【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
★1がたった日時:2019/07/16 (火) 19:37:44.12
前スレ
【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
https://asahi.2ch.sc/test/read.cgi/newsplus/1563273464/
7秒でPayされちゃう
内部にスパイがいるのを疑うレベル
丸投げ、教育しない、資金を投じない、人材使い捨てで培われた日本の惨状
もう代わりなんかいません
肝心なところだけはちゃんとしてたんだな
セブソイレブソに行かない事が最高の防御策
年収200万で雇って文句言うなよ(´・ω・`)
作ろうと思っても作らないシステムだよね
わざと作らないと作れないと思うんだけどw
IBMのLAN接続のあれだろ
それで素人さんがつぎはぎで組んだ
トークンリングとか懐かしい。
トークンとは、十君のことを言う。
君子たる資質を十条にしたもの。
・かわせろ
・ほしがらせろ
・無駄遣いさせろ
以下、省略
東京な
pay始まってローソンファミマの勢いすげーぞ
それ承知で使わないと
セキュリティエリアに入るための身分証みたいなもん
本来セキュリティチェックを受けてもらえるもんだが
受付で「俺田中なんだけど身分証忘れたから貸して」って言ったらノーチェックで借りれるというような話
性善説で育った民族ゆえに色々と甘いな
どっちがより信用が多いんだろ?
レベル的に下ってことではない
>「俺田中なんだけど
いいなあ、平和だ
お、しってる人いたw
普通のSEでも一発で気付くぞこんなもん…
置いてかれまいと急いで入れるからこーなるんだよ
ハードウェアが複雑にならなければ、イーサネットより良かったと言われていたような。
でもスイッチハブが出来たから、もう気にする人もいない。
でも同じコンセプトの設計が移動体通信にいかされているとかいないとか。
移動体通信は、今も似てきるならタイムシェアリングの設計だったはず。
そもそも、受託した企業は、下請けに丸投げして中抜きするから
これだけでもうアウト?不正利用される可能性ある?
もちろんリリース予定は変更しない
その時点で初期ベンダーは逃げてる
失敗が確約されたプロジェクトですな
平和っていいことだ
IT関係ない業界に地に足つけて生きるのが正解だよな
>>41
SEなんてやってなくても気付くって
>>42
それもいらんてことだもんな
そもそも、何でそんな給料で働いてるのさ(´・ω・`)
この手の弱点って、出てすぐに解析できるようなもんなのか?
ゲームマスターコンソールを与えられたコンシューマみたいな気分でいい
と、無理筋な擁護を書いてミる。
わざと穴だらけにしてるんだろ
今回現金化できるようになったので攻撃開始されただけ
ペイペイのときも、クレジットカードのセキュリティコードはすでに流出していたが、
ペイペイが現金化する機会を与えてしまった
もともと世の中のシステムは穴だらけよ
ホント怖い
日本の技術力は世界一だぞ?
これはフェイクニュースだろ
何言ってるかわからないけど
外部ID連携でログインしてると不正ログインされる可能性がある
真面目に解析、というかツールを使って外から叩けばある程度は見つかるようにみえるが、
元々の設計されたインターフェースを知ってないと、その当たりで時間を虎れる気がする。
あと、運営会社の許可なくそれをやれば、普通に犯罪だから捕まる。
管理ザル杉ワロタwww
誰も使わんしこんなの
7idの使用者は全員が問題の対象だよ。
銀行はキチンとしてる所は片方のシステムをバッサリ捨てて安全牌を選ぶんだよ
ミズホみたいな3者の殴り合いでコロコロと方針がひっくり返らないww
20年近くネットやってても金を扱うサービスでここまでひどいの聞いたことない
な、なるほど、それなら脆弱さの説明がつく
何言ってるかわからないけど
わざわざIDでトークンが得られるようにしたんだろ
ところで、みずほは、デスマーチいつまでやるつもりなん?
コボル使い全滅させやがって
守らなければ攻められることはないみたいな。
IDでトークンが得られるのは当然だろう
セキュリティチェックをかけてないのが問題なんだろ
なんか、セブンじゃなくて安倍首相が原因な気もするがなあ・・・
まともな検討もテストもする時間ないね
クライアントのワガママで崩壊する日本企業のお家芸ですな
キャッシュレス消費者還元事業でググると出てくるぞ
単純な方法こそが最強なんだよ
ハッキングの究極は機械を使わないソーシャルハックだ
取り敢えず今回で終わりじゃないの?
自分は、最初の為替関係やったけど平和だったよ
他の基幹系は方針がコロコロ変わって疲弊してたけど
手続きをすっぽかしてトークンが得られるAPIがあったってことじゃ
https://asahi.2ch.sc/test/read.cgi/newsplus/1562930113/
他社のQR決済で手数料支払うのを惜しんだのが7pay導入の動機らしいから消費税ポイント還元政策とは直接的な関係はないんじゃないか
認証先とIDあれば通っちゃうんだから、そもそもOAuth実装してないんじゃ?って思うんだが
安物買いの銭失い
自分も納期が無茶苦茶な奴でとりあえず動くのを納品して納品後に修正するってのやったことあるけど、そういう匂いがする。
→1万人使ってたら10万回リクエストで1回破られる
→1秒間に100回リクエスト投げれば1時間で36万回投げれる
→1日80人ぐらい破れる
→1ヶ月で2400人破れる
→というか4ヶ月で全員のパスワードが入手できる
衰退先行国だもんね。もう回復不可能だと思うわ。
そういうAIPがあったのか、そもそもそういうAIPなのかはわからんがな
内部流出の可能性あるから危ない。遅いかも知れんが、クレジットカード登録外し、現金だけにしろ。
営業上がりのSEが設計すると、こんなアホな仕様になるよ。
下手なこというと無償で作業量増やされるから、プログラマは欠陥仕様でも言われるままに組むよ。
デメリットならある
つかデメリットしかない
便利になったと錯覚できる
100〜のスレッドの続きを読む