???

QRコード決済ってこんな無茶な真似してまで飛びつかなきゃならんほどのシロモノなの?

6番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 16:47:19.22 ID:???

QRコード決済は支払いはクレジットカード紐付けだからインバウンドも期待出来るしスマホの情報も筒抜けに出来るしな

7番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 18:56:50.44 ID:???

QRコード以前の問題なんだわ

7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/1907/04/news079.html
(一部)
第三者がパスワードを再設定可能
 7payでは1日のリリース直後から、第三者にアカウントが乗っ取られ、残高を不正利用される被害が発生。Twitter上では「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いだ。セブン・ペイは3日、不正ログイン防止のためにログインIDやパスワードの管理を気を付けるように呼び掛けた他、クレジットカードとデビットカードによるチャージを停止した。

 具体的な手口は明らかになっていないが、ネット上では、アカウントのパスワードを再設定する手順に問題があるとの指摘が出ている。第三者がユーザーの生年月日と電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにパスワードを再設定する画面のURLを送れるというものだ。

解決していない?
 これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。

 しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。

 同社は4日、記者会見で「普段スマートフォンを使っている人がPCを使ってパスワードを変更する場合、携帯キャリアのメールアドレスが使えない。そういった人のために(フォームを)用意していた」と説明した。

8番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 19:33:25.89 ID:???

消費増税と並行したキャッシュレス決済ポイント還元で、国は奴隷をデータ化して管理したがってるし、企業は自社産電子マネーを広めるチャンスと見て導入に積極的

なんちゃらペイばっかり増えて逆にめんどくさいわ

9番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 19:36:28.17 ID:???

>>7 非表示にしておいて用意していたってのも妙な言い訳だなぁ

10番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 19:46:28.00 ID:???

あー、軍曹の携帯開発を思い出してるやついっぱいいるんだろうな

11番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 19:50:23.68 ID:???

IT軽視というよりもこの島国の住人たちは技術者軽視なんだと思う

12番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 19:56:02.72 ID:???

下請け孫請けの多重下請け構造って外国だと普通じゃないのか?

13番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 20:04:12.33 ID:???

任意のアドレスにパスワード変更メールを送るのは技術力の問題じゃあないよ
その機能を作ったらどう使われ得るのかと思いめぐらせる力がない
無知なのではなくてただただ頭の回転が鈍いんだ

14番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 20:09:32.61 ID:???

むしろわざと残したのではないか?

15番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 20:24:34.11 ID:???

どうやったらこんなバカな体制でサービス始められるんだろうな
頭おかしい

16番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 20:47:52.11 ID:???

この国はITに向いてない
絶望的に
合理性を強調しながら自分たちが立っているその場所こそが非合理の塊であることを
認めたがらない前世紀の異物で埋め尽くされている
これは単なる技術案件ではない
この国の階級闘争そのものだ

17番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 22:12:50.79 ID:???

ほかのコンビニチェーンに競合するためにセキュリティを犠牲にして見切り発車的にやったらこのザマ
セブンペイの社長は二段階認証すら理解してないし説明されても理解できないヤバいレベル
経営層が不安なセブンアンドアイホールディングス

18番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 22:14:35.20 ID:???

>>17
見た見た。アホ過ぎてヤバいレベルだな

19番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 22:19:46.45 ID:???

パスワードリセットは二段階認証関係ない
2FA理解してないのでは説に関しては2FAを質問に出した記者もわかってない

20番組の途中ですがアフィサイトへの転載は禁止です:2019/07/05(金) 22:49:02.26 ID:???

おれじゃない
あいつがやった
しらない
すんだこと

21番組の途中ですがアフィサイトへの転載は禁止です:2019/07/06(土) 00:30:41.54 ID:???

納期が厳しいにしても
わざわざ自爆機能付ける意味がわからない

22番組の途中ですがアフィサイトへの転載は禁止です:2019/07/06(土) 03:38:59.12 ID:???

https://twitter.com/aka_pencil/status/1146752497400205312
赤鉛筆
@aka_pencil

基本情報技術者平成28年春期
午前問40
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
ア・あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
イ・あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
ウ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
エ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
https://www.fe-siken.com/kakomon/28_haru/q40.html

7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます

23番組の途中ですがアフィサイトへの転載は禁止です:2019/07/06(土) 11:13:49.70 ID:???

技術力ある人は日本の給与体系だとどんどん居なくなるからな
権威に金が集まる合理性を欠いたダメ国家だよ

24番組の途中ですがアフィサイトへの転載は禁止です:2019/07/06(土) 19:47:39.04 ID:???

正直、海外に流出するレベルの話じゃないよね
基本情報技術者。。。

25番組の途中ですがアフィサイトへの転載は禁止です:2019/07/06(土) 19:51:25.61 ID:???

ITって数人の天才を、少数の凡才が支えて、多数の無能が働いた振りをする仕事だからな
土方なら多数の無能でも仕事あるけどITは邪魔になる

26番組の途中ですがアフィサイトへの転載は禁止です:2019/07/06(土) 22:22:53.92 ID:???

さすがに仕様書通り作っただけでIT土方は悪くないだろこれ

27番組の途中ですがアフィサイトへの転載は禁止です:2019/07/06(土) 23:36:20.75 ID:???

作業している現場の人間がおかしいと思ったときにそれを報告して改善を促せる体制が整っていたのかどうか

28番組の途中ですがアフィサイトへの転載は禁止です:2019/07/07(日) 00:37:59.08 ID:???

>>27
そんなもん整ってる現場なんてないよ

29番組の途中ですがアフィサイトへの転載は禁止です:2019/07/07(日) 01:14:13.05 ID:???

実際作ったのは下請けの下請けぐらいなんだからおかしいと意見あっても届かんよ

30番組の途中ですがアフィサイトへの転載は禁止です:2019/07/07(日) 04:11:18.76 ID:???

どの道経営者が腐りきってるからこの国に進歩などというものは今後も全く欠片も期待できない
自分は偉いんだと思いたいだけのカスのようなプライドにしがみついてるままごと国家
腐ってる

31番組の途中ですがアフィサイトへの転載は禁止です:2019/07/07(日) 04:42:40.09 ID:???

ゴミの四天王かよwwwwwww

32番組の途中ですがアフィサイトへの転載は禁止です:2019/07/07(日) 04:48:40.99 ID:???

発注元、元請けは現場のことが分からない
多重下請け構造の末端には問題解決の権限がなく発言権もない
起こるべくして起きたってことか

33番組の途中ですがアフィサイトへの転載は禁止です:2019/07/07(日) 05:08:30.64 ID:???

NTTデータってアホなことしてる案件多い気がするんだよなぁ
なんというかネットに繋がる案件の仕様策定がまともにできない感じ

34番組の途中ですがアフィサイトへの転載は禁止です:2019/07/16(火) 20:03:18.22 ID:???

7pay不正利用 被害者1500人余 被害額3200万円余に | NHKニュース
https://www3.nhk.or.jp/news/html/20190716/k10011994991000.html

不正アクセスが相次いだコンビニ最大手「セブン‐イレブン」のスマホ決済サービス「7pay」について、サービスを運営する会社は今月11日時点で確認された被害者が1500人余り、被害額は3200万円余りになると発表しました。

「セブン‐イレブン」が、今月1日から始めたスマホ決済サービス「7pay」をめぐっては、不正にアクセスされたうえでクレジットカードなどから勝手にチャージされ、商品を購入されたという被害が相次いでいます。

「セブン&アイ・ホールディングス」のグループ会社でサービスを運営する「セブン・ペイ」が被害状況を調べたところ、今月11日の時点で被害にあった人は1574人、被害額は3240万円余りになるということです。

運営会社は、これまで推計として被害者はおよそ900人、被害額は5500万円になる可能性があるとしていましたが、被害者が増えた一方で被害額は減る形になりました。

不正アクセスの被害は、サービスが開始された翌日の今月2日の夜から3日までに集中していたということで、運営会社は今月4日までに7payへのチャージや新規登録を停止する対応をとりました。

会社は、すべての被害者に対して被害額の全額を補償する方針で、今後、原因の究明や再発防止に向けた対策を進めるとしています。

35番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 13:01:31.45 ID:???

セブンペイ、9月末で終了へ
https://headlines.yahoo.co.jp/hl?a=20190801-00000063-kyodonews-bus_all

まともに動かないまま終わるらしい

36番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 13:06:58.91 ID:???

知識の無いアホが指示を出す立場にいる日本企業の悪いところがモロに出た事例だな

37番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 13:26:11.83 ID:???

金かかってるだろうにもったいない
でもこれでいいのかもね

38番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 13:41:02.97 ID:???

開発費約142億円だって

39番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 13:48:45.28 ID:???

https://twitter.com/6vmetamon/status/1156778991321112576
メガメタモン@6vmetamon
株主の皆様
セブンペイ廃止が話題ですが開発費用は約142億円です

よろしくお願いします
https://pbs.twimg.com/media/EA20W4MUEAAb3Hj.jpg

40番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 14:23:31.09 ID:???

セブンペイのせいでポイント還元率を0.5%に改悪されたnanacoはどうなるの???

41番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 14:28:56.22 ID:???

これからもnanacoで行くしかなくなった以上戻すしかないだろうね

42番組の途中ですがアフィサイトへの転載は禁止です:2019/08/01(木) 15:33:19.99 ID:???

楽天Pay
「クソッ……セブンペイがやられたか……」

LINE Pay
「だが奴は我々QRコード決済四天王の中でも最弱……」

コーナンPay
「不正決済ごときにやられるとはQRコード決済の面汚しよ……」

PayPay
「お前誰だよ」

43番組の途中ですがアフィサイトへの転載は禁止です:2019/08/19(月) 18:23:33.46 ID:???

7pay、不正被害を受けた利用者への補償対応を開始 - Impress Watch
https://www.watch.impress.co.jp/docs/news/1201924.html

セブン&アイのコード決済サービス「7pay(セブンペイ)」で、不正被害を受けた利用者への補償対応が8月19日から開始された。7payは、7月1日にサービス開始したもののの、不正アクセス問題の発覚を受け、9月30日の終了が決定している。

不正被害を受けた利用者についての、補償対応が19日から開始。対象者には「7pay事務センター(TEL:0120-113-393)から順次連絡し、補償に関して案内する。

19日から補償対応を開始するのは、「nanacoポイントからの身に覚えのないチャージ被害に遭った人」「自身がチャージした7pay残高を、第三者に利用される被害に遭った人」。

登録したクレジットカードから身に覚えのないチャージ被害に遭った人については、各カード発行会社の協力のもと、カード支払日までに当該チャージ分の引き落としをされないよう順次対応を進めているという。また、デビットカードの身に覚えのないチャージ被害についても、デビットカードのブランド各社の協力のもと、口座への被害額の払い戻しを順次進めている。

なお、セブン・ペイから補償手続きの連絡をする場合、必ず7pay事務センターより電話するため、上記の電話番号以外から7payの補償に関する不審な電話を受けた場合は、決して応じず、7payお客様サポートセンター緊急ダイヤル(0120-192-044)に相談するよう呼びかけている。

44番組の途中ですがアフィサイトへの転載は禁止です:2019/08/19(月) 18:28:18.62 ID:???

>>23
一回リセットしないとIT系はどうしようもないかもな
既存の産業と同じ構造で組み立てたら無能ほど上に立ってしまう

このスレッドは過去ログです。