7pay「組織的攻撃の可能性」専用パスワードでも被害
コメント
選択しているユーザー
次から次へと問題が発覚している。
出来る限り隠そうとしていたのか、影響範囲を調査しきれていないのか。隠そうとしていたならば企業体質に問題があるし、調査しきれていないならそのスキルに問題がある。どちらにせよ、いったん7payのサービスをすべて止めてでも調査しきるべきでは。
注目のコメント
漠然と、これは軽はずみに言うべきではない…と思っていましたが、この記事の内容が事実なら、内部又は関係者→SIerなどが関与している可能性が高くないでしょうか?
クレジットカード業界を良く知る人であれば、コンビニは客単価が低く、換金性が高い商品が少なく、決済データがかなり早く処理されていることを知っているはずです。
つまり、セブンイレブンでしか使えないクレジットカードになっているセブンペイのアカウントを乗っ取っても、美味しいビジネスではないというわけです。
クレジットカード情報自体の方がよっぽど価値があります。
今回の事件で、コンビニ用決済なのに、20万、30万円のチャージや決済を可としていた設定も、決済を知る人からすればかなりお粗末です。けれども、このような設定であると知ることができる人はかなり限られているはずです。ローンチ直後からの悪用も、完全外部者にはハードルが高いですね。
けれども、セブンペイって、細かな設定まで素人ぽいですね。
補足
けれども、このような設定であると知ることができる人はかなり限られているはずです。→ けれども、このような設定であると、事前に知ることができる人はかなり限られているはずです。
→”事前に”を足させて頂きます。プリペイドカードでは、チャージ限度額、利用可能限度額を必ず設定します。色々な設定方法がありますので一概に言えませんが、一時的に規約に書いてある限度額よりも下げたりすることも出来るようになっていたりします。7payそのものの杜撰さを、プロの犯罪者集団が狙い打ちをしたということか。いずれにしても、モバイルペイメントへ移行していくには、こうした事件をいくつも積み重ねていくことになるのだろう。
本件で第一報があった際、利用規約を確認したところ、ユーザに固有のパスワードの使用を義務づけた条項がありました。
これは非常に珍しい条項です。仕事柄、いろんな利用規約をチェックしてきましたが、このような条項は記憶にありません。
ユーザ側が、(知ってか知らずか、少なくとも結果的には)利用規約を遵守しているにもかかわらず、こうした事態になったわけです。
それでもなお、法理論上、7pay側が一方的に免責される(利用規約第18条第5項)のかどうかは、現時点ではなんとも言えません。
ただ、消費者契約法第10条により、7pay側が完全に免責されることはないと思われます。
--以下引用--
第9条(パスワードの管理)
1.(省略)
2.ユーザーは、設定したパスワードと同一のものを当社または第三者が提供する他のサービスの用に供してはならないものとします。
(以下省略)
--引用以上--
出典:7payユーザー規約|7pay
https://cnt.7pay.co.jp/static/terms/detail02.html
【参照】消費者契約法
(消費者の利益を一方的に害する条項の無効)
第十条 消費者の不作為をもって当該消費者が新たな消費者契約の申込み又はその承諾の意思表示をしたものとみなす条項その他の法令中の公の秩序に関しない規定の適用による場合に比して消費者の権利を制限し又は消費者の義務を加重する消費者契約の条項であって、民法第一条第二項に規定する基本原則に反して消費者の利益を一方的に害するものは、無効とする。