7pay
7payの不正アクセスが話題になっています。
勘違いしがちですが、これは電子マネーのセキュリティの問題とはちょっと違うんですね。
むしろ逆で、セキュリティに問題のあるインフラに、後から電子マネーを付けてしまったパターンです。
つまり、結果として、電子マネーで不正アクセスが発生していますが、電子マネー(7pay)を付ける前から、セキュリティの穴は存在していました。
ただ、電子マネーが無かったので、わざわざ不正アクセスするメリットが無かったんですね。
セキュリティの穴
その、セキュリティの穴と言うのが、パスワードの変更の方法です。
名義人の、
- メールアドレス
- 生年月日
さえ知っていれば、他人でもパスワード変更ができてしまう恐ろしい仕組みだったんですね。
友人・知人を思い浮かべてください。
あなたのメールアドレスと生年月日を知っている人、少なくないでしょ?
その人たちなら誰でも、あなたの7payのパスワードを変更できるわけです。
変更後のパスワードは、その人にしかわからないので、あなたの知らないところで、不正アクセスが行われるわけです。
当然、7pay運営会社側も、その仕組みを一旦停止したようですが、まあ実にお粗末な仕組みでした。
しかし、振り返ってみてください。
7payだけじゃ無いんですよ。
パスワードを忘れた時に、
親の旧姓
最初の担任の名前
好きな食べ物
などを入力してパスワード変更を受け付けるサービス。
多いですよね。
これらも完全にアウトです。
パスワードはデタラメで長い文字列が原則です。
それを変更するための質問が、親の旧姓や好きな食べ物ではアウトです。
なぜなら、自分以外の誰かが知りうる情報だからです。
第三者が知りうる答えを訊ねる時点で、そのサービスは失格です。
上記のサイトでも書きましたが、ボクは、自分のパスワードすら知りません。
当然、第三者も知りません。
ボクのパスワードはボクを含めて誰も知らないのです。
やむを得ず、親の旧姓や好きな食べ物を登録しなければならないサービスに出会ったら、ボクは、そこにもデタラメな回答を作ります。正直に親の旧姓や好きな食べ物を登録する必要なんて無いのです。
親の旧姓→fanefsahf7uhg7usdfhi7dhfsf7hsgif7hidg
好きな食べ物→ncuer7fhe7h7dgh7hfghfhhdgbdfsfkwe
みたいな感じです。
もちろん、それも覚えられるはずが無いので、パスワード管理アプリに登録しています。
さらに言えば、異なるサイトで親の旧姓を登録するなら、それぞれ異なる親の旧姓を登録します。
サイトA:親の旧姓→fanefsahf7uhg7usdfhi7dhfsf7hsgif7hidg
サイトB:親の旧姓→ufeuewpfvowef8ef8e8feurfuuerufuf
サイトC:親の旧姓→fhe218fejdvdnbddvd6fbdfb7bgdgerghe
のような感じですね。
こうしておけば、万が一、サイトAが突破されても、サイトB、サイトCは無傷です。
将来は、パスワードの概念が無くなって顔認証や虹彩認証でパスするのが当たり前になるかも知れませんが、今は過渡期ですね。
7payの事例を参考に、既存のサービスを点検してみてください。
