2019年07月04日に初出の投稿

Last modified: 2019-07-11

添付画像

【緊急会見】セブンペイ不正利用、被害試算は900人 総額5500万円。4日14時で「チャージ」完全停止、新規登録も停止へ

困ったことに、チャージだけ止めてて決済はそのまま動いてるんだよね。そして、上記のとおり、パスワードをリセットするメールを任意のアドレスに送信できるという、あたまの痛い仕様が明らかになっている。正確には「第三者がユーザーの生年月日と電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにパスワードを再設定する画面のURLを送れる」ということで、こういう事例を見ても、WordPress のセキュリティに関して書いたことがあるとおり、メールアドレスを ID にするのは現代のアプリケーション設計として全くナンセンスだ。なぜなら、ID は漏洩したり他人が簡単に推測できてもいい情報として扱われてしまうからだ。簡単に言えば ID とパスワードの組み合わせは、原始時代ならユーザ・アカウント名と ID が同一だったからこそ "takayuki" とか、そういう馬鹿みたいな文字列で設定されていたものだが、いまやユーザ・アカウント名と ID なんて別々に設計しても全く問題はないし、それどころか表示用の名称すら別に設定してもいい。もちろん秘匿するだけで安全になるわけではないのは確かだが、その人物と付き合いがあれば誰でも推測できる、メールアドレスや氏名を認証情報の一部に採用するという設計は、もう僕らのような技術者・セキュリティ管理者の観点では、非機能要件の致命的な設計ミスとしか思えないのである。加えて、そういう情報さえあれば任意のメールアドレスにパスワード・リセットのメールを通知できるなど、いくら運営側が別のデバイスでの利便性を図ったなどと言い訳をしたところで、容赦されることではない。そういうものを実装するなら、まず新規のアドレスにメールを送信していいかどうかを、もともと登録しているメールアドレスに通知して、承認するという手順を経てからにするものだ(この機能を使うなら、もちろん管理画面では現行のパスワードを入力してもらうべきだろう)。 ちなみに、このサービスと連携している Omni7 というモール・システムだけど、AI を実装したりキャンペーン・サイトを導入したりと、色々な事案でト*ンス・コス*スが絡んでいるらしいので、僕らの業界では《人買い》と呼ばれる弱小代理店が問題の中心という可能性があるな。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook