前提
・サービス開始早々、セブンPayの不正利用が相次いだ
・謝罪?会見で、セブンの社長は2段階認証を知らないことが発覚した
・知っとかないとマズイと思い、把握しようと思った
概要
1.(利用者)認証を2回(2段階)行う手法のこと
2.よくあるのは「パスワード認証」と「メール認証、またはSMS(電話番号)認証」の2回
3.パスワードは本人しか知らないため、入力されたパスワードがサーバ側に登録済みのものと同一
だったならば、本人であると証明できる
※パスワードが漏えいしている場合を除く
4.受信メール(SMS)は本人しか見ることができないため、受信メールに記載されている
パスコードがサーバ側で登録済みのものと同一だったならば、本人であると証明できる
※メールのログインパスワードが漏えい、またはパスコードが記載されているメールを盗聴
された場合を除く
5.認証は1回よりも2回の方が、アカウント乗っ取り等の被害に遭いづらい
手間が掛かる方が被害に遭いずらいが、利便性は下がる
ただ手間が掛かっていても、遭うときは遭う
6.以下が漏えい等していた場合、2段階認証をしていても意味が無い
└ 当該サイト(アプリ)のログインIDとログインパスワード
└メールのログインIDとログインパスワード
└電話(スマホ)の盗難(メールを見られてしまう)
└生年月日
※「ログインID = メールアドレス」の場合が多いため、そもそもログインIDはそれなりに
公開されているものだったりする。
またWordPressの場合、デフォルトだと記事ページに管理画面のログインIDが表示されて
おり危険。
7.中間者攻撃をされた場合、2段階認証をしていても意味が無い
セブンPayの問題点
1.利用登録時?に2段階認証をしていなかった
2.利用登録時に生年月日を登録しなかった場合、「2019/1/1」で登録される
3.パスワード変更に必要なのは電話番号と生年月日。
利用者は生年月日を登録しない場合が多い(=2019/1/1で登録される場合が多い)
よって電話番号のみでパスワード変更が可能な利用者が多くなってしまった
※電話番号はそれなりに公開されているもの。パスワードとは違う。
4.パスワード変更画面のURLを記載したメールの送付先メールアドレスを、
パスワード変更依頼時に指定できた(攻撃者のメールアドレスへ送付できた)
※普通は利用登録時に登録されたメールアドレスへ送付する