「7pay」社長の驚愕発言が、笑いごとでは済まないほんとうの理由

「二段階認証知りません」より怖いこと
西田 宗千佳 プロフィール

7payが突かれた“欠陥”

7payのアカウントも、IDとパスワードによって守られていた。だが、そのパスワードが突破されたがゆえに、簡単に悪用されてしまった。

今回の事件の犯人が具体的にどうやってパスワードを突破したのかは、現在も調査中である。複数の欠陥が突かれた可能性も否定できない。

だが、現時点で最も可能性が高いと見られているのは、「パスワードリセット」のしくみがお粗末だった、という欠陥である。

パスワードを忘れてしまうことは誰にでもある。そのため、どのサービスにもパスワードをリセットし、新しいパスワードを設定しなおす機能が設けられている。7payも同様だった。

ただし、7payの場合には、パスワードリセットの方法設定に問題があった。

 

パスワードリセットのリクエストを送る場合には、まずメールアドレスを入力し、そこに届いたメールの指定に従って再設定の手続きを行うのが通常だ。7payの場合は、ここで「ID登録時とは違う、任意のメールアドレス」にリセットメールを送信できるしくみになっていた。その理由を7payは、「利用者の利便性を向上するため」と説明している。

リセットには通常、年齢や性別の照合が要求されるが、7payではID登録時に「年齢や性別を入力しなかった」場合に、必ず特定の値が入るような措置が取られていた。

この2つの組み合わせは──、かなりまずい。

【写真】リセット方法の設定に問題?
  パスワードを忘れてしまうことは誰にでもあるけれど、リセット方法の設定に問題が? photo by gettyimages

犯人の手口

結果として犯人は、以下のような手段でパスワードをリセットしたと推定されている。

まず、7payを使っていそうな人のIDとなるメールアドレスのリストを用意する。そのリストに従って随時、「パスワードリセット」のリクエストを送る。

その際には、本人のメールアドレスではなく、「犯人自身が用意した使い捨てのメールアドレス」を用いて、「年齢や性別を入力しなかった場合に入力される特定の値」を入れる。

これで、パスワードのリセットメールが犯人の元に届く。犯人はパスワードをリセットし、本人になりすまして7payを悪用した……。