【7payの「二段階認証導入」は正解か？】セキュリティ専門家、徳丸氏の視点 ->画像>2枚

https://www.itmedia.co.jp/news/articles/1907/13/news020.html

2019年7月13日
7payの「二段階認証導入」は正解か？　セキュリティ専門家、徳丸氏の視点 (1/2)

セキュリティ専門家の徳丸浩さんに、7payが取るべきセキュリティ対策を聞いた。二段階認証の導入決定は「結論を出すのが早すぎる」という。
[井上輝一，ITmedia]

　不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。

　しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」（徳丸さん）

　ITサービスの脆弱性（ぜいじゃくせい）診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。

安全性確保の手段、二段階認証の他にも

　「安全性を確保する方法は、二段階認証の他にもある」として、徳丸さんは「LINE Pay」を例に挙げる。

　LINE Payは、支払いの際にパスワード認証、もしくは生体認証で二段階認証を実装しているが、徳丸さんが注目するのは「アプリとデバイスのひもづけ」だ。
（リンク先に続きあり)

EGセキュアソリューションズ代表取締役であり、「徳丸本」著者でもある徳丸浩さん

QRコード決済自体が失敗なので不正解だろ

Windows10状態
焦って検証なしにリリース

当然の粗悪品

不祥事を起こしても宣伝費を積めばマスゴミは追及を緩める
逆に宣伝費をケチる企業には土下座するまで叩き続ける

シダ

メディアにすぐコメント出す専門家は信用されないとまだ気付かないのか

>>5
また数年のロムが待ってるね。

コンビニでピッてしたあと届いたメールの認証コード入れないといけないの
？
だるいんだけど

社内にそれを理解して経営層に簡潔に説明できる奴がいないことがリスク

海原雄山「静脈認証こそ至高」

>>2 で終了

QR決済は開発途上国向け
Felicaのインフラ準備できない貧乏人の決済手段

生体認証しとけや

>>1

汚らしいエラ張りブサイク整形レイプ民族チョン。
整形なしには人前に出られないほど醜悪なパンスト朝鮮顏をしてるくせに、
日本人のふりをして性犯罪を犯しまくりやがって。

朝鮮民族は、歴史的によそ様の国でも凶悪な性犯罪を繰り返してきたゴミクズ民族。
東南アジアの女性たちに最も忌み嫌われている
ベトナムでは朝鮮人による連続強姦で生まれたライダイハンが大量発生して社会問題になっている。

日本人女性たちは戦中も 戦後も、朝鮮人による性犯罪に苦しんできた。
いまも日本人女性を汚しまくってるAV男優とAV撮影者のほとんどが在日朝鮮人だ。


●●● 深刻化する在日朝鮮人の性犯罪 ●●●
http://seihanzai.tripod.com
.

中国で流行ってるから日本でも導入しよう、みたいな印象を受けるんだけど
中国以外のアジアや欧米ではどうなってんの？

セキュリティホール見つかっても動かし続けたという点で、決定権を持っている人達が一番のセキュリティホールだと思うよ。
ここをなんとかしないと改善することはない。
ヤフーにも言えることだが。

それよりサービスをいったん停止して、
アプリやシステムにバックドアがないか入念に調べるべきだろう

サービスを止める、って決断が出来なかった時点で経営側が致命的に無能過ぎる

もう7PAYなんだから7段階認証位にしろよ

(´・ω・`)セキュリティホールは会社の幹部連中やろwww

3ペイの20％より、d払いの30％だわ。

>>14
中東などではバーコード決済流行ってるってよ。
現金持ってる所を襲われることも無いから、
決済の為だけに携帯も持つらしい。
あっちだと権力者変われば紙幣変わったりするし、偽札問題等もあるし…

>>15-17
穴ないない（自称）はカネと力で何とかなる
だが、止めたという大チョンボはカネと力でどうにかなるものではない
それが止めない理由

不具合不祥事が出るたびに使ってない人は余計悪いイメージ持つんだよね

パスワード情報漏れてるなら
二段階認証も意味ないやろ

nanacoでええやん

>>20
その割引の原資はどこなんだろうな？

いつもニコニコ現金払い

7payがパスワード教えるのに3段階でも無駄
まずはそこら辺から直さないと

>>25
広告押し売り（通信費おまえら持ち☆）ができないじゃん

ザルの二段重ね

Suica一択ｗ

メールアドレスがIDになってるのがまずダメ
ゲームIDならまだしも金がかかってるアカウントにこれは無いわ

WRコード決済って導入は楽なのかもだが、消費者側にとって、便利ではないよね。

事前事後で保証がある決済のが安心だな

二段階だったらなんでもいいって話ではないってのが前提で、
端末との紐付けのために二段階認証するって話なんじゃないのか

これ端末拾ったら使い放題ってこと？

現金こそ最強のセキュリティ。

日本じゃこんだけ普及してインフラも整ってるんだからSuica一択でいいだろ

専用のパスワードを漏らしているんじゃ、
どんな対策しても信用は取り戻せない

>>38
ワザワザ、発展途上国で流行っている決済を使わなても良いと思う。

iDとSuicaで済ませてるわ
還元率が高いときはd払いも使ってるけど

世界中の女性を撮り集めたら、色々な美しさがあることがわかった（画像）
https://dxuphotto.ddo.jp/Wmqakmwmq/1068.html

デバイスとひもづけって機種変めんどくさくね

>>1
アゴ長いなこの人

>>40
そうだよな、あれはクレカも現金も信用がない国で使うもの

でもなんちゃらペイ業者は、スマホの中身、客の移動情報、購入履歴とかが死ぬほど欲しいんだってさ

>>27
クレジットカードだとポイントが付きます

nanacoのポイントを減らしたから罰が当たった

コード決済に関してはLINEpayは端末と結びついてるから
端末失くさない限り堅そうだな。

>>4
不二家とかヤマザキに吸収されるまで叩かれ続けたしな

>>36
指紋でロックかかってたら解除できないんじゃないか。

>>50
確かに・・・

【7/15まで無料頒布中！】
酩酊神ディオニューソスが女の子！？
ギリシャ喜劇作家アリストパネス「蛙」を
素材にした現代の童話。ルビ付き短編です。

アリストパネス　『蛙（かえる）』
https://twitter.com/0Idm3vd9TYmFDaQ/status/1148909141806555136
（直リンNGのためtwitterが開きます）esl
https://twitter.com/5chan_nel (5ch newer account)

認証回数多くすれば安全だと思ってる

ICカードで良いんだけど、普及が頭打ちになるのは、みんなバラバラにやってるからだって事を理解しないと。

>>1
マスターキー盗まれとるやん

シナチョンに作らせるからこうなる
チェックもせんと運用に走った経営が糞

もうそういうレベルの話じゃなくなってね？
根本的に糞過ぎでサービス停止以外ありえんレベルでしょ、これ

なんちゃらペイやめてnanacoひとすじが残された道だな

nanacoだけになったら200円で1ポイントを100円で1ポイントに戻せ
そんでなきゃTポイントのファミマに行く

最善のセキュリティ対策はセブンペイを廃止すること

>>59
根本から見直さないうちは怖くて使えないよな
事の重大さを経営陣がまったくわかってない感じだし
こうなったら一から始めた方がマシ

目先の餌に飛びついた結果。
中国人でさえスイカを見習い。
インフラに投資してから
サービス開始なのに。
信用は高いよ。
日本人は中国より下に堕ちたなｗ

二要素認証にすれば良いのに。

>>61
スタートする日が決まってて動かせないからどんな不具合があってもサービスインしちゃうのが日本企業

まず7payをやめればいい
それだけの事

#ssmjp でみたことある人だ
なんか欲しいアプリ？を自分で作ってた

何やってもコンビニ業界1位は変わらないから好きにすればいいと思う

>>51
ってか、自動ロックかかるようにしとけよ(´・ω・｀)

>>58
時代はポンタだろ

2段階認証を誇らしげに語るお前らには違和感を覚えたわ
7payのザルシステムの問題はそれでも安全を確保できなかったし

2段階認証が堅固みたいな報道の風潮だけど、そーじゃないからな。
あくまでも、一つの手段でしかない。

もう中国に目つけられてるから再開後しばらくした後ごっそりやられるよ

>>69
７payに二段階認証が実装されていると
いったいいつから錯覚していた？

しかしセブンの終わった感ハンパないな
とりあえず悪あがきする前に反省会と戦犯吊し上げやれ

ローソン、ファミマは年内くらいでdポイントが双方で使えるようになるんじゃなかったっけ？

アプリからもれていたって話がでてきたしな。

メールアドレス、生年月日、電話番号。　これだけでもメールでパス変更ができたということだったが
クレカ登録したあとのアカウントを狙い撃ちされていたから、
手当たりしだいにやっていたという形ではない。

　内部犯行を疑うべき事案。　さすがに根拠なく公の場ではいえないだろうけど。

撤退するのが正解だろう