ITジャーナリストの三上洋さんの指摘のとおり、パスワードを新たなメールアドレスに送付できるしくみになっている7Payは基本的なミスであることを認めなければならない…。
この発想そのものが完全に思考停止…。
脆弱性ではなく、チェックミス…。
誰も責任者がいない弊害だ…。
□7payは複数のパートナー企業と共同開発したという。セキュリティ審査の詳細は不明だが、そもそも「明らかに問題がありそうな仕様・設計」について、現場担当者レベルで誰も気付かなかったのかという疑問は残る。
□そもそも、なぜ「登録時と別のアドレスでパスワードリセットできる仕様」にしたのか。清水執行役員は、PCから(パスワードリセット)操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った、と説明した。
□「パスワードリセットの問題については対応中。ユーザーの利便性を考えながら、改善した方がいい部分については改善していく」(清水執行役員)https://www.itmedia.co.jp/news/articles/1907/04/news113_2.html
なぜ?7Payはこんな基本的なことが理解できていなかったのか?
7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった。 —- 平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com https://t.co/QLaaWveRUV
— Naoya Hatayama (@ApplePedlar) July 4, 2019
基本情報技術者 平成28年度春気 午前問40 より
https://www.fe-siken.com/kakomon/28_haru/q40.html
基本情報技術者試験の受験者数と合格率の推移
平成31年 合格率22.2%
基本情報はITエンジニアのスタート地点
基本情報技術者試験の対象者像は「高度IT人材となるために必要な基本的知識・技能をもち、実践的な活用能力を身に付けた者(IPA公式より引用)」とされており、ITエンジニアとしてのキャリアのスタートラインに位置づけられた試験です。これからITエンジニアを目指す方はITパスポート試験に留まらず、ぜひ基本情報技術者までの取得を目標としてみて下さい。
https://proengineer.internous.co.jp/content/columnfeature/3749