IT ニュース&コラム 2019/ 7/15 通巻792号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ 再び電子決済サービスで不正利用。7pay の対応の問題とは ■■ 2019年 7月 1日、セブンイレブンの電子決済サービス 7pay が開始されたが、 2日目から不正利用の報告があり、3日には不正利用が疑われる海外からの アクセスを遮断、その後、チャージの一時停止、新規登録の一時停止、 オープンID(Twitter や Facebook など)でのログインの一時停止が行われた。 経済産業省からもガイドラインを守るよう要請された。 被害は約5,500万円と推測されている。 7payの事案が注目されるようになったきっかけは、7payの社長が「SMS認証? SMSってTwitterのことですよね」と発言したとTwitter上で拡散されたことだろう。 しかし、これは風評被害らしい。実際は、記者会見で二段階認証について口ごもっ ただけだ。概念については知っているようなのだが、二段階認証(の用語)も 知らないのかと話題になった。 このときの社長の頭の中では、以前からある 7iD を 7pay のアカウントとして使用していることから、二段階認証がなかったことが 原因とは考えにくかったのかもしれない。 パスワードのリセットをするときの手続きに脆弱性があると指摘されているが、 Twitterで発信されている手法では矛盾が出てくるらしい。PayPay で使われた 手口とは異なることから、PayPayの教訓を知っていても防げなかったのだろう。 しかし、多方面から指摘を受け、サービスを一時停止し、対策を検討している。 コンビニでは多額の購入ができないことや、プリペイドカードを買うときは 現金しか使えないことから、狙われることが少なく、狙われても被害が少ない ことから、二段階認証や二要素認証をするよりも利便性を優先したのかもしれない。 今まではそれで問題なかったが、今回 7pay という名前から注目を集める ことになり、問題が発覚したのだろう。利便性を優先するのであれば、 問題が発覚したときにすぐにセキュリティを高めるような体制にしておくべきだ。 しかし、経営者にとってその体制をとる(リスクマネジメントする)コストを ケチってしまうのだろう。 もし、実績しか考えなければ、確実に失敗する判断だ。 ただ、断定できる原因は明らかになっていない。おそらくそのような手口が 使われたのだろうという判断で対策を行っている段階だ。おそらく今後も そのまま原因が分からないまま、ブームが終わって脆弱性が残っていても 被害が発生しない状態になるだろう。 原因を特定していくことは必要だが、 全ての事案を完全に原因究明することは割に合わない。 マネージャーには 時効のタイミングを決める必要がある。 ソース https://piyolog.hatenadiary.jp/entry/2019/07/04/065925 https://piyolog.hatenadiary.jp/entry/2019/07/05/055548 https://japan.cnet.com/article/35139554/ https://www.youtube.com/watch?time_continue=1841&v=3-pzOV0OLyw https://www.itmedia.co.jp/news/articles/1907/13/news020_2.html https://blogos.com/article/389381/ https://gendai.ismedia.jp/articles/-/65770 ■■ 注目ニュース 一覧 ■■ ◇ Nintendo Switchを携帯モードに絞り小型軽量化した Nintendo Switch Lite 登場。 https://gigazine.net/news/20190710-nintendo-switch-lite/ … Switchらしさはなくなったが、ゲームのコミュニティに参加できる価値。1万円安い。 ◇ Google アシスタントが収集した会話がGoogleの下請け従業員に聞かれている。 https://gigazine.net/news/20190711-employees-listen-google-assistant-eavesdropping/ … AIだけでは音声認識の性能が上がらないらしいが、AIと組み合わせることは可能なのか。 ◇ Edge プレビュー版、トラッキング防止機能を追加。 https://japan.cnet.com/article/35139252/ … FireFoxの機能に似ているらしい。 ◇ ToDoリストがあなたの生産性を破壊する。 https://gigazine.net/news/20190710-to-do-lists-stressful-burden/ … 今日やることだけカレンダーに書いてToDoリストは見ないこと。 ◇ 注目集めるマルチクラウド、考慮すべきセキュリティの課題とメリット。 https://japan.zdnet.com/article/35139664/ … ロックイン(他が選べなくなること)を避けるには自動化コードの標準化。 ◇ ソフトバンクと村田製作所、世界最小クラスのIoT向けLPWA通信モジュールを共同開発。 https://japan.cnet.com/article/35139519/ … IoTに取り組む企業の多くはネットワークに詳しい知識を持つ訳ではない。 ◇ J・アイブ氏の退職が告げるジョブズ時代の終わり。アップルへの影響は。 https://japan.cnet.com/article/35139298/ … 独立しただけ。 ◇ Wikipedia英語版の全テキストをDNAに収容。新興企業CATALOGが発表。 https://japan.cnet.com/article/35139332/ … パスワードをDNAに隠す応用が考えられるらしいけど、人間に組み込むのは倫理もからむ。 ◇ グーグル、robots.txtプロトコルの仕様標準化を推進。 https://japan.cnet.com/article/35139381/ … 参考にするだけで総合的に判断するのだろう。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm