セブン・イレブンのオムニ7に脆弱性。攻撃者のメールアドレスへ再設定用リンクを送付されるリスク有り

オムニ7のパスワード再設定画面。攻撃者が任意の送付先メールアドレスを指定可能。

セブン・イレブンが運営するQRコード決済の7Payが公開僅かで不正アクセスの被害に遭い、話題になっている。セブン・イレブンは7Pay提供以前から、オムニチャネル用IDとしてオムニ7を展開していたが、このオムニIDに脆弱性が存在することが明らかになった。

■一定の条件を満たせば、パスワード再設定リンクを攻撃者が受信可能

以下に、オムニ7のパスワード設定画面を示す。通常このようなパスワード再設定画面では「ユーザID」や「秘密のパスワード」等を入力することで、「ユーザの登録メールアドレス」に自動送信されることが一般的だ。

しかし、オムニIDのパスワード設定画面では、「送付先メールアドレス」が設定可能になっている。

オムニ7のパスワード再設定画面
オムニ7のパスワード再設定画面

ここに、もし第三者が自分のメールアドレスを登録すれば、その第三者のメールアドレスにパスワード再設定のリンクが送信され、パスワードを新たに設定し、ログインすることが可能になる。

■実際に可能か、検証してみた

実際に、第三者がパスワード再設定メールを受信可能か、実際に検証してみた。結果は成功。

 1) 「A」というメールアドレスを利用して、オムニIDを新規登録

 2) パスワード再設定用URLへ移動

 3) パスワード再設定用の項目を入力し、「送付先メールアドレスに"B"のメールアドレスを設定

   ※新規登録時とは異なるメールアドレス

 4) 「B」のメーラを起動。オムニ7からパスワード再設定メールが届いていることを確認

 5) パスワード再設定のリンクをクリック

 6) パスワードを変更し、「A」のIDにログイン成功

■実際には生年月日や電話番号といった個人情報を知ってる必要有り

検証は成功したが、実際に試みると簡単には成功しない。実際にはパスワード再設定画面には、生年月日や電話番号を登録する必要が有り、この情報が正しく無ければ、「送付先メールアドレス」にはパスワード再設定のリンクは送付されないからだ。

しかし、簡単では無いものの、その気になれば入手可能な付帯情報でも有る。例えば、生年月日や電話番号を知っている知人や家族なら、これらの付帯情報を推測出来る可能性は高い。また、そういった知人でなくても、フィッシングメール等で比較的入手しやすい情報でも有る。

セブン・イレブンは早急にパスワード再設定の仕様を変更する必要が有るだろう。

■オムニ7利用ユーザが安全性を高めるには?

最も良い方法は、セブン・イレブンがパスワード再設定の仕様を変更することだ。しかし、それには時間がかかるかもしれないし、対策されないかもしれない。

このような状況でオムニ7を安全に利用するなら、以下の2つの方法を提案する。

 1) 会員IDとして、メールアドレス以外を使用する(IDを推測されるリスクを低下させる)

 2) 登録している個人情報をダミー登録する

   例 生年月日を実際の物とは異なる日に設定する

恒久対策としては、セブン・イレブンによる仕様変更となるので、早急な対策を期待したい。