1 名前:サーバル ★:2019/07/12(金) 21:54:11.59 ID:fKPhIUb79.net
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn


引用元:http://ai.2ch.sc/test/read.cgi/newsplus/1562936051
2 名前:名無しさん@1周年:2019/07/12(金) 21:54:28.09 ID:MFJXLXA30.net

こえー


3 名前:名無しさん@1周年:2019/07/12(金) 21:55:02.77 ID:HExiDQx60.net

原発ゼロより在日ゼロ��

在日朝鮮人の居ない綺麗な社会を!>>2

在日ゴキブリ何処にも要らない!❌��‍♂��‍♀

社会を汚すな!寄生虫(在日朝鮮人)!��

在日朝鮮人ゴキブリの居ない豊かな社会を!��

合言葉は「在日ゼロ!」令和の時代にふさわしい!


4 名前:名無しさん@1周年:2019/07/12(金) 21:55:11.57 ID:DuPfZ8xC0.net

(わら

5 名前:名無しさん@1周年:2019/07/12(金) 21:55:17.67 ID:OS6ArDxM0.net

文句しか言えない老害が経営するとこうなるんだね

6 名前:名無しさん@1周年:2019/07/12(金) 21:55:20.23 ID:dO1XGMC80.net

他にもたくさん脆弱性がありそう

7 名前:名無しさん@1周年:2019/07/12(金) 21:55:20.97 ID:HExiDQx60.net





















��

8 名前:名無しさん@1周年:2019/07/12(金) 21:55:21.30 ID:ZXIAnDKr0.net

ゆるゆる

9 名前:名無しさん@1周年:2019/07/12(金) 21:55:31.70 ID:9L40Dcvf0.net

無能すぎる

10 名前:名無しさん@1周年:2019/07/12(金) 21:55:42.11 ID:8qvOdWJg0.net

過去最高の売り上げ達成

11 名前:名無しさん@1周年:2019/07/12(金) 21:55:46.23 ID:1S3E2KM70.net

なんで????

12 名前:名無しさん@1周年:2019/07/12(金) 21:55:53.74 ID:cOirbDBm0.net

だからSuicaに統一しろってあれほど言ってんだろ

13 名前:名無しさん@1周年:2019/07/12(金) 21:56:04.37 ID:GtAsnvwk0.net

2段階認証あってもダメだっただろこれ

14 名前:名無しさん@1周年:2019/07/12(金) 21:56:10.42 ID:JMYCwu3D0.net

ナナコでよくね?

15 名前:名無しさん@1周年:2019/07/12(金) 21:56:27.26 ID:QriurdeM0.net

パスワードってなに?
ってレベルかよ

16 名前:名無しさん@1周年:2019/07/12(金) 21:56:27.32 ID:1x4qMRs70.net

何で頑なにSuicaを広めようとしないわけ?


32 名前:名無しさん@1周年:2019/07/12(金) 21:58:52.46 ID:1GJU+ANp0.net

>>16
スイカを導入しない店
できない店があるからじゃないか?

正直、クレカが使える店なら
スイカもidもグイックペッも要らない


34 名前:名無しさん@1周年:2019/07/12(金) 21:59:01.04 ID:H4Ct5Mvx0.net

>>16
スイカも不正利用されたと訴えてる人いるようだ。
JRは、すらっとぼけて対応してくれないんだってさ。


40 名前:名無しさん@1周年:2019/07/12(金) 21:59:35.75 ID:/y+ojIua0.net

>>16
頑なに広めないってわけじゃないけど、ハードウェアのコストの問題だったような。


75 名前:名無しさん@1周年:2019/07/12(金) 22:02:49.29 ID:9L40Dcvf0.net

>>16
Suicaはポイントではなくて現金だから。


17 名前:くろもん:2019/07/12(金) 21:56:47.98 ID:ZxRTGw+p0.net

Paypayもだけど、ワザとじゃなきゃあり得ない話

18 名前:名無しさん@1周年:2019/07/12(金) 21:56:49.19 ID:kHVdw9qh0.net

セキュリティ関連は有能がいる日経

19 名前:名無しさん@1周年:2019/07/12(金) 21:56:51.90 ID:iXIOV62z0.net

自分のミスと時短営業は認めない
それがセブンイレブン本部

20 名前:名無しさん@1周年:2019/07/12(金) 21:57:03.94 ID:mIWgLcsF0.net

認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

21 名前:名無しさん@1周年:2019/07/12(金) 21:57:22.63 ID:1GJU+ANp0.net

モバイルナナコの残高121円まで減らした
あとは使いきってアンインストールすればいいだけ

クレカの紐つけ解除、できたっけ?

22 名前:名無しさん@1周年:2019/07/12(金) 21:57:25.85 ID:H4Ct5Mvx0.net

ちょwwwwwwwwwwwwwwwwwwwwwwww

悪いこと言わん。早く会社畳めよ。

23 名前:名無しさん@1周年:2019/07/12(金) 21:57:28.29 ID:110Kh34P0.net

felica使えよ
QRつかうバカしね

24 名前:名無しさん@1周年:2019/07/12(金) 21:57:43.99 ID:CooZ4bdD0.net

うちはスリの銀次カード反則にしてたわ

25 名前:名無しさん@1周年:2019/07/12(金) 21:57:48.19 ID:58TkHRvR0.net

どういうことだよマジで

26 名前:名無しさん@1周年:2019/07/12(金) 21:57:51.17 ID:YrA+fYWX0.net

ワロス

27 名前:名無しさん@1周年:2019/07/12(金) 21:58:00.66 ID:5Tbh6WHq0.net

どうやったらこの時代に大企業の大規模運用システムが信じがたいほど低セキュリティに仕上がるんだ?
工業高校の部活にでもシステム発注したの?


45 名前:名無しさん@1周年:2019/07/12(金) 21:59:41.29 ID:XlKgeDd60.net

>>27
大手がノウハウもないのに下請けに丸投げするとこうなる。


28 名前:名無しさん@1周年:2019/07/12(金) 21:58:17.91 ID:2/49BGtN0.net

素人レベル

29 名前:名無しさん@1周年:2019/07/12(金) 21:58:30.00 ID:c/wPEuUD0.net

この仕組みを作った会社は潰れるの?

30 名前:名無しさん@1周年:2019/07/12(金) 21:58:31.67 ID:9brIsEkS0.net

パスワードすら機能してなかったのかよ?!
冗談顔だけにしろよ?

31 名前:名無しさん@1周年:2019/07/12(金) 21:58:35.27 ID:sj2hLr0q0.net

   ..   ...
  現  金  最  強  伝  説


46 名前:名無しさん@1周年:2019/07/12(金) 21:59:48.53 ID:9brIsEkS0.net

>>31
やっぱ現金だよな
国内怖すぎるわ


33 名前:名無しさん@1周年:2019/07/12(金) 21:58:53.85 ID:r7KCaEbe0.net

シナとジャップに狙われるからセキュリティしっかりしろよwwww

35 名前:名無しさん@1周年:2019/07/12(金) 21:59:05.42 ID:uB2L2R9l0.net

もうあきらメロン

36 名前:名無しさん@1周年:2019/07/12(金) 21:59:06.15 ID:R3gP4m/b0.net

在日「カムサハムニダ」

38 名前:名無しさん@1周年:2019/07/12(金) 21:59:31.56 ID:XrxftLoC0.net

これがジャップランドの技術なんだよなぁ
世界に誇る技術の日本(笑)

39 名前:名無しさん@1周年:2019/07/12(金) 21:59:33.69 ID:9c5ioHwG0.net

オーナーとの揉め事についてはちょっと同情的に見てた面もあったけどこれはワロタ

41 名前:名無しさん@1周年:2019/07/12(金) 21:59:37.38 ID:iU4b2vhM0.net

アニョハセヨ

42 名前:名無しさん@1周年:2019/07/12(金) 21:59:39.95 ID:mxa6bVaY0.net

セキュリティ専門家がこういうのを調べるのはなんで不正アクセスにならんの?


73 名前:名無しさん@1周年:2019/07/12(金) 22:02:46.70 ID:H4Ct5Mvx0.net

>>42
その会社から依頼があって調べる場合は大丈夫なんだろ?
知らんけどw


43 名前:名無しさん@1周年:2019/07/12(金) 21:59:39.98 ID:wLkWE7RV0.net

変なところは凝ってるのにな
別のところはガバガバってのもおかしな話に見えるけど

44 名前:名無しさん@1周年:2019/07/12(金) 21:59:40.31 ID:vX0IaZm/0.net

そしてバイトまで捕まった

47 名前:名無しさん@1周年:2019/07/12(金) 21:59:53.86 ID:spE+LT4F0.net

まだサービス停止してないの恐ろしすぎる

48 名前:名無しさん@1周年:2019/07/12(金) 21:59:57.72 ID:fTiVtyEs0.net

>>1
7pay おわたーーー!!ε=ε=ε=ε=ε=ε=┌(; ̄◇ ̄)┘

49 名前:名無しさん@1周年:2019/07/12(金) 21:59:59.08 ID:UlxCj9gE0.net

>>1
>外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
なんじゃそりゃああああああああああああああ!

50 名前:名無しさん@1周年:2019/07/12(金) 22:00:08.35 ID:l/3UIVff0.net

ソフトウェア後進国のニッポンにはITは早いのでは?

51 名前:名無しさん@1周年:2019/07/12(金) 22:00:18.50 ID:sM0KXSsb0.net

でも、止めません

52 名前:名無しさん@1周年:2019/07/12(金) 22:00:24.57 ID:uf+YKbr10.net

途中で仕様が変わって結構なデスマーチスケジュールだったらしいね
ご苦労様で

53 名前:名無しさん@1周年:2019/07/12(金) 22:00:33.03 ID:hRlTVeli0.net

雑誌の付録CDの入ってるサンプルコードそのまま使ってももっとマシなシステム組めるだろ

55 名前:名無しさん@1周年:2019/07/12(金) 22:01:12.62 ID:Jcb3MVSb0.net

nanaco不要になってくるわけだけど、昨日進出した沖縄ではnanacoの新規入会いっぱい来たみたいね

56 名前:名無しさん@1周年:2019/07/12(金) 22:01:18.05 ID:EbEPPkIwO.net

ほら まだまだ出てきたろ?
早よ畳んだ方がいいよって会見後に言ったのにね

57 名前:名無しさん@1周年:2019/07/12(金) 22:01:18.89 ID:BWVRKy+B0.net

appleみたいだな

60 名前:名無しさん@1周年:2019/07/12(金) 22:01:27.41 ID:qRvhtVkX0.net

Nって聞いたけどホント?

61 名前:名無しさん@1周年:2019/07/12(金) 22:01:30.26 ID:CaxPr1bT0.net

>>1
グダグダだな… 一度停止して見直したら?

62 名前:名無しさん@1周年:2019/07/12(金) 22:01:35.51 ID:bjT9XKL20.net

どこに委託して作ったんだ

63 名前:名無しさん@1周年:2019/07/12(金) 22:01:37.38 ID:NvWz7ZbF0.net

なんでこんなことが起きてるんだ

64 名前:名無しさん@1周年:2019/07/12(金) 22:01:46.81 ID:8oHKHZ4S0.net

システム担ったとこどこだよ
セブンやそこが上位にいる限り日本に蓋し続けるわ

66 名前:名無しさん@1周年:2019/07/12(金) 22:02:00.39 ID:qk1+8GaN0.net

ハッシュ化済パスワードから平文を復元てそんな簡単じゃないだろ

67 名前:名無しさん@1周年:2019/07/12(金) 22:02:01.38 ID:yuiapMVO0.net

今までnanaco運用してて、よくセキュリティ守れてたな 外注してたのか

68 名前:名無しさん@1周年:2019/07/12(金) 22:02:05.91 ID:5SuMbAbU0.net

俺が最近、初めて作ったシステムの方がよっぽど強固だわなw

69 名前:名無しさん@1周年:2019/07/12(金) 22:02:10.37 ID:v3Lg10ln0.net

もうすぐ大本命のAppleカードが出るから
安心して待てばいい

70 名前:名無しさん@1周年:2019/07/12(金) 22:02:19.84 ID:znCboA+w0.net

もう、全面停止しろよ

71 名前:名無しさん@1周年:2019/07/12(金) 22:02:26.15 ID:l/3UIVff0.net

問題を起こしてるomni7の開発はこの4社

・NTTデータ
・NEC
・NRI
・Oracle

いつもの2社が入ってる…

72 名前:名無しさん@1周年:2019/07/12(金) 22:02:39.06 ID:qkGU9zGW0.net

専門家から「何が問題なのかわかってないのが問題」とは言われてたが…

74 名前:名無しさん@1周年:2019/07/12(金) 22:02:48.53 ID:nCd3oGU6O.net

フランチャイズでぼったくった金を
こんなドブに捨てるようなシステムにぶっこんだのか

76 名前:名無しさん@1周年:2019/07/12(金) 22:02:54.53 ID:Pf/466iI0.net

色んな人のクビが飛ぶんだろうな・・・
ようやくデスマから開放されたであろう人たち、大丈夫かな

77 名前:名無しさん@1周年:2019/07/12(金) 22:02:59.09 ID:1+XzQ0ru0.net

すげーwww

78 名前:名無しさん@1周年:2019/07/12(金) 22:03:05.27 ID:qRvhtVkX0.net

7pay「7/11なんやから何がなんでも7月11日までにリリースしろや!」

ってホント?

79 名前:名無しさん@1周年:2019/07/12(金) 22:03:06.81 ID:qLubFwsB0.net

頭おかしいんじゃねえの?

80 名前:名無しさん@1周年:2019/07/12(金) 22:03:07.88 ID:inSz6BCA0.net

キャッシュレス社会w