7Payの不正利用を受けて他社Payの複数端末利用時の不正対策について調べてみた

7Payの不正利用の原因は、別端末でログインされて利用されてしまったこと(ID・パスワードが漏れたことによるリスト型攻撃による)とのことで、他のPay系サービスがどうなっているか調べてみました。

(追記) パスワードリセットの仕様が元凶であるというという事実を知る前に検証した記事になります。

japanese.engadget.com

今回問題になっているのは、クレジットカードを予め登録した上で、チャージまたは都度決済を行うものだと思います。自分の利用状況下では 楽天Pay, d払い, Origami Pay がそれに当たりました。

このようなスマホ決済アプリにおける不正利用対策として、最低必要になるポイントは2つと考えます。

(1) 別端末でのログイン時にセキュアな認証をしているか(IDパスワードだけでなく、2段階認証などの追加の認証があるか)
(2) ログイン後、登録されているクレジットカードの再認証があるか(3Dセキュアやセキュリティコードの入力など)※クレカ登録型のみ

ログイン時のセキュアな認証と、さらに、登録されているクレジットカードを使うための認証を、それぞれ行う必要があります。

楽天Pay, d払い, Origami Pay, 7Pay を調べてみたところ、7Pay以外の3サービスは(1) (2)が実施されておりました
(訂正:Origami Payは(2)がありませんでした。しかし(1)の二段階認証をSMS・メールともに行っており、そこで担保しているものと思われます。)

しかし、7Payでは(1) (2)いずれも問題がありました。

(1):IDパスワード認証のみ
(2):再認証なし

このため、ログインさえ突破できれば、登録されているカードで決済ができてしまうことになります。(決済時にパスコードなどの入力も必須ではないようです)*1
この穴を突かれて、不正利用されたものと思われます。(状況から組織的犯行ではないかという指摘もあるようです)

詳細はこちらの表にまとめています。

各社Pay複数端末時の挙動(2019.7)

スマホ決済サービスは、一般的なWebサービスやECと同じセキュリティレベルの感覚で構築してはいけない、というのを改めて実感させられますね。

※あくまで個人環境下でのみの検証結果であり、すべてのケースを確認できているわけではありません。もし間違いなどあればご指摘ください😩

*1:7Payではチャージ時に「チャージ用パスワード」が必要なようですが、こちらも別途突破されたようです。

しあわせランチ

f:id:sohei:20181124000355j:plain
恵比寿にあるとあるバーのランチ。
おしゃれバーなんだけど、ランチはやさしい家庭料理。何回か行ってたらすぐに顔を覚えてくれた。
行くと何かサービスしてくれて、いつもご飯が足りなくなる。言えばもちろんご飯大盛りにしてくれる。いつもお腹いっぱいだ。
1年前からお世話になってて本当にここは最高。写真は今週行ったときのものだけどこの他に小鉢が2つ。これで900円。
本当にありがたいです。感謝を込めて。

2018年のモバイル回線と端末状況

不定期2年おきに状況をまとめるシリーズ(?)

2年前と4年前はこんな感じ。
sohei.hatenablog.com
sohei.hatenablog.com

2018年現在は、昨年からこのようにしている。

回線 端末
メイン IIJmio (au回線) Galaxy Note8
サブ IIJmio (docomo回線) iPhone 7 Plus

あとIIJmioの端末補償オプション(月500円)をつけている。Galaxy Note8に。これで割ったときや水没させたときも安心。
これ含め3000円以下。いい時代になったよね。

端末は、Note8を8ヶ月使っているけど飽きずに使えていて、全体的に満足。
最近のHUAWEIOPPOの最新端末にも惹かれたりするけど、スペック的にもNote8はまだまだ使える。
iPhoneは、まぁiPhoneだしなぁ。高価になりすぎたよね。1台持ちならiPhoneXなんちゃらにしても良いのだけど今はスルー。
サブの2台目として持つにはPlusサイズだとちょっと持て余すのでいずれちょっと考えたい。

iPadは、1年前に買ったiPad Pro 10.5インチがお気に入りすぎて。新型も出たけどまだまだこれを使えると思っていて、最近ようやくApple Pencilも買った。フリマで。
最近仕事でも、打ち合わせの時など使えるところはiPadを使おう活動をしている。毎回MacBookを持ち歩くのが重いので。

そんなかんじ。