7iDのパスワード再発行がセキュリティ的に最悪な件：パスワード変更しても無意味な状況（会見後追記）

追記：酷い記者会見と無意味な対策

今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。

• 二段階認証をまともに理解していない？
• チャージと登録を停止するが、決済は停止しない
• 補償はするとは言ったが、方法などはまだ未確定

もうさっさとサービス終了したほうが今後のためじゃないですかね。

パスワード再発行の件は対策した（風にみせかけ）

何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。

なので、下記の会員IDの変更などは早急に行ってください。

また、7pay使ってなくてもセブン＆アイ関連で7ID使用している人は全員今回の問題の対象となっているので、いま一度確認を。

アカウント削除する人へ

もうこんなサービスのアカウントは削除したいって人も居ると思います。でもアカウント削除した場合、同じメールアドレスが登録できない仕様になっています。

同じメールアドレスが登録できないということはデータベースに保持しているということなので、別のメールアドレスに変更してからアカウント削除することをおススメします。（と言ってもデータベースから消えたという確証は得られませんけどね。）

１）クレジットカード情報の削除
２）メールアドレスを別の捨てアドなどに変更
３）アカウントの削除

上記に手順で行うことで、少しは情報を残さないでおくことができるかもしれません。

—以下元記事—

今7payの不正利用の話が広まってますが、そもそも原因として出ていたのが7iDのパスワード再発行がセキュリティ的に最悪なこと。

そもそもパスワード変更なんてしても意味が無い状態になっているんです。

パスワードを忘れた場合 | omni7（7payなどで登録した人用）

生年月日とメールアドレスはわかります。で、最後の「送付先メールアドレス」

これ、要は登録していないアドレスにもパスワード再発行アドレスが送れてしまうということ。

自分は元々オムニ7から登録したので以下の再発行ページから試してみました。こっちは「会員ID」となってますが、要はメールアドレスです。

パスワードを忘れた場合 | omni7

結果として、登録してないアドレス宛にもパスワード再発行メールが届きました。下の「+hack」と付けているのがそれ。

これじゃ、どんだけ強固なパスワードを設定しても、メールアドレスと生年月日（もしくは＋電話番号）がわかればアカウント乗っ取り放題ですね。さっさと何とかしてください。

iOS版アプリは生年月日が必須でない上に…

さらに信じられないことを知ったのですが、iOS版アプリは生年月日登録が必須でないようです。

その上、入れてない場合は2019年1月1日が生年月日として内部的に設定されるとのことで、最早メールアドレスだけわかれば他人がパスワード再発行出来てしまうことに。

会員ID（メールアドレス）の変更を

パスワードに関しては再発行されたら意味が無いので、早急に会員IDを変更することをおススメします。

誰にも教えていないメールアドレスを作成するか、Gmailならエイリアス（「[email protected]」なら「[email protected]」でも同じメールボックスで受信可能）を設定などして対策を。

アカウント情報変更してもログアウトされないアプリ

アカウント情報変更して、ログイン情報を変えたにも関わらず、セブンイレブンアプリはログインしっぱなし。自動でログアウトされないみたいです。

もし既にパスワード再発行メールが届いてしまった人、もうアカウント消すしかどうしようもないかもしれません。