「リスト型攻撃が原因」「二段階認証なら安全」は本当か？：セキュリティクラスタ まとめのまとめ 2019年7月版（2/3 ページ）

[山本洋介山（メルカリ），＠IT]

7payが攻撃された理由は？

　7payのユーザーは、なぜこんなにすぐに、簡単に攻撃されることになったのでしょうか。理由としては、セブン＆アイ・ホールディングスの発表では「リスト型攻撃」だということになっているのですが、それだけでは説明できないことも多く、さまざまな人によって問題点がツイートされています。

　それらによると7payに問題があったわけではなく、大本となった「オムニ7」の「7iD」自体に問題があったようです。7iDには脆弱（ぜいじゃく）性はあったものの攻撃するメリットはなかったから攻撃されなかっただけだというツイートもありました。

　アカウントを乗っ取られてもチャージには「認証パスワード」が必要なので大丈夫だったはずですが、アカウントのパスワードと「認証パスワード」を同じものに設定可能だったため、IDとパスワードが盗まれたら限界までチャージ可能だったということでした。パスワードを試す回数の制限もなく、総当たり攻撃に対処できない問題もあったようです。また他人のメールアドレスで勝手に登録できる問題や、パスワードの定期変更を促しているところもあったようです。APIのレスポンスに必要ない個人情報が付与されているという問題もありました。オムニ7アプリのソースコード漏えいもあったようです。

　特に大きな問題とされたのはパスワードリセット機能です。IDと生年月日が分かれば誰でもリセットできたようです。生年月日を知らなくても実はアプリの新規会員登録は、生年月日なしで登録できたことも分かります。未選択の場合、生年月日は2019年1月1日に固定されていたので、IDが分かればいいことになります。

　そして送付先のメールアドレスを自由に設定できたため、パスワードリセットのリンクを攻撃者のメールアドレスに送信可能でした。そのため、人によってはIDを知られただけで攻撃者にアカウントを盗まれたということでした。そして他の端末からログインされた場合も通知は行われず、不正アクセスに気付くこともなかったということです。

　この指摘を受けて送付先のメールアドレスを指定できないようにしたのですが、CSSで表示を隠していただけだというずさんな対応も指摘されます。

　またFacebook、Twitterなど外部IDによるログイン機能にも大きな問題があり、「他人のIDだけでログインできたのではないか」という疑惑もありました。これが本当であれば非常に大きな問題ですが、さまざまな問題は結局明らかになることはなく、7pay自体のサービスが9月に終了することになりました。