potatoさん
VIEW
7pay 記者会見の内容まとめ 動画・被害額・不正アクセスの詳細など
7payの不正アクセス問題で記者会見が行われました。
会見の内容をまとめたものを下記にまとめました。
会見では被害額や現在のサービスの状況などが発表されました。
会見では「なぜ二段階認証をいれなかったのか」との質問に「二段階うんぬん」と全くシステムをわかってない回答があり、批判の嵐となっています。
#7pay 緊急会見
不正アクセス被害者の人数と金額
詳細は調査中だが約900名・5,500万円(6時現在)
#7pay 緊急会見
・全ての被害に対して補償することが基本原則
・緊急ダイアルを設置して説明する対応をしている
・全てのチャージを一時停止する
・7payの新規登録を一時停止する
・停止する期間でしっかり調査して再開
#7pay 緊急会見
読売新聞
Q 現状、どこに抜け穴があったと考えているか?
A 詳細はこれから専門家を入れて調査したい。しっかり対応してセキュリティーを確保していきたい。指摘されたパスワードの問題に関しては改善を進めている。現状、海外からのアクセスを遮断。パスワードの変更もいくつか対応。
#7pay 緊急会見
Q 緊急電話に繋がらないという声がある
A 回線、スタッフを増員している。昨日から拡大している。
#7pay 記者会見
Q なぜ買い物が続けられる状態にしているか?
A 全てを止めるのが不正の余地がないが利便性との絡み、時系列で見ていくとカードからのチャージをストップすると状況が変わってきている。多額な不正が相当減っている。そのあたりも勘案して。現実的な対応としてチャージを止めている。
#7pay 記者会見
Q 事前の脆弱性テストで分からなかったのか?
A あらゆるサービス・アプリに関してはシステムのセキュリティ審査をしている。脆弱性は指摘されなかった。その上でスタートした。
#7pay 記者会見
Q オムニ7等他のサービスも危険なのでは?
A 外部から不正なアクセスがないか確認した。1週間で特に際立つものがないことを確認している。
#7pay 記者会見
Q パスワード確認で他のメールアドレスが入力できるようにしていた理由は?
A ふだんスマホを使っている人でパスワードをパソコンからしたい、その場合、キャリアのアドレスは使えなくなるため、そういった方へ便宜を図るため。
・チャージは14時に全て停止
#7pay 記者会見
・なるべく早く再開したいがいまのところいつかは言えない
・申告ベースでは発表した規模にはなっていない
・被害届けは出す方向である
#7pay 記者会見
Q SMS認証しなかった理由は?
A 7payの基本設計は7IDがありセブンイレブンアプリがある。アプリのいち機能として7payが入った。連携した形で登録することになっているので二段階云々と同じ土俵で比べられるのか認識していない。
#7pay 記者会見
・Amazonのギフトカードは買える(買っているかどうかは確認していない)
・知らない間にチャージされ、知らない間に使われ、本人が知らないところで使われているという事例
Q スマホ決済の信頼を失墜させたのでは?
A 我々としても残念。これをきっかけにさらに安心安全を目指したい
#7pay 記者会見
Q 登録の簡単さに力点を置きすぎたのでは?
A 簡単さとセキュリティはリンクしていないと理解している。7Payの仕組みか、IDのところに不備があったのか、色々な視点から精査しないといけないと思っている。必ずしも使いやすい=リスクを疎かにしたとは理解していない。
#7pay 記者会見
Q 不正アクセスは海外から?
A 不正アクセスを洗い出していく中でほとんどが海外からのIPだった。まず最初にストップした。精査しているが中国。
Q パスワードの変更の部分が原因の一つ?
A セキュリティ診断した上で開始しているので改めて色々な形で調査しないと曖昧に回答できない
#7pay 記者会見
・全体に及ぼす影響としては7月から7payと絡めたキャンペーンをしており会員増を期待していたが、それがそのまま進まない可能性がある。
#7pay 記者会見
Q 1人が何万円くらい被害にあっているか、防犯カメラから情報提供は?
A 個別の事案に関しては精査中。先程の金額は試算として捉えている。並行して個別の取引を精査している。(防犯カメラ)まず警察に被害届を出し必要であれば。解明するツールにはなると思っている。
#7pay 緊急会見
Q どういった被害があったか具体的には?
A タバコで10万円
#7pay 緊急会見
・被害が疑われる場合は7payから連絡がくる
・開発は何社かの協力会社と
・店舗でのAmazonカードを大量購入は止めていない(犯人か分からないため)対応は検討中
#7pay 緊急会見
・放置していたという感覚はない
・順次対応していた
・2日も、という感覚は我々と違う
・対応が遅くなった認識はない
#7pay 緊急会見
・早くスタートするために何かをおざなりにしたことはない
#7pay 緊急会見
以上です。
ちょっとこの部分は要約しにくかったところでもあるので、気になる方は実際の会見動画などにあたってください。
とりあえず7payのシステム作って、「事前のセキュリティ審査で問題なかった」と記者会見で言っちゃう、この株式会社セブンペイには当事者能力ないよ。
仕様策定時とかも「これはセキュリティ上まずいのでかえよう」と指摘すると「利便性とのバランスをとりたい(緩くしたい)」みたいなこという人がいる。
それは攻撃者にとっての利便性でもあるんだぞ #7pay
不正アクセスが疑われる人数・金額(試算) 約900名/約5,500万円 ※2019年7月4日 6:00現在
「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の停止について
t.co/g16bpG5URZ
7pay、不正アクセスされて原因分かってないのにサービス止めないの最高にロック
7pay「我々としてはなるべく早く再開したい」
あのさあ……拙速でやらかしたという自覚足りないんじゃないの?
7pay「すべて負担します」
記者「会社が出すんですか?」
7pay「クレカ会社の保証とか警察への被害届を使ってもらうので会社が払うわけではない」
は?????
7payのアプリ、誰もチェックできないままユーザに出してるのってすごい。他の製品、商品も同じことになっててもおかしくない。
協力会社は何社か。何度もセキュリティ面で、問題ないと。どういう不正か分析しないといけないり
外注のことを協力会社とか言っててワロタw #7pay
#7pay
日刊工業新聞「開発は外注か内製か?」
7「何社かと構築してきた。」
7pay「チャージと登録停止、決済は止めない」
悪人「よーしさっさと残高を使ってしまえっっ!!」
ってなるからさっさと決済も止めて、チャージも払い戻せ
セブンペイは協力会社何社かと協力して構築してきた、と。協力会社の名前はさすがに出さないか。。。。
協力会社のせいにして逃げる大作戦。
Q「これどこが開発したん?」
セブン「協力会社の何社かと協力してシステム構築した」
Q「ほんとに検証したん?」
セブン「セブンペイは何度もシステムのチェックをした。セキュリティも安全面では問題ないと。今回の事案がどういうものだったか分析しないと、いま調査をしている」
#7pay
記者「二段階認証を入れなかったのは?」
7「二段階認証? ? ?」
おーっと、記者会見担当者、二段階認証が何かをわかっていない!!!!
セブン&アイがセブンペイ不正利用事件で会見しているんだけど
記者「なぜ他サービスのように二段階認証を入れなかったのでしょうか?」
セブンの社長「(……にだんかいにんしょう……?)」
ときょとんとしたあと「二段階うんぬん」という新語を使って頓珍漢な回答してかなしみ
t.co/PRl1QdoMOP
#7pay
記者「情報が流出する被害が続いているのに全面停止しないのか?」
7「まず取り得る安全策、まずできることは対策しながら、調査をして抜本的に対応したほうがいいことが出てくれば対応する。」
記者「流出が続いてもいいというのか」
7「流出が起きていると認識できていない。」
7pay「これまでにない最新の機能を追加しました!違うアドレスを指定してパスワードリセットができる機能です!画期的です!診断もして脆弱性はありませんでした!最強のセキュリティ!」
7pay「どうぞ安心してご利用ください」→被害額あげちゃうキャンペーン
#7pay 7「対応が遅くなったとの認識はない。」
Q. ログインしたことを通知する機能が無いのはセキュリティが甘かったか何らかの急ぎがあったのでは?
A. 我々は安全を確認した上で出したので、早く出すために何かをおざなりにしたということはない。
(えっ? #7pay
7payの会見時間で打ち切られたw てか被害額の5500万は店舗で使用済みの額でまだ被害額全体はクソほどあるのかよwww
あ、無理やり会見終了。UXって言葉は知ってるんやな。被害者さんにしてみたら最悪な経験だったと思うぞ。。 #7pay
我々の感覚とは違うだと?サービス止めないだけあるわ。我々利用者と感覚が全然違いますな。 #7pay
#7pay 「海外からのアクセスをブロックした」っていっても、深圳からアクセスできてしまうし、パスワードリセットについてた例の「送付先メールアドレス」欄はスタイルシートで非表示にしているだけで操作ひとつで再表示できちゃうし。。。 https://t.co/b82VLR4puk
一見すると対策されたように見えますが、スタイルシートで消しただけとの指摘も。無能、7payなど。
セブンペイ不正利用でセブン&アイが緊急会見
出典元:YouTube
SMS認証について記者からの質問に
「SMSってツイッターのことですよね、みなさんがツイッターされてるとは限らないですし」
と勘違い回答したセブンペイ社長…
もはや社長辞任した方がいいのでは
#セブンペイ
7payの会見見たけど酷いな
社長がまさか2段階認証も把握してないとは
t.co/SwyXCgTDyH
技術者を会見に並ばせることはできなかったのか?
7pay事件の会見見たけど何一つ自分たちで解決する気ゼロで笑ったw
こんな無能達どこから集めたんだよ
#7pay