- 1 名前:trick ★ [2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net]
- 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
- 1001 名前:名無しさん@1周年 [2019/07/17(水) 01:03:10.23 ID:OuDGi1+b0.net]
- >>994
補てんなしとか有り得ないだろ。。
- 1002 名前:名無しさん@1周年 [2019/07/17(水) 01:04:38.69 ID:I0cQQ/650.net]
- >>4
プロなら罠だと思って回避するだろうな
内部事情に詳しい奴が糸引いてるだろ
- 1003 名前:1001 [Over 1000 Thread.net]
- このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 5時間 26分 54秒
|
 |
