7pay不正利用から考えるセキュリティの脆弱性と自己防衛

HIBIKI FP OFFICE(愛知県名古屋市のFP事務所)の重永です。

こう見えて理系出身の私が、いま話題の7pay不正利用問題について考察していきます。

仮想通貨にも共通する情報もあります。便利になり続けている情報社会(情報化社会)を生き抜く上で必要最低限の知識を身につけましょう。

【7pay不正利用】

7月1日からサービスがスタートした7payですが、7月3日早朝からクレジットカード不正利用の被害が出ています。

私もツイッターでリアルタイムの被害報告投稿を見ていました。中には「運営会社に報告したのに「カード会社に問い合わせて」とたらい回しにされた」なんてツイートも。。

今朝のニュースでも大きく取り上げられていましたね。

現在はチャージ機能を停止しているようです。

【考えられる原因】

原因は公式で発表されたのかな?(5日早朝にセントレアのラウンジでビールを飲みながら執筆していますので色々やばいです)

またもツイッター情報になりますが、パスワードリセット機能に問題があるようです。

「メールアドレス」「生年月日」「電話番号」がわかると、第三者でもパスワードリセットができてしまうそうです。

しかもiOS版では会員登録時に生年月日を「登録なし」に設定できることから、生年月日なしでもパスワードリセットができるとのこと。。

リセットしたパスワードは登録時とは無関係のメールアドレスにも送れると、、、やりたい放題ですね。もちろん本人は気付かないし、元のパスワードではログインもできなくなります。

これが原因だとしてもしなくても、この弱点はどうなのかと。。悪い人は頭がいいので、すぐ気付いたでしょうね。。

【他人事じゃない問題「2段階認証は安心?」】

サービス登録時にSMSを利用したり、銀行の取引時にワンタイムパスワードを利用したりする“2段階認証”ですが、もちろん弱点もあります。

ネットで銀行取引を行う際に使う、一度限りの使い捨てであるワンタイムパスコードを例を紹介します。

私たち利用者が銀行サイトだと思い込んでいたものが、攻撃者が用意した偽サイトだと、入力したパスコードが攻撃者にも分かってしまう、、、ということが起きます。

出典:「インターネットの安全・安心ハンドブック」の「二段階認証を破る『中間者攻撃』」より

2段階認証では、こうした中間者攻撃を防げない弱点があります。

NISCは「結局、偽サイトによる攻撃は、利用者自身で自分がどこのWebサイトを見ているのか、注意して確認する以外に対策はありません」と呼び掛けています。

自分の身は自分で守れということですね。逆にいうと、これさえ気を付けておけば2段階認証に弱点はないということになるのではないでしょうか。

【仮想通貨のハッキング】

個人的に衝撃的だったのは今年1月に起きたイーサリアムクラシックのハッキング被害です。

もちろん仮想通貨保有者の方は全員、この件について説明できますよね?

犯行は結局ホワイトハッカーによるものだったそうですが、 私は「あ、仮想通貨の仕組み自体が終わったな」と勝手に思い込みましたが。。

こんなリスクがあるものに“投資”として大切な資産を移すのはどうかと思うのですが。。(一発ドカンを狙う捨て金ならいいかもしれないけど)いまだに仮想通貨を“投資”として保有されている方は、ぜひ勉強不足の私を論破してください。。

【まとめ】

何事もサービスの概要をしっかり理解して利用することが大切です。自分の身は自分で守るべく、いつの間にか新しいタブが開いて、本物そっくりのサイトに誘導されていないかなど気をつけましょう。7payの問題は気をつけようがないですが。。

投資先の選定にも同じことが言えます。その投資の「目的」を明確にし、その「目的」に合ったリスクとリターンの投資先を選ぶことが重要です。

たしかに難しいです。が、自分の人生は自分で考えましょう。そのお手伝いはさせていただきます。

最新情報をチェックしよう!
>中立の立場からアドバイス

中立の立場からアドバイス

代表の重永は銀行員時代、金融機関の提供する金融商品に疑問を抱き退職しました。弊社は代理店契約(保険など)を一切しておりません。仲介手数料や紹介料に踊らされることなく、顧客の利益を最優先に、各個人に最良の提案をしています。

CTR IMG