rainrian(レインリアン)|Web制作・ホームページ保守管理・カスタマイズ

【セキュリティー】7pay不正利用問題、対処にまだ問題がある件 (CSS非表示)

2019年7月4日

今ニュースになっている「7pay」の不正ログイン被害について、クレジット登録等されてる方はすぐに解除することを強くオススメします!!

第3者があなたの「誕生日」、「電話番号」、「会員ID(メールアドレス)」を知っていたら簡単にパスワード変更して不正ログインされてしまいますよ!

 

1. 第3者へメールアドレス送信できるという問題点

7pay現状

7pay現状

テレビ等では運営元が対策済みと発表されているようですが、調べてみたらCSSで非表示にしてるだけ!!!

ネットでも話題になっていたけど、本当にCSS言語のみで対応していてビックリしました!!

大手で信用がり、かつお金を扱うアプリなので、セキュリティーはしっかりしていると思ってた。。。

 

2. CSSで非表示になっているだけ、、、

7payリスク

7payリスク

CSSをちょっと触ってみたところ、問題になってた第3者への「送付先メールアドレス」の入力欄が出現!!

かなり被害額も多くて社会問題になっているのに、このようなリスク管理で大丈夫なのかな〜と不安になってしまいました。。。

7payにただ登録している人なら大丈夫かと思いますが、クレジット等紐付けしているのであれば早急に解除することをオススメします!!

 

 

3. ゼロデイ攻撃にお気をつけを!

運営会社さんはCSSでの対応ではなく、完全に記述の削除が必要だと思いました。。。。

まだ問題解決していないようなので、お気をつけ下さい。。。

ゼロデイ攻撃(修正するまでの間に行われる攻撃のこと)にはお気をつけを!!

ネット上では既にこのCSSのみの対処に関するセキュリティーリスクの事が書かれていますが、1人でも被害者が少なくなればと思い記事を書いた次第です。セキュリティ重視するなら、やはり電話番号による本人確認は必須ですね。理想は生体認証(指紋or顔認証)もプラスで付けれたらセキュリティ強化されていいのにな〜と思います。

坂木亮太
Ryota Sakaki

坂木 亮太 (さかっきー)

現在は九州を拠点とし、どこかしらのカフェでまったり過ごしているクリエイター。
プロフィールはこちら