7iD リスク

7pay の件は Twitter の TL に流れてくる情報を中心に眺めていたが，2010年代も終わろうかという頃に「サイバーノーガード戦法」とかあまりに馬鹿すぎて他山の石にもならないようだ。 リンクは以下の2つだけ張っておけば十分だろう。

• 7payの不正利用についてまとめてみた - piyolog
• 7payを使った不正購入事案についてまとめてみた - piyolog

被害にあった方々にはお見舞い申し上げるとともに（被害額の返金だけではなく）賠償請求を行ってきちんとペナルティを支払わせることを強くお勧めする。 向こうは「謝罪して返金すりゃいいんだろ」って感じだし。 バブル崩壊以降，ホンマに「謝罪」が安くなったよなぁ。 まぁお金が絡む話に謝罪とか，それこそ一銭の価値もない。

今回の件は脆弱性（vulnerability）というより設計上の欠陥（defect）と位置づけるのが適切だろう。 そうなると，その認証基盤である 7iD（旧 omni7）ってどうなん？ という話になる。

で，サイトを覗いてみたら提携企業の多さに「これヤバくね？」って感じなのだが，それらの企業は今回の件をどう思っているのかね。 現金決済であれキャッシュレス決済であれ，基盤となるシステムを信用するからこそ成り立つものであり，信用がなくなれば「そこで試合終了」なんだけど。

今後も情報を集めるとしたら，その辺を重点的に見る必要があるかもなぁ。

そもそも「QR決済」以前に「QRコード」そのものを信用していないので¹，「QRコード」が絡むサービスは極力使わないようにしているのだが，今後もしばらくその状態は続きそうである。

あと Twitter 眺めてて気になったのだが「2段階認証（2-step authentication）」と「2要素認証（2-factor authentication）」は意味が違うし，昔は「2段階認証」と称してパスワードを2つ登録させる馬鹿なサービスもあって安全性に対する印象が悪いのだけど，みんながみんな「2段階認証」を連呼するのはその辺も踏まえての話なのかね。

ブックマーク

• 7payの「二段階認証導入」は正解か？　セキュリティ専門家、徳丸氏の視点 (1/2) - ITmedia NEWS

• セブン、「7iD」全ユーザーのパスワードをリセット　セキュリティ強化の一環で - ねとらぼ

  • 「よーやくか」と思ったが，よく考えたら 7iD はパスワード変更機能が腐っていて，そこからパスワードが漏洩したんじゃないかって当初言われてたっけ。やっぱ設計がクソだと何もかもが裏目に出るな

• ひさしぶり「サイバーノーガード戦法」 | Baldanders.info

参考図書