1 名前:trick ★:2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。

Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg

https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg

https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg


先ほどの3枚の画像で非常に重要なのは、2枚目だ。

この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。


// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」


引用元:http://ai.2ch.sc/test/read.cgi/newsplus/1563273464
2 名前:名無しさん@1周年:2019/07/16(火) 19:38:19.97 ID:y7VVA+qe0.net

昭和レベルだな・・・

3 名前:名無しさん@1周年:2019/07/16(火) 19:38:48.29 ID:azkZ/5640.net

w


バブリーなシステムだなw

5 名前:名無しさん@1周年:2019/07/16(火) 19:39:23.10 ID:e4Wu+JWu0.net

トークンの宝石箱や

6 名前:名無しさん@1周年:2019/07/16(火) 19:39:32.92 ID:cowi42XW0.net

本当はサービス停止しないといけないけれど、トップが無能すぎてそれすら分からない状態。
深刻だ。


25 名前:名無しさん@1周年:2019/07/16(火) 19:42:06.80 ID:uvCqjrwX0.net

>>6
しゃちょう『とーくん?誰が得するんだ?』


7 名前:名無しさん@1周年:2019/07/16(火) 19:39:49.08 ID:IRJQN1Bn0.net

20年前に作られたのかこれ?

8 名前:名無しさん@1周年:2019/07/16(火) 19:40:06.31 ID:ki28vRxb0.net

外部連携してなけりゃセーフ?


22 名前:名無しさん@1周年:2019/07/16(火) 19:41:47.48 ID:10C+2APj0.net

>>8
パスワードなしでもログイン可能
他人がアクセスして勝手にパスワードとメアド変えられる

使いたければどうぞ


9 名前:名無しさん@1周年:2019/07/16(火) 19:40:13.57 ID:G2aeTJBH0.net

なんと
http://9ch.net/VCQZ6

10 名前:名無しさん@1周年:2019/07/16(火) 19:40:35.95 ID:8KHeD2kT0.net

7秒でPayされる

11 名前:名無しさん@1周年:2019/07/16(火) 19:40:51.36 ID:LmKTPtFb0.net

わざとじゃねえの?
セブンしね

12 名前:名無しさん@1周年:2019/07/16(火) 19:40:55.41 ID:SULE4mwn0.net

これでもなおサービス停止しないとか、もはや犯罪幇助組織でしかないな

13 名前:名無しさん@1周年:2019/07/16(火) 19:41:10.44 ID:10C+2APj0.net

パスワードなくてもログインできるらしいですね
今朝ニュースで言ってました

セキュリティ以前の問題


58 名前:名無しさん@1周年:2019/07/16(火) 19:46:06.03 ID:GbuvMOVf0.net

>>13
パスワードなしっていうかトークンがパスワードがわりみたいなもん
普通本人認証したあとこいつは大丈夫ってことでトークン発行するんだけど手当たり次第アカウント叩いたらトークンもらえるというw


14 名前:名無しさん@1周年:2019/07/16(火) 19:41:15.00 ID:hAYWC3JM0.net

グリコ森永事件を思い出すわ

15 名前:名無しさん@1周年:2019/07/16(火) 19:41:17.58 ID:Yu7DK/x+0.net

アホ過ぎる。
よくこんな企画OK出したな。
開発責任者は打ち首獄門はまぬがれない。

16 名前:名無しさん@1周年:2019/07/16(火) 19:41:25.12 ID:sqdwtF6c0.net

まさか、そんなアホなw

17 名前:名無しさん@1周年:2019/07/16(火) 19:41:25.68 ID:fQb69QcI0.net

まるで俺が突貫で作ったAPIみたいだ

18 名前:名無しさん@1周年:2019/07/16(火) 19:41:30.42 ID:nHZ/sEdD0.net

おそらくセブンの社内システムもこの程度のセキュリテイと思われる

19 名前:名無しさん@1周年:2019/07/16(火) 19:41:40.43 ID:xwPK4N7P0.net

どのくらいの期間でシステム作ったの?

20 名前:名無しさん@1周年:2019/07/16(火) 19:41:42.85 ID:SULE4mwn0.net

セキュリティが低いどころか存在しなかったとは

21 名前:名無しさん@1周年:2019/07/16(火) 19:41:45.86 ID:X01FFNri0.net

こんなシステム過去にあったかなあ?


43 名前:名無しさん@1周年:2019/07/16(火) 19:44:35.76 ID:mIfwSLMV0.net

>>21
PSNだったか、出来たばかりの頃に自分のIDでログインさえしておけば
URLのIDの数字いじるかなんだったか方法は忘れたけど、とにかく他人のアカウントに入り放題だった


23 名前:名無しさん@1周年:2019/07/16(火) 19:41:56.86 ID:deH/kNa20.net

儲かってるはずなのに何に金使ってるんだろう?
ちゃんと金かけて準備万端整ってから始めようよ

24 名前:名無しさん@1周年:2019/07/16(火) 19:42:01.05 ID:AAP1CSRs0.net

3000人弱のSIerらしいが、どこなんだ?

26 名前:名無しさん@1周年:2019/07/16(火) 19:42:08.16 ID:0fABjQqr0.net

老人向けに


おまえらがアベシンゾーですって言えば、首相官邸の警備員が官邸の鍵を開けてくれるのと同じことなw

27 名前:名無しさん@1周年:2019/07/16(火) 19:42:10.08 ID:Muternm/0.net

当然何回も来てもエラー判断してなかったんだろうなw

29 名前:名無しさん@1周年:2019/07/16(火) 19:42:28.72 ID:6+BnT1gJ0.net

これならノーガードでいいじゃん

30 名前:名無しさん@1周年:2019/07/16(火) 19:42:33.58 ID:b88dlrJH0.net

スマホでapi叩いてんのかw
整数で行けるんなら手作業でもそこそこ抜けるな
pcなら数百から数千はぬける

31 名前:名無しさん@1周年:2019/07/16(火) 19:43:01.68 ID:P1LJymgJ0.net

40秒で支度しな

33 名前:名無しさん@1周年:2019/07/16(火) 19:43:17.07 ID:6Bb00HBe0.net

セキュリティ担当誰だよw
っていうか居なかっただろw

34 名前:名無しさん@1周年:2019/07/16(火) 19:43:41.95 ID:yN9S/4XO0.net

> オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

これどういうこと?

35 名前:名無しさん@1周年:2019/07/16(火) 19:43:48.92 ID:y7VVA+qe0.net

固有端末を使う2段階認証はあるとしても、
他の日本企業のほとんどがこういう超低レベルなセキュリティーということがよくわかったわ

日本人消費者「絶対に解読できないハイテクな暗号技術を使ってるはず。」

中国人等犯罪者「だいたいの日本企業のセキュリティーは小学生でも解けるアルヨ。やってみればわかるアル。」

37 名前:名無しさん@1周年:2019/07/16(火) 19:43:57.07 ID:+xqQ+j5w0.net

俺が小学生の頃運営してた掲示板よりひどい


72 名前:名無しさん@1周年:2019/07/16(火) 19:48:16.94 ID:NLJbrU+u0.net

>>37
今日一番笑った


38 名前:名無しさん@1周年:2019/07/16(火) 19:44:11.69 ID:d8BYXI3s0.net

わろたw
幾ら何でも雑過ぎんだろ

40 名前:名無しさん@1周年:2019/07/16(火) 19:44:25.46 ID:4sfLrsgf0.net

リーベルgが嬉々として短編かきそう

41 名前:名無しさん@1周年:2019/07/16(火) 19:44:29.77 ID:QykGHHQh0.net

このIDは使用されています、みたいなものか

42 名前:名無しさん@1周年:2019/07/16(火) 19:44:31.68 ID:KkGA6vJ30.net

総当りで簡単に突破可能とか笑うしかねえな

ちょっとしたコード組めば余裕ジャン

44 名前:名無しさん@1周年:2019/07/16(火) 19:44:41.12 ID:bCAtUHvp0.net

ハッキング入門なのこれ?

45 名前:名無しさん@1周年:2019/07/16(火) 19:44:42.08 ID:A+h7wUv70.net

認証しないで認証トークン返す…

バカじゃねーの。いや、バカじゃねーの。

47 名前:名無しさん@1周年:2019/07/16(火) 19:44:47.24 ID:emrd8E850.net

 


パスワードの設定が間違っているなどとユーザーのせいにしたマヌケ


経営ゴッコしてるだけの素人

48 名前:名無しさん@1周年:2019/07/16(火) 19:44:50.06 ID:p5pEhEEx0.net

これがサイバー空間の戦争か!

49 名前:名無しさん@1周年:2019/07/16(火) 19:45:14.61 ID:J0JCu5HM0.net

急かされて中途半端で出したとしか思えないな

50 名前:名無しさん@1周年:2019/07/16(火) 19:45:20.58 ID:7dU/Q1+b0.net

トークン渡してねぇのにトークン返したらあかんがなw

51 名前:名無しさん@1周年:2019/07/16(火) 19:45:28.95 ID:nQnFTjfb0.net

世界よこれが日本じゃバカタレwwwwwwwwwwwwwwwwwwwww
ノーガードwwwwwwwwwwwwww

52 名前:名無しさん@1周年:2019/07/16(火) 19:45:39.63 ID:LzhbT6gc0.net

タイガのお父さん?

53 名前:名無しさん@1周年:2019/07/16(火) 19:45:43.16 ID:7ZJaUQhB0.net

このシステム受託したのどこよ?

54 名前:出雲犬族@目指せ小説家:2019/07/16(火) 19:45:46.41 ID:yTD/gBOF0.net

U ・ω・) 日本人は水と安全は無料だと思っている。
日本に日本人だけしかいないのであれば確かにそうかもしれないが……

それ故に、戦後~平成の間、反日朝鮮人につけ込まれ続けてきたわけだ

55 名前:名無しさん@1周年:2019/07/16(火) 19:45:51.10 ID:M776ep/s0.net

今時ブラウザゲーですらそんなデータの持ち方してねーだろ

56 名前:名無しさん@1周年:2019/07/16(火) 19:45:54.48 ID:qYjtdTmJ0.net

7月11日とはまた皮肉な

57 名前:名無しさん@1周年:2019/07/16(火) 19:45:55.15 ID:10C+2APj0.net

パスワード12桁を設定してた人でも突破されたといってたな
先週
そもそもそのパスワードすらいらないシステムだったとは

61 名前:名無しさん@1周年:2019/07/16(火) 19:46:43.32 ID:LL4IFEpl0.net

これセブン側にプログラム読める人居なかったんだろうか…

62 名前:名無しさん@1周年:2019/07/16(火) 19:46:49.18 ID:bHL3InW80.net

マジでセブンはろくなことしねえな


73 名前:名無しさん@1周年:2019/07/16(火) 19:48:17.12 ID:nQnFTjfb0.net

>>62
日本の誇りってもんよwwwwwwwwwwwww


63 名前:名無しさん@1周年:2019/07/16(火) 19:47:04.09 ID:qYjtdTmJ0.net

おれマー君だから大丈夫だった

64 名前:名無しさん@1周年:2019/07/16(火) 19:47:16.07 ID:8Us0MqX80.net

win95時代の掲示板でももうちょいマシじゃん…

65 名前:名無しさん@1周年:2019/07/16(火) 19:47:18.98 ID:jDhztoVT0.net

日本の経営者から60歳以上を追い出せよ


71 名前:名無しさん@1周年:2019/07/16(火) 19:48:16.11 ID:JxLEL9cU0.net

>>65
企業から50歳以上を追い出さないと意味がない


66 名前:名無しさん@1周年:2019/07/16(火) 19:47:29.81 ID:8CzmofMM0.net

暇なやつもいるもんだな

68 名前:名無しさん@1周年:2019/07/16(火) 19:47:56.67 ID:iE6XnFq+0.net

>>1
あれ?ダム板じゃないの?

74 名前:名無しさん@1周年:2019/07/16(火) 19:48:22.31 ID:F+w9KiRY0.net

システムが退化してる、お幾ら万円で仕事依頼したの?
>>1
トランプ発言の余波、米財務長官がビットコインなどの仮想通貨に対して立場を表明した。

1.『ビットコインはアメリカの準備金制度に採用しない。米ドルによる準備金制度を重視 』
2.ビットコイン等の仮想通貨を利用した、億ドル単位に及ぶ不正行為は「国家安全保障上の問題」
3.クロスボーダーに及ぶ仮想通貨規制を検討する
4.仮想通貨の投機行為は特に問題視されてないが、違法行為での利用は断固認めない(ソースアメリカ財務省)

#トランプ大統領、仮想通貨全般への懐疑論を展開
「ビットコインなどは通貨ではなく、その価値は非常に変動が激しく、根拠とするものは一切ない。
規制を受けない仮想通貨は麻薬取引や他の不法活動などの違法行為を容易にし得る」
https://www.bloomberg.co.jp/news/articles/2019-07-12/PUIA9P6S972901

75 名前:名無しさん@1周年:2019/07/16(火) 19:48:45.56 ID:jvz3r37Q0.net

運営側の無能さが白日のもとにww
商品開発は良いのに経営陣がゴミでした

76 名前:名無しさん@1周年:2019/07/16(火) 19:48:53.67 ID:aQjabSjw0.net

セブン♪イレブン♪いい気分♪

77 名前:名無しさん@1周年:2019/07/16(火) 19:48:54.60 ID:mT5OQcJy0.net

キャッシュレス決済はこういうのが怖い

78 名前:名無しさん@1周年:2019/07/16(火) 19:48:57.62 ID:yN9S/4XO0.net

ここに個人情報を預けるのはもう金輪際ないだろうな
セキュリティ管理以前のレベル

79 名前:名無しさん@1周年:2019/07/16(火) 19:48:59.68 ID:twHya3F80.net

なんか初歩的過ぎて笑うw
期限に間に合わせるために適当に実装したんだろうなぁw

80 名前:名無しさん@1周年:2019/07/16(火) 19:49:05.03 ID:M6IH/TBp0.net

これ集団訴訟あるね