7月1日から始まったセブン&アイ・ホールディングスの独自コード決済である7payは、7月2日に不正アクセスが発覚し、900人が総額5500万円の被害にあったと同社は公表した。
同社は、リーダー機器の初期導入コスト、手数料/ライセンス料などのランニングコストがコード決済に比べて高価なNFC-F(FeliCa)を利用した電子マネーであるnanacoからの移行を目論んでいたと思われるが、今回の失態で戦略の練り直しを迫られるだろう。おそらくセブン-イレブンへの7pay導入のあとは、イトーヨーカドーやデニーズなどもロードマップに入っていたはずだ。
7Payは、独自の7iDというアカウントと、そのパスワードが盗まれると2段階認証もなくそのまま第三者がログインできてしまう脆弱なシステムだった。しかも、パスワード再設定時に別のメールアドレスが使えたので、7iDと登録した生年月日、電話番号が盗まれてしまうと、パスワードも自由に再設定できた。
チャージ用には別のパスワード必要だが、そのパスワード設定のルールが、半角小文字の英数字もしくは数字を使った6〜16文字の文字列という簡単なものだった。大文字小文字の混在や英数字混在などのルールも設けなかったので、英単語や自分の名前の一部などを設定している場合はパスワードを破られやすい状態だった。7iDと同じパスワードにしている場合はなおさらだったのだ。同
スポンサーリンク
7pay以外は大丈夫か?主要Payログイン時の安全性まとめ
IT起業ニュース
コメント