二段階認証やSMS認証なんて知らなくても社長にはなれる!

二段階認証 日記
2019.07.04

被害者数900人、被害総額5500万円と発表。

システムは知らなくても社長だってネットを使ってればわかるんじゃない?
「人にフォーカス」しても、システムがわからないとこうなる時代なのかも。

 

セブン&アイ 緊急会見

セブンペイ不正利用で緊急記者会見。
クレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めたそうです。

まぁこれだけメジャーなアプリならば、そうとうなハッカー連中に狙われても仕方ないよね。
なんて思ってたんですが、記者会見後には状況が一変!

 

セブンペイ

なんと今回の不正アクセスにあったセブンペイ。
なんと、メールアドレスと電話番号などが分かればパスワードのリセットが可能だった。

 

詳細を見れば冗談みたいな仕様で

「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。

 

これって、今どきのSNSだったらもうほぼほぼわかんじゃね?
ってくらいい、公開されていることが多い情報ですよね。

フェイスブック見たらほとんどの人が、生年月日が公開されています。
非公開で利用していればいいけど、かなりゆるい情報でしょう。

 

 

SMS認証など二段階認証

で、記者会見の時に「SMS認証など二段階認証」について聞かれても「???」だったので大炎上!
あ、ウソで大炎上はしてません。炎上するほど一般的でないので。

でもシステムやWEBに関わる人なら、「ありえないw」という話なんですね。

 

【セブンペイ不正利用でセブン&アイが緊急会見】

テレ東が配信した緊急記者会見30分34秒から。

「ユーザー登録時に二段階認証をされているサービスがほとんどだと思うんですけど、7payでそれをやらなかった理由は?」という質問に対し、セブンペイの小林強社長は「二段階認証……?」

 

まぁ社長は現場の人ではないでしょうし、軽はずみなことは言えない。
とはいっても、今分かってる情報だけでもマズいんじゃね?
というシステムというか運用の条件というか。

 

●誰かの電話番号やメアドはわかった。
だったらセブンペイにログインしてみて、入れたら入出金のパスワードを変更。メアドも変更。

これで、まったくの第三者が誰かのセブンペイを自由に使えるわけです。

 

二段階認証は、ログインのチェックを2回やれと。
同じのでも二段階認証と言えるけど、それじゃ意味ないですよね。

なので良くあるのが、SMS認証。
SMSへ一時的なパスワードなどを送って確認する方法。

ログイン時にパスワード以外に、「ペットの名前は?」なんてのもあるけど、お金に関わるなら所有物が必要なSMS認証でしょうね。

 

たとえばSMSの二段階認証がされていればこんな感じになります。

●誰かの電話番号やメアドはわかった。
よし、入出金のパスワードを変更しよう。

【SMS端末へ一時的なパスワードを送信】
それを入力してね♪ となるわけです。

 

本人だったら自分のスマホにそのSMS認証パスワードが届きます。
なので入力するだけ。

でも今回の手口なら、この段階でSMS認証パスワードを入手できません。
だから今回のような問題は起きないわけですね。

 

ちなみにパスワードリセットのメールも、指定のメアドに送れる仕様だそうです。
不正アクセスしたら、不正アクセス用のメアドに変更して送ればいい。

セキュリティがザル過ぎるだろ、セブンペイwww
ということですね。

 

これ最初、送金システムだったら送った口座とかで犯人なんてすぐに特定できるじゃん。と思ってたら、違うんですね。

もっとオーソドックスに、店頭受け取りするだけ。

だから逮捕された中国人は、タバコを大量に購入していたと。換金性が高いからですね。

 

この時にセブンペイの残高がなくなっても、クレジットカード連携やチャージをする必要がある。
この時に、パスワードリセットがかんたんなので楽勝だったと。

 

 

 

経営陣

まぁこんなデカイシステムの話なんて、私ら関係ありません。

でもこわいのは、現場のエンジニアからしたらこんな状態でリリースすることはあり得ないでしょう。
だって作った時点でザルだって素人でもわかるでしょ。

 

つまり、現場の意見は無視されてたんでしょうね。
勝手な推測で申し訳ないけど、初でもないのにあり得ないのぉ。

だって記者会見で質問してた女性記者、的確すぎる質問で彼女が優秀なのはわかる。
でもセブンアンドアイにだって優秀な人はいるだろうという話し。

 

もっとも、普及のための利便性とリリース時期など経営視点で判断したはず。
でももうITを知らないと経営判断も的確に行うのは難しい。
知らない、分からないではこうなってしまうのですね。

 

まぁ日本の場合、元サイバーセキュリティ大臣はパソコンもネットも知らなかったわけですけど。

でもビジネスの世界ではもう、ITオンチはリスクでしかないってことでしょうね。

自分が分からなくても、現場チームの話はしっかりと聞いておいた方がよさそうですね。

意思決定権がある偉い人たちに無視されたチームの人たちは、さぞ無念だろう・・・

 

いや、「ほ~ら、いわんこっちゃない」なんて思ってたりしてね。