_ えーと、7-11 が盛大にやらかした件について、いろいろデマが飛びかってたようで。 社長が SMS と SNS の区別がついてなかったとか、 7/11 に再開できるようベンダーのケツを叩いてるとか。まあ、後者はもし万が一デマじゃなかったとしてもハイそうですなんて答えるわけないんだが。
_ で、デマなのにいまだ否定されていないものがもうひとつある。つーか大手メディアもがんがん流布してる。いちおう 日経ビジネスがそれを示唆する記事を上げてるけど、それ以上に踏みこんだ記事がいつまで待っても出てこない。
_ 具体的には、「パスワードリマインダの脆弱性が悪用されてアカウントを乗っ取られた」というデマ。まず断わっておくと、リマインダの作りが雑で、乗っ取られる危険性が高かったことは否定しない。が、その危険があったからといって、今回の事件で実際にそれが利用されたとはかぎらない。もちろん、利用されていたとしてそのとおり報道されるとはかぎらないんだけど、 実際に被害にあった方が違うと言ってるし、当事者の証言以外からもさまざまな状況証拠から否定できる。
_ 被害にあわれた方に取材した NHK 記事、 被害にあわれた別の方の tweet。どちらも不正利用された履歴画面のキャプチャがある。第三者にパスワードを変更されたなら、以後本人は変更後のパスワードがわからずログインできなくなって履歴も見られないはず。それなのに履歴画面をキャプチャできるということは、つまり不正利用された後もパスワードは変更されていないということ (*1)。
_ それから、リマインダによるパスワード初期化は、新たに送るアドレスだけでなく、元の登録アドレスにも通知を送っていたとのことなので( 参考)、リマインダが利用されていたなら被害者にはまず最初にこのメールが届いていたはず。が、先の NHK 記事ではその後に届くはずのクレカへのチャージ通知で異変に気付いたとなっている。届いたときに見落としていたとしても、届いていたなら後から見つけるだろうし、見つけたならそれに触れないのは不自然。twitter 上で被害にあったという人をほかに探してみても、誰ひとりリマインダからのメールに触れていない。
_ アカウントを乗っ取られた人は、実際の金銭被害を受けた人よりも多いはず。なぜなら、無料おにぎりのためにユーザ登録しただけでクレカ情報が未登録などの理由で、犯人が乗っ取ったものの利用に適さないとみなしたアカウントが存在するはずだから。リマインダが利用されていたなら、パスワード初期化通知が届いた、パスワードが変更されてログインできなくなった、というユーザが不正利用されたユーザ以外にも相当数存在するはずなのに、twitter 等ではそういった声がまったく見られない。
_ それから、ログインパスワードとは別にクレカからのチャージ用に別のパスワードが存在するが、 チャットサポートからかんたんに初期化できたらしい。が、こちらも実際に使われた方法ではないだろう。パスワード初期化作業は担当がチャットボットから人間にスイッチしてたらしい( 参考)。しかしアカウントひとつふたつ程度ならともかく、900人ものアカウントのチャージパスワード初期化要求が短時間に押し寄せたらサポート担当者の手が回らんし不審に思われてしまう。仮にそれをおかしいと思わない無能サポートだったとしても、のんびり人力でパスワード初期化作業を消化しているうちに、最初の方に初期化されたユーザが認証に失敗して異変に気付いてしまう。で、 被害を受けた方はこちらも否定している。
_ 第三者によるパスワード変更は本来の持ち主を締め出すことになるので異変に気がつかれやすい。「あれ、なんでログインできないんだろ」という問い合わせがサポート窓口に殺到したり、twitter などで不審の声を上げる人が増えれば警戒されることになる。犯人にとってアカウント乗っ取りは目的ではなく金銭を得るための手段にすぎない。大量にアカウントを乗っ取り、出し子を組織し、警戒が手薄なうちに集中的に買い物をしなければならないのに、パスワード変更のような初期の準備段階で露見しやすい手法は適さない。
_ ということで、パスワードリマインダ経由での乗っ取りはデマだと思うんだけど、メディアでもこの説を支持しちゃってるところがあるのはどうしてなんですかね。実際に穴があるのは事実なのでこれに触れるなとは言わないけど、せいぜいがんばっても「リマインダに問題点が指摘されているが、事件との関連は不明」程度の言及しかできないはずだと思うんだけど。
_ 最後に、パスワード変更じゃないならどうやってアカウントを乗っ取ったのか。まず考えられるのは、正規のパスワードでログインする方法。ただ、使い回しでないパスワードでも乗っ取られたという証言もあるのようなので、過去に別のサイトから流出したリストによる攻撃とはかぎらない。どうにかして認証用 DB に侵入して中身を奪ったりとか、被害者のスマホに事前にキーロガー的なマルウェアが仕込まれていてユーザ登録時の情報が漏れたとか。あるいは、認証バイパスの脆弱性があった、つまり2段階どころか0段階認証だった可能性。このうちのどれが正解なのか(それともどれでもないのか)はわからないけど、場合によってはパスワードリマインダの穴とは比べものにならないほど深刻な可能性もある。リマインダがダメダメだと叩くのはかまわないんだけど、そこで止まらずその先の事態を想定しておいた方がいいと思うよ。
