ヘルプを見るも、問い合わせにはログインが必要。
つまりループだ・・・

でも解決できたよ、amazonさんありがとー！

とりあえずログインできない当日の夜は諦め、翌朝に電話。
amazonはパワポ禁止！って知った本に、今は電話でヘルプするって書いてあったんですね。

今、「伝え方はストーリーが９割」を読んでるが、これじゃない。

ということで、電話。

・営業時間： 24時間対応の365日年中無休です。
・フリーダイヤル： 0120-899-543
・携帯電話からの番号： 022-745-6363
・海外からの電話番号： 81-22-745-6363
※ 音声ガイダンス4番を押してください

Amazonの電話番号（お問い合わせ先） | これ知っておけばOK!（簡単にすぐ分かる!）

Amazonの電話番号（お問い合わせ先）どんな時に電話番号が必要になるの？Amazonカスタマーサービスへお問い合わせしたい時の手順方法として基本的には１．チャット２．お問い合わせフォームによる問い合わせがメインになっていますね。いざ、お問...

www.broadcreation.com

電話したら繋がらない。でも終わったら折り返すね。って、私の番号を読み上げる神コール！

そして３分後くらいに電話があり、状況を説明で解決！
私は別のスマホがあるので、そちらのSMSを登録。

もし、別番号がなかったら？と聞いたら、メアドでもできると。

そして、この問題はネットのヘルプで解決できたか？と聞いたら無理とのこと。
問い合わせのログインループは、電話で解決で正解だったようです。

でもヘルプは充実しているので、通常のお困りごとはまずヘルプを参照してみてくださいね。

アマゾンさん、ありがとー！

システムは知らなくても社長だってネットを使ってればわかるんじゃない？
「人にフォーカス」しても、システムがわからないとこうなる時代なのかも。

セブン＆アイ 緊急会見

セブンペイ不正利用で緊急記者会見。
クレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めたそうです。

まぁこれだけメジャーなアプリならば、そうとうなハッカー連中に狙われても仕方ないよね。
なんて思ってたんですが、記者会見後には状況が一変！

セブンペイ

なんと今回の不正アクセスにあったセブンペイ。
なんと、メールアドレスと電話番号などが分かればパスワードのリセットが可能だった。

詳細を見れば冗談みたいな仕様で

「生年月日」「電話番号」「会員ID（メールアドレス）」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。

これって、今どきのSNSだったらもうほぼほぼわかんじゃね？
ってくらいい、公開されていることが多い情報ですよね。

フェイスブック見たらほとんどの人が、生年月日が公開されています。
非公開で利用していればいいけど、かなりゆるい情報でしょう。

SMS認証など二段階認証

で、記者会見の時に「SMS認証など二段階認証」について聞かれても「？？？」だったので大炎上！
あ、ウソで大炎上はしてません。炎上するほど一般的でないので。

でもシステムやWEBに関わる人なら、「ありえないｗ」という話なんですね。

【セブンペイ不正利用でセブン＆アイが緊急会見】

テレ東が配信した緊急記者会見30分34秒から。

「ユーザー登録時に二段階認証をされているサービスがほとんどだと思うんですけど、7payでそれをやらなかった理由は？」という質問に対し、セブンペイの小林強社長は「二段階認証……？」

まぁ社長は現場の人ではないでしょうし、軽はずみなことは言えない。
とはいっても、今分かってる情報だけでもマズいんじゃね？
というシステムというか運用の条件というか。

●誰かの電話番号やメアドはわかった。
だったらセブンペイにログインしてみて、入れたら入出金のパスワードを変更。メアドも変更。

これで、まったくの第三者が誰かのセブンペイを自由に使えるわけです。

二段階認証は、ログインのチェックを２回やれと。
同じのでも二段階認証と言えるけど、それじゃ意味ないですよね。

なので良くあるのが、SMS認証。
SMSへ一時的なパスワードなどを送って確認する方法。

ログイン時にパスワード以外に、「ペットの名前は？」なんてのもあるけど、お金に関わるなら所有物が必要なSMS認証でしょうね。

たとえばSMSの二段階認証がされていればこんな感じになります。

●誰かの電話番号やメアドはわかった。
よし、入出金のパスワードを変更しよう。

【SMS端末へ一時的なパスワードを送信】
それを入力してね♪　となるわけです。

本人だったら自分のスマホにそのSMS認証パスワードが届きます。
なので入力するだけ。

でも今回の手口なら、この段階でSMS認証パスワードを入手できません。
だから今回のような問題は起きないわけですね。

ちなみにパスワードリセットのメールも、指定のメアドに送れる仕様だそうです。
不正アクセスしたら、不正アクセス用のメアドに変更して送ればいい。

セキュリティがザル過ぎるだろ、セブンペイｗｗｗ
ということですね。

これ最初、送金システムだったら送った口座とかで犯人なんてすぐに特定できるじゃん。と思ってたら、違うんですね。

もっとオーソドックスに、店頭受け取りするだけ。

だから逮捕された中国人は、タバコを大量に購入していたと。換金性が高いからですね。

この時にセブンペイの残高がなくなっても、クレジットカード連携やチャージをする必要がある。
この時に、パスワードリセットがかんたんなので楽勝だったと。

経営陣

まぁこんなデカイシステムの話なんて、私ら関係ありません。

でもこわいのは、現場のエンジニアからしたらこんな状態でリリースすることはあり得ないでしょう。
だって作った時点でザルだって素人でもわかるでしょ。

つまり、現場の意見は無視されてたんでしょうね。
勝手な推測で申し訳ないけど、初でもないのにあり得ないのぉ。

だって記者会見で質問してた女性記者、的確すぎる質問で彼女が優秀なのはわかる。
でもセブンアンドアイにだって優秀な人はいるだろうという話し。

もっとも、普及のための利便性とリリース時期など経営視点で判断したはず。
でももうITを知らないと経営判断も的確に行うのは難しい。
知らない、分からないではこうなってしまうのですね。

まぁ日本の場合、元サイバーセキュリティ大臣はパソコンもネットも知らなかったわけですけど。

でもビジネスの世界ではもう、ITオンチはリスクでしかないってことでしょうね。

自分が分からなくても、現場チームの話はしっかりと聞いておいた方がよさそうですね。

意思決定権がある偉い人たちに無視されたチームの人たちは、さぞ無念だろう・・・

いや、「ほ～ら、いわんこっちゃない」なんて思ってたりしてね。