ブログ

Blogs

7payのパスワード全員変更対応は遅すぎる

7pay事件から1か月近くがたち、チャージを止めて事実上停止していた7payに動きがあった。 7iD会員約1650万人全員に、パスワードの変更を強制したのだ。 複雑なパスワードが設定されるようにルールも変更し、英大文字小文字、数字、記号などを含む長いパスワードが要求されるようになった。

これまでの経緯を解説した新聞記事によれば、 「まずはパスワードリセットにより安全性を確保し、原因究明やセキュリティー対策を続ける。」という方針らしい。しかし、騒ぎになってから1か月近く経つタイミングにおけるアクションとしては遅すぎる。これはそもそも、被害が確認できた時点ですぐ対応すべきことだった。

実際にパスワードを変更してみて、omni7からの通知を見たら、7月4日に自主的に変更したときと全く同じ文面のメールが届いた。omni7の認証系全体には、まだ手が着いていないようだ。問題とされたOAuth認証による「他のサイトIDでログイン」もまだ生きている。表に見えるところなど、できるところから早急に修正に着手したほうがいい。

まだチャージは止まったままだから、7payは実質的に使えない状態が続いている。しかし、omni7側の穴をもっとしっかり塞がないと、「全員のパスワードを強制変更したけれど、また攻撃されてしまった」ということになりかねないと思う。