7pay

7payで、2019年7月4日現在、約900名/約5,500万円(*登録者 150万人)が不正に利用された事件。登録は私もしたが、被害額は0円。

大きな事件として取り上げられているけれども、どこからかのサイトから情報漏洩したIDとPasswordが悪用され、パスワードリスト攻撃によって、漏れた認証情報を利用したらログインできちゃった!その成りすましユーザーによって処理された金額がデカく、それに気づいたユーザーが短時間で急増した事件。

パスワードの使い回しをするな、定期的なパスワードを更新しろとか、テレビでもネットとかでも、取り上げているが、それを怠ってしまった人が被害を受けているんだろうな、と思っている。お気の毒に。

そもそも、総務省が「パスワードの定期的な変更は不要」は不要としていることが、そもそも適切ではないと、会社内でもずっと私は言い続けている。それは、情報漏洩したかどうかは、分からないものだから、「サービス側から流出した事実がなければ、パスワードを変更する必要はありません」という記述に関して、「流出した事実がなければ」という根拠がわからない。どのように「流出していないという事実」を証明するのか?今日、情報流出は当たり前のごとく発生している。きっともれているに違いない、と思って行動すべきだと思う。

したがって、パスワードは面倒だけれども、サイト毎、別々に管理する!これは、継続として実施すべきと考えている。そして、総務省のこの、「定期的な変更は不要」という記載は削除すべきだと考えている。

パスワード管理

マイクロソフトもパスワードの定期的な変更は不要とGigazineが翻訳している。ただし、マイクロソフトのセキュリティの考え方は、こちらに記載されている通り、それなりの条件を出している。

より安全なパスワード システムの最大の目的は、パスワードの多様性です。パスワードを推測しにくくするためのパスワード ポリシーが必要です。組織を可能な限り安全な状態に保つための推奨事項をいくつか以下に示します。
  • 8 桁の最小長要件を維持する (長ければよいとは限りません)
  • 文字構成の要件を求めない。たとえば、*&(^%$ などです。
  • ユーザー アカウントの必須の定期的なパスワード リセットを求めない
  • 最も脆弱なパスワードがシステムで使用されないように、よく使われるパスワードを禁止する
  • 業務以外の目的で組織のパスワードを再利用しないようにユーザーを教育する
  • 多要素認証 の登録を適用する
  • リスク ベースの多要素認証チャレンジを有効にする

 

パスワードを登録にあたっても、条件が記載されていなくても、英数記号大文字小文字を混ぜたものを日頃から作成する癖をみにつけていれば、良いのだけであって、あえて、マイクロソフトのように文字構成の要件は求めない方が、運用としては楽なのかもしれない。いちいち利用者の質問に対して対処するのも面倒だし。

パスワード作成に、コツを覚えれば、それなりに複雑なパスワードの作成ができる。例えば、東京五輪を「tokyogorin」という10桁の文字列が作れる。ここで、五輪を「5Rin」にすれば、数字と大文字が入る。「tokyo5Rin」だ。続いて、「o」部分を「$」に置き換えれば「t$ky$5Rin」という複雑なパスワードが付けれる。さらに、これだと、1回きりなのでもったいないので、この後ろに、令和元年として「r1」を入れて「t$ky$5RinR1」にすれば、非常に複雑なパスワードが出来上がる。令和2年になれば「t$ky$5Rinr2」にして、「R1」を「r2」にするだけでも、立派な複雑なパスワードとなる。じゃ、令和3年には、$を!にかえて「t!ky!5RinR3」になると、全くオリジナルなパスワードが出来上がる。そのように、工夫して作成するとか、例えば、Yサイトであれば「Yyt!ky!5RinR3」にしたり、Gサイトであれば「Ggt!ky!5RinR3」にするだけでも、立派なパスワードだ。ある程度、個人的にパスワード作成のルールを決め、サイトごとに、少し変えるだけでも、立派なパスワードができあがる。さらに、3ヶ月ごとにパスワードを更新する必要があるのであれば、「t$ky$5RinR1-1」「t$ky$5RinR1-2」という形で、四半期ごとに、「-1」「-2」という形でつければ、仮にパスワードが漏れていたとしても、それは既に古いパスワードで無効になっているにちがいない。

では、ウェブサイト毎、違うパスワードを適切に管理する、ということは比較的難しい。
私の場合は、「1Password」というアプリで管理している。
今は月額契約になってしまったが、昔のは買取製品だったが。

1Password

これは、PCアプリも契約すれば、クラウド同期で、iPhone(Android)で登録した情報が、Mac(Windows)でも見る(編集する)ことができるため、楽な管理が行える。1Passwordのセキュリティについては、信頼するしか無いのだけれども。

 

色々なサービスが出て、誰が悪いのか?という被害者はどっちなのか?という弱いものイジメ的な状況。不正チャージされ損害を受けた利用者も被害者であるし、当然、セブンイレブンも被害者だ。となると、7payを開発したところはどこだ?というサイトも出てきている。

情報漏洩するのは、先ほども書いたけれども、漏れる時代だ。であれば、どう防ぐのか?自分の身は自分で守るしかない。IDは大概メールアドレスが多く、こればっかりは防ぎようがない。となれば、サービスごと、オリジナルのパスワードを作り、総務省の記載を無視し、「定期的に」パスワードを更新する、という個人的な運用を行うべきだと考えている。

自分の身は自分で守り、色々と出ている使いやすいサービスを、「自己責任」で利用するわけだから、それなりのリスクは負わなければならい。

まとめているサイトがあるので、時系列とかは参考ください。
(参考)
7payの不正利用についてまとめてみた(piyolog)
7pay以外は大丈夫か?主要Payログイン時の安全性まとめ(techcrunch)

おすすめの記事