パンクITマンの休息

文系大学から大手SIerへ、現在奮闘中のど新米ITマン!

【スポンサーリンク】

「7pay」不正ログインであらわになったアプリ仕様の決定的な問題点はこれだ!

 

 

f:id:moonlight0625sss:20190705235316j:plain

 

こんにちは、Kです!

 

今何かと話題になっている7payですが、一体何が問題だったのかという部分を

ざっくりとご説明していきたいと思います!

 

今回の7pay不正ログインの問題点

今回のアプリの仕様には決定的に酷い部分があります。

 

普通パスワードのリセットというのは、

 

登録済みアカウントのメールアドレスに推測困難なパスワード再設定用URLを送信

          ↓

新たなパスワードを登録させる

 

こんな仕組みを取っている場合が多く、自分のメールアドレスをハッキングされない限り、問題ないのです。

 

しかし、今回問題となっている7payでは

 

メールアドレスなしでも携帯番号と生年月日さえ把握していれば誰でもパスワードの変更ができてしまったのです。

 

携帯番号と生年月日なんて、親や友達ですら知っていますよね。

 

携帯番号や生年月日は様々な会員登録の場面でも人に見られることが多いですし、
ありえないです!w

 

 

二段階認証をもっと詳しく!

SMS(ショートメッセージサービス)や電子メールで送付される「認証コード」や「ワンタイムパスワード」を追加で入力することで、アカウントへの不正なログインを防ぐ仕組みです。

 

よく、「パスワードを忘れたときはこちらをクリック」みたいな画面を見かけませんか?

 

実はあそこで二段階認証がよく使用されております!

 

登録済みメールアドレスに推測困難なパスワード再設定用URLを送信し、新たなパスワードを登録させる仕組みですね!

 

 

運営元は二段階認証を認識していなかった!?

 会見での一部の会話が騒然となっております。

 

さらにこういった不安を高めてしまったのが4日の会見です。セキュリティー上の問題があったのではという質問のなかで、企業側は受け答えのなかで2段階認証を理解していないような反応をしてしまったりなど、そういったことがあったことによって逆に今後のセキュリティー上の対応に不安を残してしまった形になったということです。

引用元:https://news.tv-asahi.co.jp/news_economy/articles/000158816.html

 

7payという立派なIT技術を扱う企業がこういった反応を示してしまったことが今回の問題を更に大きくしてしまっていますね・・・

 

仮にも我々顧客の大切な"お金"を扱うわけですから、こういった部分の知識は身につけておいてほしかったかなという感じです!

 

二段階認証は国家試験の基本情報技術者の中でも出題されました!日本の上位のIT企業がこうだと、今後が心配になってしまいます...

 

決定版 サイバーセキュリティ―新たな脅威と防衛策

決定版 サイバーセキュリティ―新たな脅威と防衛策

 

 

まとめ

 

今回、こういった事故が起きてしまった7payですが、

 

現在、二段階認証導入を始めとし、しっかりとした対策を始めたようです!

 

いつかまた、我々も安心して使えるようなアプリに改善してくれるよう応援したいですね!

 

みなさんの会社は大丈夫ですか?w

ITに関心を寄せることは大事ですね!! 

 

本日も最後までご覧いただきありがとうございました!

 

よろしければ、ブックマーク・シェアをよろしくおねがいします!

 

 

www.punk-it-man.com

www.punk-it-man.com

 

 

イラスト図解式 この一冊で全部わかるセキュリティの基本

イラスト図解式 この一冊で全部わかるセキュリティの基本

 

 

 

プライバシーポリシー

運営者情報 ニックネーム・K メールアドレス moonlight0625sss@yahoo.co.jp