※アドブロック等の広告非表示プラグインやアドオンを利用している場合、一部のコンテンツが表示されなくなったり、サイト全体のレイアウトが崩れたりする場合があります。

セブンペイの不正アクセス問題、なんと基本情報技術者試験に同様の問題が・・・

1: 名無しのニュー即 2019/07/05(金) 18:17:28.33

基本情報技術者平成28年春期

午前問40

Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。

ア・あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。

イ・あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。

ウ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。

エ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
https://www.fe-siken.com/kakomon/28_haru/q40.html

7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます
https://twitter.com/aka_pencil/status/1146752497400205312



名無しさんのおすすめ

155: 名無しのニュー即 2019/07/05(金) 18:44:20.94
>>1
これシステム作った下請けの身元を洗った方がいいだろう
下請け内部に中国人の技術者かなんかがいてわざと穴を作った可能性とかないんかな?
サービス開始から攻撃までの一連の手際が良すぎる気がする

163: 名無しのニュー即 2019/07/05(金) 18:45:28.99
>>155
その昔パチスロのプログラムでだな・・・

187: 名無しのニュー即 2019/07/05(金) 18:48:01.44

>>1
推測困難なURL
現パスワードを送信

どちらもメールアドレスを暗号化しないと同じ事だよね?

198: 名無しのニュー即 2019/07/05(金) 18:49:34.64
>>187
メールを暗号化

224: 名無しのニュー即 2019/07/05(金) 18:54:22.40
>>1
答えはイ?

227: 名無しのニュー即 2019/07/05(金) 18:54:47.86

>>1
ウとエは、新しいメルアドの時点で駄目駄目
アだと、同一の回線(同一人物)がパスを設定できたのかの確認が出来ないしな

たぶんこれ
7payが外注で出したシステムで更に孫請けとかで中華企業にいって
そこで新しいメルアドという杜撰なパス変更システムにしたんだろうな

261: 名無しのニュー即 2019/07/05(金) 19:01:00.34
>>227
コンビニ利用者には想像を絶するDQNも居るから
複雑にしちゃダメとにかく簡便にって楽な方に流れるんじゃないだろうか

289: 名無しのニュー即 2019/07/05(金) 19:06:33.09

>>261
新しいメアドを用意させる方、本人だとすると
旧メアドではなくスマホで新メアドでやる事になって、先ず自分のメアドを新しくする手順が入り複雑になるだろ
何言ってんだ

プレゼンで、新メアドを用意させる方が一段階手順が入る事で複雑になります
セキュリティは複雑なほど安心です^^
とやったとしか

317: 名無しのニュー即 2019/07/05(金) 19:11:17.58
>>289 ウ、エは
>新たにメールアドレスを入力させ,
なのだからそこに改めて今使ってるメアドを入力すれば
新しいメアドなんて不要

358: 名無しのニュー即 2019/07/05(金) 19:19:24.99

>>317
ちなみに君は、今使用しているメルアドにパス変更をする為のURLが自動で送信されるのと
メルアドを自分で打ち込む作業という一段階手順がはいるのと、どっちが複雑だと思う?

後者の方は、メルアドを入力するという一段階の手間が入るので、見た目複雑になっている
一見すると複雑にしているので、プレゼンで複雑にすればセキュリティも向上します、という詭弁が使える

しかし、その文言だと新しいメルアドを入力する事が可能なのでセキュリティ的には糞で駄目だ
むしろ、君の言うようにDQNに合わせて複雑にしない手続きなら前者になる

307: 名無しのニュー即 2019/07/05(金) 19:09:30.43
>>1
中国で起こっている隙間を破ってお金を奪い取る行為を日本のエンジニアが知らないわけがないのに
どうしてその部分を補う結果にならないのですか?

2: 名無しのニュー即 2019/07/05(金) 18:18:18.06
日本企業のサービスだけ狙われる

4: 名無しのニュー即 2019/07/05(金) 18:18:26.73
もはやわざととしか思えん

11: 名無しのニュー即 2019/07/05(金) 18:21:14.11
>>4
7payは駄目だ

196: 名無しのニュー即 2019/07/05(金) 18:49:13.06
>>4
わざとに決まってんだろw

5: 名無しのニュー即 2019/07/05(金) 18:18:28.11
どうやったらそうなるんだよ

6: 名無しのニュー即 2019/07/05(金) 18:18:51.77
セブン「エ」

7: 名無しのニュー即 2019/07/05(金) 18:19:33.97
誰も止める人や進言する人はいなかったのかな
なんでここまでの酷いことが放置されてサービス開始までいっちゃうんだろう

8: 名無しのニュー即 2019/07/05(金) 18:19:57.86
何の役にも立たない糞みたいな常識テストだと思ってたが
常識がない奴には為になる知識なんだな

9: 名無しのニュー即 2019/07/05(金) 18:20:08.37
その名の通り、基本的なことすぎるんで過去問にあるわな

10: 名無しのニュー即 2019/07/05(金) 18:20:51.89
もうわざとだろこれ

12: 名無しのニュー即 2019/07/05(金) 18:21:16.02
大体イだよな

13: 名無しのニュー即 2019/07/05(金) 18:21:34.22
情報セキュリティの素人が設計したな

181: 名無しのニュー即 2019/07/05(金) 18:47:38.07
>>13
顧客の要件通りですが何か?

197: 名無しのニュー即 2019/07/05(金) 18:49:18.32
>>181
これだなw

14: 名無しのニュー即 2019/07/05(金) 18:21:43.73
情報処理機構の中の人だってWinnyつこうてるんですよ

15: 名無しのニュー即 2019/07/05(金) 18:21:45.52
ザルだなあ

17: 名無しのニュー即 2019/07/05(金) 18:22:05.91
基本情報ってこんな問題なのかー

235: 名無しのニュー即 2019/07/05(金) 18:55:39.76
>>17
国語の問題と言われている

19: 名無しのニュー即 2019/07/05(金) 18:23:16.07
セブンのエンジニアは基本情報レベルてすらないのかよ

35: 名無しのニュー即 2019/07/05(金) 18:26:31.61
>>19
そうゆうことになるなw基本的なことを忘れているわw

20: 名無しのニュー即 2019/07/05(金) 18:23:20.28
反社にキックバック貰って作ったんじゃないの

23: 名無しのニュー即 2019/07/05(金) 18:23:54.24
素人の俺が考えてもイしかない

25: 名無しのニュー即 2019/07/05(金) 18:24:10.73
IT後進国日本 韓国よりはるかに遅れてるのに韓国に制裁すれば10倍返しになるのは目に見ええてるわな

26: 名無しのニュー即 2019/07/05(金) 18:24:30.07
バーコード決済を煽る報道といい
このハッキングの仕込みとしか思えないな。

29: 名無しのニュー即 2019/07/05(金) 18:24:42.72

裁判になっても

会社側が負けるよ。
酷いシステムだ。

素人以下。
こんなシステムを作ったSI企業名どこだ?

公表するべき。

32: 名無しのニュー即 2019/07/05(金) 18:25:42.36
う~ん一番簡単そうなのはウ!

33: 名無しのニュー即 2019/07/05(金) 18:26:06.05
へぇ~基本でも今そんなのでるのか
まぁこの時代だから当然なんだろうが

34: 名無しのニュー即 2019/07/05(金) 18:26:12.51
「イ」でFA?

41: 名無しのニュー即 2019/07/05(金) 18:28:02.69
うーん、イかな

49: 名無しのニュー即 2019/07/05(金) 18:28:58.61
開発を担当した会社名は?

50: 名無しのニュー即 2019/07/05(金) 18:29:04.18
ア、の会社が未だにある
パスワード平文で送ってくんなや

52: 名無しのニュー即 2019/07/05(金) 18:29:19.02
つまり流出までがセットということか

54: 名無しのニュー即 2019/07/05(金) 18:29:31.94
基本情報技術者でも情報セキュリティは必須問題だからな

63: 名無しのニュー即 2019/07/05(金) 18:30:47.94
セブンPAY
行政処分で
ショブンPAY

89: 名無しのニュー即 2019/07/05(金) 18:36:03.02
信じられないだろうけど大手でもこの程度のリテラシーだよ

93: 名無しのニュー即 2019/07/05(金) 18:36:27.31
試験、意味無い説

99: 名無しのニュー即 2019/07/05(金) 18:37:36.52
レベルが低すぎて何も言えねぇ

104: 名無しのニュー即 2019/07/05(金) 18:38:08.36
基本情報技術者試験であれば
毎回似たような問題が出るであろう

115: 名無しのニュー即 2019/07/05(金) 18:39:18.81
けけろケロッケロッいーじー

121: 名無しのニュー即 2019/07/05(金) 18:40:22.91

カ.パスワードを忘れた場合、パスワードは入力しなくてもいい

正解はこれだろ。便利だし。

124: 名無しのニュー即 2019/07/05(金) 18:40:54.11
今時、ITパスポートにすら出るような問題だわ

125: 名無しのニュー即 2019/07/05(金) 18:40:58.05
わざとだろ

126: 名無しのニュー即 2019/07/05(金) 18:41:02.35
711の丸投げの成果だね

133: 名無しのニュー即 2019/07/05(金) 18:41:40.86
セブンイレブンの担当も
受注会社の担当も
解雇かアラスカへ異動だよなぁ

135: 名無しのニュー即 2019/07/05(金) 18:42:04.92
俺セブンペイに就職したい

137: 名無しのニュー即 2019/07/05(金) 18:42:20.29
社長のなんも知らん顔が哀れで仕方ない

158: 名無しのニュー即 2019/07/05(金) 18:44:42.03
セブン「エ」
利用者「え?」
セブン「え?」

172: 名無しのニュー即 2019/07/05(金) 18:46:09.61
こんな事しといて逮捕されないのはおかしい

【FE】7payの脆弱性、基本情報技術者試験に同様の問題が
元スレ:http://asahi.5ch.net/test/read.cgi/newsplus/1562318248/