デジタルトランスフォーメーションの7つの事例をこちらの記事で紹介しています

オムニ7の脆弱性が発覚!被害に合わないための対策手順と炎上の原因まとめ

オムニ7の脆弱性が発覚!被害に合わないための対策手順と炎上の原因まとめ

プロジェクトファシリテーターのじゅんです。

Twitterを見ていたら オムニ7 がトレンド入りしていたのでなんとなく検索して見てみると
脆弱性問題が発覚してその対応に問題があるとして、炎上していました。

私なりに炎上のポイントなどをまとめてみましたので参考にしてください。
また、オムニ7のアカウントを持っている場合の現時点(2019/07/04)での暫定的な対策方法も書いています。

スポンサーリンク

オムニ7の脆弱性問題とはなにか?

セブン・イレブンのオムニ7に脆弱性。攻撃者のメールアドレスへ再設定用リンクを送付されるリスク有り https://news.yahoo.co.jp/byline/ohmototakashi/20190704-00132772/

7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点
https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/

メールアドレスと生年月日を知っているだけで、パスワード再発行をすればアカウント乗っ取りができてしまいます。
更に生年月日を未設定の場合、システム上では「2019/01/01」と設定されるようなのでさらにまずい状態なのがわかります。

アカウントが乗っ取られると

クレジットカードを登録していれば、オムニ7上で自由に買い物をされます。そして、クレジットカード情報を奪われて不正利用されます。nanacoポイントなどがあればそれも使われます。

個人情報もあるので、住所、電話番号、その他もろもろの情報
ギフト注文などもできるので、自分以外の個人情報
記念日メール登録なんてのもあるので記念日なんかもわかってしまいます。

つまり登録されている情報が盗まれてしまうというわけです。
盗まれた後は、煮るなり焼くなりされて情報の不正利用が待っています。

私たち利用者は被害に合わないためにまず何をしたらよいか

脆弱性の問題が発覚し対策をしてから、さらに炎上していくわけですが、その前に私たち利用者は被害に合わないために何をしたらよいかを

2019/07/04時点の対策です。今後システムが改善され、仕様変更の可能性があります。

1.利用しないなら退会する

近くにセブンイレブンがなかったり、オムニ7以外のネットショップを使っているのであれば退会するのもありだと思います。
しかし、簡単に退会は可能ですが、どうしても欲しいものだったり利用したいサービスがある場合は、
退会ではなく、以下の対策も有効です。

2.クレジットカード情報を削除して代引きや店舗支払いにする

まずは一番の問題は乗っ取られた時にクレジットカード情報を使って勝手に買い物をされたりする
不正利用を防ぎたいです。

そのためにはクレジットカード情報削除して、代引きや店舗受取りにするようにしましょう。

3.会員IDを設定する

利用頻度が高く、代引や店舗受取りもちょっと。。。という方は、この対策が有効です。
いずれにしても、オムニ7の利用を続ける方はこの設定はしておいたほうが良いです。

手順

オムニ7にログインする
https://www.omni7.jp/account/service/logininfo/

ホーム>会員サービス(マイページ)>ログイン情報の確認・変更ログイン情報(メールアドレス・会員ID・パスワード)
画面に移動する

会員IDの変更を選択して任意の文字列に設定する
このとき、メールアドレスの文字列を使用しないこと!

これでとりあえずは防げるはずです

オムニ7側はこの脆弱性に対してどんな対策をしたか

では、話を戻して先程の脆弱性に対してオムニ7側はどのような対策をしたのでしょうか?
炎上のきっかけとなったツイートを見てみましょう。

私自身も実際にブラウザをみて確認済みです。

プログラムがわからない方のために日本語訳を用意しました。
細かくいうと多少ズレている部分はありますがニュアンスはこんな感じです。

表形式になっている(table.u-tableForm)
部分の(tbody tr)
最後の行を(last-child)
非表示にする(display:none;)

ということになります。
この修正方法では、ブラウザに表示される見た目上非表示にしただけなので問題となっている機能に関しては、まだ存在しているということになります。

この対策の何がヤバイか

単にWebサイトを利用しているだけではわかりませんが、Webサイトを作成した経験があったり、ちょっと知識のあるだけで、すり抜けられるので対策としてはイケてないです。

アカウント乗っ取りを考えるような攻撃者のITリテラシーがあれば、この程度の対策は何の障壁にもなってないので、対策前とほぼ変わらずにアカウント乗っ取りができてしまいます。

オムニ7側の技術面・対応面に不信感を抱いたユーザーが退会ラッシュ

暫定対策ではあったと考えられますが、前述の対応がまずかったです。

こんな初心者的な対策をするような、セブン&アイ側の技術者やシステム運営大丈夫か?という流れになったのです。

実際に先ほど説明したような具体的な脆弱性の内容や対策をすれば大丈夫といった情報を見る前に、

なんとなくヤバそう
退会しとくか

こんな対応する会社のサービスは使ってられない!

という形で退会ラッシュになっています。
この話題がどこまで大きくなるかはわかりませんが、大きくなればなるほど退会が相次ぎ、事業への影響がでてくる心配があります。

さらには、7Payの不正チャージによって30万円の不正利用の被害まで出てきているようです。

オムニ7は比較的新しいサービスなので、まだまだこれからの事業です。
7Payという決済サービスも開始され、これからというときのこの炎上でした。
動向を見守ります。

インシデント対応はどんな企業でも必要

今回のオムニ7の脆弱性問題に対する対応はプログラムを修正した技術者だけの問題ではないはずです。
技術者数人の判断でシステムを修正することは考えにくいので、事象の報告から修正方針、今後の計画などを承認した上でリリースされているはずなので、組織としてのガバナンス強化の必要もでてきます。

また、今回のような事象をインシデントと呼称して企業内では対応することが多いです。
インシデント対応は、システム修正だけではなく、原因・影響範囲の特定、顧客への説明、システム対応と多岐にわたります。

インシデントは突然発生するので、防災訓練のようにどの企業でも事前に対策をし、態勢を整えておく必要があります。
システム構築や情報処理のことはわからないとは言ってられず、IT技術者以外のITリテラシー向上がとても重要になってきます。

投稿者プロフィール

じゅん
じゅんプロジェクトファシリテーター
フリーランスのITコンサルタント として、CIO代行サービスで多くの企業をサポートしています。
企業のIT戦略 立案・実行支援を行い、
ITを活用した情報システム の導入・マネジメント支援しています。
IT利活用 に関して気軽な相談から経営に関わる支援まで幅広く受け付けています。

普段私が仕事をする時にお客様やプロジェクトチームの方々に実際に話している内容をたくさんの方々に届けます。

DX(デジタルトランスフォーメーション)が好きすぎるので「DX王子」と呼ばれています。

フリーランス協業パートナー(PMO、ITコンサルタント)を募集しています

CTA-IMAGE 弊社代表はフリーランスとして大手SIer、国内外大手コンサルティング会社とのプロジェクトを多数行ってまいりました。現在、お答えできないほどの支援依頼が来ている状態です。 そこで、お客様のプロジェクト推進を支援していただくために協業パートナーを募集中です。 当社に依頼のある案件は、コンサル案件、PM/PMO案件が中心です。(一部ITエンジニアリング案件もあり) DX、システム導入、BPRなどさまざまな目的のプロジェクトを成功に導くために適切に管理し、推進していくためにPMOとして支援していただきます。 単にプロジェクトメンバになるだけでなく、プロジェクト推進の中心的存在になり自ら推進していただきます。

セキュリティカテゴリの最新記事