TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
【ロシア】シリア内戦に兵士6万3000人派遣
【企業】シャープ、「白物家電」国内生産から撤退へ 海外での生産に切り替え
【韓国】SKハイニックス、中国製フッ化水素で日本製の代替作業を完全に終える 中国・無錫半導体生産ライン★3
【復興】福島・浪江にスーパー開店。3.11後初 福島の海でとれた新鮮な魚が人気に。帰還促進に期待
【感染管理の専門家から】「心配かもしれませんが、感染者の80%は軽症で、1週間ほど風邪のような症状が続いて治ってしまう」★2
【ロイター】ズーム、中国政府にユーザー情報提供していないと表明 [爆笑ゴリラ★]
【またこのパターンか】「ちょうどいいブス」花王エッセンシャルのPRが物議 「男性目線を前提にするな」批判殺到し謝罪★2
【新型肺炎】「正しく怖がる」ことが大事 NHK
【老舗】「づぼらや」閉店へ コロナで営業自粛 大阪 [爆笑ゴリラ★]
【金正恩死亡】TBS、金正恩が歩いたと報道★2 Toy Soldiers ★
【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
- 1 :2019/07/17 〜 最終レス :2019/07/20
- 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
★1がたった日時:2019/07/16 (火) 19:37:44.12
前スレ
【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
https://asahi.2ch.sc/test/read.cgi/newsplus/1563273464/
- 2 :
- >>1
7秒でPayされちゃう
- 3 :
- 本気でLAWSONにシェアを渡したいんか・・・
内部にスパイがいるのを疑うレベル
- 4 :
- もう使わないことが最大の防御法だろ
- 5 :
- これが日本のIT技術です
丸投げ、教育しない、資金を投じない、人材使い捨てで培われた日本の惨状
もう代わりなんかいません
- 6 :
- あっちでもこっちでもタロウ大活躍だな
- 7 :
- いまだにサーバーがしょっちゅうエラー返すファミペイでも
肝心なところだけはちゃんとしてたんだな
- 8 :
- >>4
セブソイレブソに行かない事が最高の防御策
- 9 :
- 業界NO.1だし 余裕かましてたら 色々と問題が内蔵されてたのねセブン …
- 10 :
- トークンが共犯とか糞すぎんだろ・・・
- 11 :
- 総当たりで行けるとか20年前のパスワードクラックかっつの
- 12 :
- 中学生が作ったシステムかよw
- 13 :
- これアカウント作ったら終わりってことか?
- 14 :
- >>5
年収200万で雇って文句言うなよ(´・ω・`)
- 15 :
- 「何事にも根気強く取り込むことが大切」って教わったのを思い出した
- 16 :
- 林家Pay
- 17 :
- もう配信システムだなー
- 18 :
- しかし、これだけのクソシステムを作ることも、一苦労じゃないか
作ろうと思っても作らないシステムだよね
わざと作らないと作れないと思うんだけどw
- 19 :
- トークンって何だ
- 20 :
- 設計段階から犯人が入りこんだか
- 21 :
- >>19
IBMのLAN接続のあれだろ
- 22 :
- そこら中クソの山でどこから手をつけていいかわからない状態なのか
- 23 :
- オレオレ詐欺より騙されやすい
- 24 :
- テストしてないんか
- 25 :
- 多分、素人さんが設計したんだよ
それで素人さんがつぎはぎで組んだ
- 26 :
- >>21
トークンリングとか懐かしい。
トークンとは、十君のことを言う。
君子たる資質を十条にしたもの。
・かわせろ
・ほしがらせろ
・無駄遣いさせろ
以下、省略
- 27 :
- >>5
東京な
- 28 :
- インチキITシステム
- 29 :
- つまり、仕様でした。
- 30 :
- おにぎり一個貰って消したわ
pay始まってローソンファミマの勢いすげーぞ
- 31 :
- 最近、急に出てきたpayは、どれも脆弱性ありそう
それ承知で使わないと
- 32 :
- >>19
セキュリティエリアに入るための身分証みたいなもん
本来セキュリティチェックを受けてもらえるもんだが
受付で「俺田中なんだけど身分証忘れたから貸して」って言ったらノーチェックで借りれるというような話
- 33 :
-
性善説で育った民族ゆえに色々と甘いな
- 34 :
- 7ぺとかけて架空通貨と解く。
どっちがより信用が多いんだろ?
- 35 :
- オムスビ十万円システムがすごい!
- 36 :
- 恥になるようなことはあるけど
レベル的に下ってことではない
- 37 :
- >>32
>「俺田中なんだけど
いいなあ、平和だ
- 38 :
- このシステムは何処が作ったんだ?w
- 39 :
- >>26
お、しってる人いたw
- 40 :
- システムが脆弱ってレベルじゃねーぞ!
- 41 :
- あり得ないだろコレ
普通のSEでも一発で気付くぞこんなもん…
- 42 :
- オムニ7ってすごいよな。生年月日とか電話番号を知ってれば、誰でも任意のメアドに再設定用のリンクを送って貰えるて記事を読んだときはびっくらこいたよ。
- 43 :
- そもそも作った人が仕組みを良く理解してない人が作ったんだから仕方ない
置いてかれまいと急いで入れるからこーなるんだよ
- 44 :
- 手取り10万で雇ったのだろ?なら仕方ないじゃないか
- 45 :
- >>39
ハードウェアが複雑にならなければ、イーサネットより良かったと言われていたような。
でもスイッチハブが出来たから、もう気にする人もいない。
でも同じコンセプトの設計が移動体通信にいかされているとかいないとか。
移動体通信は、今も似てきるならタイムシェアリングの設計だったはず。
- 46 :
- >>38
そもそも、受託した企業は、下請けに丸投げして中抜きするから
- 47 :
- 7payは登録してないけどイトーヨーカドーのネットスーパー使うために7idは登録してる
これだけでもうアウト?不正利用される可能性ある?
- 48 :
- 夏休みの宿題以下の完成度
- 49 :
- 残り半年の時点で単独アプリ案からオムニ7統合案に仕様変更されたらしいね
もちろんリリース予定は変更しない
その時点で初期ベンダーは逃げてる
失敗が確約されたプロジェクトですな
- 50 :
- いやあ、月が綺麗だねえ
平和っていいことだ
IT関係ない業界に地に足つけて生きるのが正解だよな
>>41
SEなんてやってなくても気付くって
>>42
それもいらんてことだもんな
- 51 :
- >>14
そもそも、何でそんな給料で働いてるのさ(´・ω・`)
- 52 :
- 脆弱性があるのと、脆弱性があるのを知ってるのとは、また別の問題な気もするがなあ
この手の弱点って、出てすぐに解析できるようなもんなのか?
- 53 :
- >>40
ゲームマスターコンソールを与えられたコンシューマみたいな気分でいい
と、無理筋な擁護を書いてミる。
- 54 :
- 日本のIT系は中国人が8割だからな
わざと穴だらけにしてるんだろ
- 55 :
- 元々オムニ7に穴があることは知られていtが、現金化できなかったのでいままで放置されていた
今回現金化できるようになったので攻撃開始されただけ
ペイペイのときも、クレジットカードのセキュリティコードはすでに流出していたが、
ペイペイが現金化する機会を与えてしまった
もともと世の中のシステムは穴だらけよ
- 56 :
- 手づくり感があって良いね
- 57 :
- スイカ最強伝説
- 58 :
- 7だけじゃないけど銀行も統合しすぎてシステムを全て把握しきれない部分があるみたいだな
ホント怖い
- 59 :
- >>1
日本の技術力は世界一だぞ?
これはフェイクニュースだろ
- 60 :
- >>47
何言ってるかわからないけど
外部ID連携でログインしてると不正ログインされる可能性がある
- 61 :
- 半年で作ったんだからこんなもんだろ
- 62 :
- >>52
真面目に解析、というかツールを使って外から叩けばある程度は見つかるようにみえるが、
元々の設計されたインターフェースを知ってないと、その当たりで時間を虎れる気がする。
あと、運営会社の許可なくそれをやれば、普通に犯罪だから捕まる。
- 63 :
- >>1
管理ザル杉ワロタwww
- 64 :
- もうヤメたら?
誰も使わんしこんなの
- 65 :
- これ設計レベルでこうなってたのか実装でごまかしたのかどっちだ?
- 66 :
- >>47
7idの使用者は全員が問題の対象だよ。
- 67 :
- >>58
銀行はキチンとしてる所は片方のシステムをバッサリ捨てて安全牌を選ぶんだよ
ミズホみたいな3者の殴り合いでコロコロと方針がひっくり返らないww
- 68 :
- うわぁ…
20年近くネットやってても金を扱うサービスでここまでひどいの聞いたことない
- 69 :
- >>3
な、なるほど、それなら脆弱さの説明がつく
- 70 :
- 7payの上層部はまだ何が問題か分かってなさそう
- 71 :
- >>65
何言ってるかわからないけど
わざわざIDでトークンが得られるようにしたんだろ
- 72 :
- >>67
ところで、みずほは、デスマーチいつまでやるつもりなん?
コボル使い全滅させやがって
- 73 :
- 7payは9条教にでも侵されてるのか?
守らなければ攻められることはないみたいな。
- 74 :
- >>71
IDでトークンが得られるのは当然だろう
セキュリティチェックをかけてないのが問題なんだろ
- 75 :
- そういやキャッシュレスでポイント還元とか言ってたのは、結局どうなったんだ?
なんか、セブンじゃなくて安倍首相が原因な気もするがなあ・・・
- 76 :
- 2年前に始まったのに年末に大規模な仕様変更で4月にシステムテスト開始とか言ってるから実際にコード書いて組み上げるまで1ヶ月もなかったんじゃ無いの
まともな検討もテストもする時間ないね
クライアントのワガママで崩壊する日本企業のお家芸ですな
- 77 :
- セブンイレブン役員が早く再開させろって圧力かけてるんだろうな
- 78 :
- 外部委託にしろ最終確認はセブンだしな
- 79 :
- >>75
キャッシュレス消費者還元事業でググると出てくるぞ
- 80 :
- >>11
単純な方法こそが最強なんだよ
ハッキングの究極は機械を使わないソーシャルハックだ
- 81 :
- >>72
取り敢えず今回で終わりじゃないの?
自分は、最初の為替関係やったけど平和だったよ
他の基幹系は方針がコロコロ変わって疲弊してたけど
- 82 :
- >>74
手続きをすっぽかしてトークンが得られるAPIがあったってことじゃ
- 83 :
- 【決済】7pay騒動の末改めて持ち上がるSuica(FeliCa)最強説★3
https://asahi.2ch.sc/test/read.cgi/newsplus/1562930113/
- 84 :
- >>75
他社のQR決済で手数料支払うのを惜しんだのが7pay導入の動機らしいから消費税ポイント還元政策とは直接的な関係はないんじゃないか
- 85 :
- >>82
認証先とIDあれば通っちゃうんだから、そもそもOAuth実装してないんじゃ?って思うんだが
- 86 :
- この程度の知能やモラルしかない企業が売る食べ物なんて、恐ろしくて買う気になれないわ
- 87 :
- 外部委託にしても、どうせ出す金を渋って、素人同然のところに委託したんだろ
安物買いの銭失い
- 88 :
- 俺が7idの使用者ならメアド変えてアカウント削除してクレカを使用停止にして震えて眠る。
- 89 :
- >>87
自分も納期が無茶苦茶な奴でとりあえず動くのを納品して納品後に修正するってのやったことあるけど、そういう匂いがする。
- 90 :
- まぁ、会員番号10億通り用意してるから大丈夫とか思ってたんだろうな。
→1万人使ってたら10万回リクエストで1回破られる
→1秒間に100回リクエスト投げれば1時間で36万回投げれる
→1日80人ぐらい破れる
→1ヶ月で2400人破れる
→というか4ヶ月で全員のパスワードが入手できる
- 91 :
- >>5
衰退先行国だもんね。もう回復不可能だと思うわ。
- 92 :
- >>82
そういうAIPがあったのか、そもそもそういうAIPなのかはわからんがな
- 93 :
- 見切り発車でも、7月1日には絶対に始めなきゃいけない理由があったんだろ。
- 94 :
- まだnanaco使ってる
- 95 :
- >>94
内部流出の可能性あるから危ない。遅いかも知れんが、クレジットカード登録外し、現金だけにしろ。
- 96 :
- >>18
営業上がりのSEが設計すると、こんなアホな仕様になるよ。
下手なこというと無償で作業量増やされるから、プログラマは欠陥仕様でも言われるままに組むよ。
- 97 :
- 今更だけどクレカやデビットカードに比べてメリットってあるの?
- 98 :
- セブンって怖いところだね
- 99 :
- >>97
デメリットならある
つかデメリットしかない
- 100 :
- >>97
便利になったと錯覚できる
100〜のスレッドの続きを読む
【愛知】新型肺炎で旅館破綻 ★2
【Twitter】パヨクさん、 #バルス安倍やめろ のハッシュタグツイートでトレンド1位になるも、スパム認定され削除される
【ロビン教官】筋金入りのA-10パイロットが29年かけて飛行時間5000時間に到達
【しばき隊】『C.R.A.C.』の中心メンバー、車庫飛ばしで逮捕
【文春砲】複数の元秘書が証言「#菅原一秀経産相 は秘書に給与上納を要求していた」
【自民】甘利氏「当事者が説明責任を」IR汚職めぐり
【フェイク】安倍首相の答弁動画「富裕層の税金を上げるなんて馬鹿げた政策」→誤り 編集され拡散、740万再生に
【産経新聞】首相は経済V字型回復の道筋示せ 政府の当然の責務である [チミル★]
【安倍晋三】昭恵夫人の花見は「レストランの敷地内」「レストランに行ってはいけないのか」自粛対象外と主張 ★5
【速報】武漢からチャーター機で帰国した人のうち新たに7人が入院へ 計12人 厚生労働省 ★6
--------------------
【アホの朝日新聞】 ネトウヨと安倍一味は、意見の異なる相手を徹底攻撃する なぜ寛容になれないのか
FREETEL Simple part7
【クル○ン】ドリームクルーン500 2ラウンド目【クルトン】
江頭が2:50にageるスレ in おいらロビー part13
【MHW】 極ベヒーモスをあきらめた人たちの集い 2エリア目
牛の死体、豚の死体、鶏の死体、一番美味しいのは?
IBJの活動について話しましょう。178人目
【日本】むすびズム☆3【カワイイ】
サミー777タウンスレ Part8068
【韓国】文大統領、日本のホワイトリスト除外に対抗し、ついに『日本の放射能問題』のファイナルカードを切る★4[08/05]
【乃木中】買っちゃえスタジオ即売会!感想スレ
PSYCHO-PASSサイコパス3係数オーバー191
【バーチャルYoutuber】にじさんじ有ンチスレ14263【金を持て余したアンスレ民の遊び】
【テレビ】内山信二、発売前の「ゲームボーイ」持ってこさせる
これから床屋か美容院逝ってくる人のためのスレ14→
【甲第玖拾六号証】ロト宝くじイカサマの可能性
【ボランティア調査】GAPbuster 支払遅延43回目
サーチエンジン戦争いよいよ勃発か?
USBコネクタ内蔵型MP3プレイヤー総合スレ
◇二人だけがわかる単語◇ Part.10
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼