7iDパスワード一斉リセットについて

株式会社セブン&アイ・ホールディングスは7月30日、「7pay」不正アクセス対策として、全利用者に対して「7iDパスワード」の一斉リセットを実施しました。


このリセットにより、全ての利用者がパスワードの再設定を行う必要があります。
再設定するパスワードの要件を変更し、英字の大文字、小文字を必ず1文字は使用し、かつ数字か記号を含めた9文字以上の組み合わせとしています。


これにより、パスワードの使い回しを防ぐことができるとの報道がありましたが、この条件の場合英数字のみでパスワードを設定することが可能であるため、不十分と思われます。(英数字+記号も必須とすべきであると思います。)
また、パスワードリセットは、従来は不正アクセスのあった利用者のみとしていることが多く、全利用者というのは万全にとの思いはあるにしても、影響範囲が大きすぎると感じます。
また、不正アクセスの原因がまだ明確になっていない状況での全利用者のパスワードリセットは、ちょっとどうなのかなと考えてしまいます。

現に、再設定にて7payの残高やバッチが無くなったとの声が出ているようです。
検証できないためあくまでも仮定ですが、他サイトのIDで利用していた方は7iDを登録する形になり、その手順で新規登録となってしまったかもしれません。または実際に不具合があったかもしれません。

パスワード再設定を行う場合には、手順の説明通りに、新たなパスワードの設定を行うことが大事になります。

そのほかの要因があるかはまだ不明であるため、この問題はもう少し注意して見ていく必要があると思います。