パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

7payで不正利用被害報告が相次ぐ」記事へのコメント

  • 記者会見のクライマックスシーン

    https://youtu.be/3-pzOV0OLyw?t=1420 [youtu.be]
    23分40秒
    記者「なぜ登録したメールアドレス以外にパスワードリセットメールを出せるようにしたのか?」
    社長「普段スマホを使ってる方がパソコンなどで操作される際に便宜を図ろうと思った」

    https://youtu.be/3-pzOV0OLyw?t=1845 [youtu.be]
    30分40秒
    記者「なぜ二段階認証をしなかったのか」
    社長「二段階認証?」「

    • スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…

      • Re: (スコア:3, 参考になる)

        by Anonymous Coward

        スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…

        キャリアメールを使っている場合(PCからキャリアメールにログインする設定をしていない場合)に便利なのは確かでしょ。
        スマホ操作しなくてPCだけでパスワードの再登録が完結するからね。

        ついでにいうと、こういうパスワード忘れ等のトラブルというのは機種変更やら端末故障時が多い。
        前の機種を下取りにだしてしまって、docomoからauに乗り換えた場合(キャリアメールが使えなくなっている)なんかも有り得る。

        ってことでパスワードの再設定リンクを他のメールアドレスに送れる機能ってのは利便性としては有用だよ。脆弱なだけで。
        そこはセキュリティオタクも認めないといけない点だと思う。

        • by Anonymous Coward on 2019年07月04日 18時27分 (#3646007)

          >そこはセキュリティオタクも認めないといけない点だと思う。
          何で?
          決済システムなんだから、今回の件では利便性を優先したら絶対ダメだろうに。

          親コメント
          • 不正利用されて損害が生じるリスクというのは確かにある。
            しかし、逆にパスワードを忘れてしまって、チャージしたお金が失われる(使えない)リスクもあるんだよ。

            https://snsdays.com/download-app/7pay-touroku-use/#7iD-2 [snsdays.com] 見れば分かるように、
            「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。

            キャリア変更でキャリアメールが使えなくなって、パスワードが忘れてしまった場合、
            自分でチャージした「お金」が使えなくなってしまう、これも問題だよね。

            不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。

            • by Anonymous Coward on 2019年07月04日 18時49分 (#3646021)

              > 不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。

              それは間違い。「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害だ。会社にとって前者の方が重要なのは一目瞭然。

              そもそもパスワードもメアドも分からないなら、電話確認か書面での身分証のやり取りが必須なのは仕方ないこと。
              そのコストを惜しんで脆弱な実装を採用したのが問題。

              親コメント
              • by Anonymous Coward

                「報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。」
                と言うことだから、ここでの不正利用はユーザーが所持しているクレジットカードがユーザーの意図しないところで使われているってことで、
                ユーザーの損害に該当するものなのでは。

              • by Anonymous Coward

                「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害

                「不正利用の被害額」もフランチャイジー=加盟店が負う事になっているんじゃないの?

              • by Anonymous Coward

                どっちの負債もユーザに押し付けりゃいいやって考えだったんだろうなぁ……
                コンビニの店長にしわ寄せするのは日常っぽいから責任転嫁することに対する罪悪感はとっくの昔に消え失せてそう。

              • by Anonymous Coward

                そのとおり
                そして加盟店=セブンペイ側に重大な(のあるシステムを運用した)過失があるので、不正チャージ分については、全額をセブンペイ側が被る事になる。

            • by Anonymous Coward

              納得できる意見だな。この件では脆弱だから設計失敗だが、不正も移行ロスも無視できない。
              スマホで身分証の写真を撮る、一定期間後別アカウントに残高移転する形でその間元アカウントはキャンセルできるとか考えたけど微妙。
              この件だと元のメールアドレス/ログイン中のアプリに通知を送ってキャンセルできる(パスワード変更は一定期間後)とかが緩和策だろうけど問題は大きい。
              SMSまで届かなくなるケースは問い合わせて何とかするくらいしかないだろうな。

              • クレカ登録・銀行口座登録している人は、クレカ番号や口座番号からリカバリ、
                登録していない人は都度チャージ勢だから、財布を落としたとおもってそのチャージ分は諦めてもらう。

                親コメント
              • by Anonymous Coward

                そんなの無記名式の電子マネーカードを、窓口(多機能券売機)まで持参して記名式にした人がその権利を取得する、ってのと同じ仕組みだな

                そして無記名式の電子マネー(に相当するセブンペイアカウント)にクレジットカードチャージできるなんて仕組みなんて聞いたことないわ

                どんだけザルシステムだよ

                そして、セブンペイをアプリ登録して(正しい個人情報を登録せずに)使ってる限りは、無記名式の電子マネーであって何時でも他人に奪われても仕方がない、と言う認識がユーザーに明示される機会にも乏しい。

                まさにどうしようもない

              • by Anonymous Coward

                いや、そもそも無記名式の電子マネー(に相当するもの)にクレジットカードチャージできるシステムがおかしいんだよ

                そこ気づかない(気づく脳みそが無いと)とどうしようもない

                脳筋や脳花ばかりだなセブンイレブン系の会社って

                バカばかり

                何がオタクだよ!しね

            • by Anonymous Coward

              パスワード忘れ&メールアドレス使用不可なんてユーザーの自己責任だろ。
              なんでそんなユーザーのために空けた穴で無辜のユーザーが不正利用の憂き目に遭わなければいけないんだ。

              • by Anonymous Coward

                誰も設計に問題があることを否定してないでしょ。
                みんな何故こんな設計になったのか、何を想定していたのかを考えてるだけだよ。

              • いやいや、利便性の為にパスワードを無しにするのと変わらないから、設計をしているとは思えないって話だろ
                親コメント
              • by Anonymous Coward

                セキュリティ的には堅牢(それほど堅牢とも思えないが)に見えたシステムに誰でも入れる隠しバックドア(忍者屋敷のあれと同じ)を設置しましたって感じかな。

            • by Anonymous Coward

              >>「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。

              そんなの無記名式の電子マネー(プリペイドカード)と同じだから、利用不能になって当たり前だろ
              どうやって無記名式の電子マネーを元々の利用者を特定して再交付できるんだよ

            • by Anonymous Coward

              スマホもパスワードもなくしたアホなユーザーの救済措置として面倒な手続きがあるべきで、アホなユーザーを基準にザルセキュリティを構築して態々いらんリスクを背負い込むもんじゃないだろ。

          • by Anonymous Coward

            当然、利便性を優先したら駄目だが、利便性としては有用だよ。ってだけの話だろ。
            何で? となる意味がわからない。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...