【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 07/17 07:05 / Filesize : 236 KB / Number-of Response : 1004
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：trick ★ [2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net]: 狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に｢7payの脆弱性とは、一体どんなものだったのか｣は直接的に報じられていない。

Business Insider Japanの｢7pay｣取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング（不正侵入）のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID（Yahoo!、Google、Facebook、Twitter、LINE）を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の｢設計｣に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん（仮名）が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え（後述）によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数（※）が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン（鍵情報）を入手できる状態だった

（略）
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg

先ほどの3枚の画像で非常に重要なのは、2枚目だ。

この画像から明らかなのは、オムニ7の認証システムでは、｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

2枚目の画像の｢id｣の下の項目｢extIdSiteCd｣の右隣の2桁の数字は、各外部ID連携事業者（Yahoo!、Google、Facebook、Twitte、LINE）の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

つまり、別の言い方をすると｢id｣の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで｢アプリを介すことなくユーザーの会員登録情報（氏名、生年月日、住所など）の取得｣が可能
……という状態にあったのが実情とみられる。

// ■要約
// ｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣
901 名前：名無しさん＠１周年 [2019/07/17(水) 00:05:48.70 ID:PSg230XI0.net]: >>862
気がかりというか、もうそれ既に大した問題じゃない
まだ問題にみえるだけ根本よりまし

>>884
恥の稼働実績増やしてどうするんだろうな
902 名前：名無しさん＠１周年 [2019/07/17(水) 00:07:00.76 ID:nz/8i9Zj0.net]: ●【カード】クレジットカード不正利用の被害が急増過去最悪の236憶円超に
https://asahi.5ch.net/test/read.cgi/newsplus/1541493113/

●【ペイペイ】PayPay利用してない人もクレジットカード不正利用被害　アプリに脆弱性
https://asahi.5ch.net/test/read.cgi/newsplus/1545033431/
903 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:07:21.15 ID:ogvrFEdX0.net]: >>336
技術とかものづくりはせいぜい90年代まの話でしょ
ただ遅くまで働くのを「日本人は勤勉だ」って美化するのと一緒に現実から目を背けて過去の栄光にすがってるだけ
904 名前：名無しさん＠１周年 [2019/07/17(水) 00:07:37.63 ID:OuDGi1+b0.net]: >>901
どうせ3週もすれば、みんな鳩のように忘れる。
905 名前：名無しさん＠１周年 [2019/07/17(水) 00:08:01.77 ID:ZIoN57PH0.net]: このクソシステムのベンダー割れたの？
906 名前：名無しさん＠１周年 [2019/07/17(水) 00:08:10.85 ID:nz/8i9Zj0.net]: 463名無しさん＠１周年2018/12/18(火) 08:41:09.57ID:w3DX149k0
電子マネーの良さというのは、
せいぜい多くても一万円程度しか入ってないので、
万一紛失盗難にあっても、許容範囲であるために、
パスワードも身元確認も無しに、簡単に使えるところだ。
が、そこへ給与をチャージするとなると、
何十万という金額がチャージされるとこになり、
そうなると紛失盗難にあって「ま、いっか」では済まなくなる。
当然いままでのようにパスワードもセキュリティもなしに、
自分でも他人でも使える、なんてことでは危険になる。
そうなると、もはやどんどん不便になり、
「こんなんじゃ銀行のカードとなんもかわんなくね？」
ということになる。本末転倒である

500名無しさん＠１周年2018/12/18(火) 08:51:03.06ID:4XTlRBcA0
先ず俺の論理はね今現状でも円は凄く強いのよ
強すぎるの。それは偽造ができないくらい加工技術が細かい
一万から1円までものすごいの。つまりねこれ作るのに相当努力して
御先祖が偽造されないように作ったのよ。職人だよ本当に
これ偽造しようとすると赤字になるの。
だからやらないのよ.だから強いのよ。それを電子通貨でキャッシュレスにして
セキュリティーもガバカバのくせして
サイバー攻撃は防御できないことしっててやるとしたら確信犯だよ
これは絶対許さない。やったら暴れるしかない。俺の我慢越える

446名無しさん＠１周年2018/12/26(水) 00:54:38.84ID:enkGfVK00
>>435
現金ＡＴＭでおろすにしても、
現金だと買う際に本当に必要かって考えるようになる部分が
結構大事なんだよ

240名無しさん＠１周年2018/11/07(水) 08:44:54.29ID:sEKVFybV0
クレジットカードじゃないが
ファミマでTカードを使うと
ヤフーID経由でTポイントを不正使用される事例が多数みられるのでご注意ください
907 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:08:13.28 ID:hsA6i3J00.net]: オムニセブンにクレカ登録で買いものしたことある
もしかしてやばい？
908 名前：名無しさん＠１周年 [2019/07/17(水) 00:08:30.22 ID:6ljsSdSb0.net]: セブンって銀行やってるのにこのセキュリティだもの
銀行の方も攻撃されるんじゃない
909 名前：名無しさん＠１周年 [2019/07/17(水) 00:09:21.04 ID:cEmOLXWX0.net]: 認証トークンの意味ないやん
910 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:09:23.58 ID:ogvrFEdX0.net]: >>907
あきらメロン
911 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:09:47.27 ID:Ju5+DqVC0.net]: >>895
そもそも初回の認証した時点でクレカの認証は通ってる
二回目以降はそれを使い回すだけ

一定回数/金額で再認証するのが正しい
まぁそこまで気にするなら毎回認証させた方がいいが
912 名前：名無しさん＠１周年 [2019/07/17(水) 00:10:12.70 ID:Ea5lGqNA0.net]: 日本のＩＴって終わってるな
中華に外注するか、国内で作るとこのザマ
ＩＴ土方とかでこき使って人を育ててこなかった結果が如実に現れてるね
下町ボブスレーとセットでこのブザマな失敗談を教科書に載せるべきだね
913 名前：名無しさん＠１周年 [2019/07/17(水) 00:10:25.77 ID:7/5pEb990.net]: 日本のシステム開発って６次請け７次請けの寄せ集めがやってるからな
しかもどこから来たか誰も分からない外国人技術者までいるしこういう事が起こるのは当たり前だろｗ
いい加減この業界の多重請負の中抜きは止めるべきだと思うよ
914 名前：名無しさん＠１周年 [2019/07/17(水) 00:10:42.08 ID:nz/8i9Zj0.net]: ●老人だけじゃない。誰でも判断力、記憶力が低下する

・病気
・精神病
・ストレス
・睡眠不足
・加齢
・頭ぶつけた
・イライラした
・疲労
・失恋した
・ショックなことがあった

記憶力や判断力、注意力、管理能力は簡単に落ちる！
健康な時期は短い！
ジワジワと判断力、記憶力が低下して
本人も周囲も気がつかないまま
カード管理が徐々にできなくなって借金地獄に陥る
ポイント配布は弱ったときにいつか食うための餌
発達障害、知的障害、精神障害、痴呆などの弱い人から食われてく
今、健常な奴も精神病んだりしたら食われる番にまわる

一分でも早く解約！
外人による搾取、日本人奴隷化を許すな！
ニコニコ現金社会をみんなで維持しよう！
915 名前：名無しさん＠１周年 [2019/07/17(水) 00:10:42.33 ID:3qgnu2sd0.net]: そのうち、登録してないカードから金を抜かれそうw
916 名前：名無しさん＠１周年 [2019/07/17(水) 00:10:53.30 ID:OuDGi1+b0.net]: 割れてないよ。
まあ警察とサートは把握しているだろうが守秘があるからまず漏れない。
917 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:11:16.74 ID:ogvrFEdX0.net]: >>913
お前全然分かってないなw
918 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:11:21.44 ID:GLBrRMmV0.net]: 去年の７iD移行から、ＳＮＳ連携がはじまってるのか。
これ基幹システムがどうのこうのいうより、表層的な部分、ウェブサイトを構築している企業がやらかしてるとおもう。
パスワード再設定のための未登録メールへの送信、事件発覚後に文字列だけをサイトからみえなくするとか。
　　つめがあまいだけで、きっちり設定すれば、クレカチェージなんてされることもなく、被害もここまで拡大しなかったようにみえる。

セブンイレブンの責任には違いないだろうけど、
アプリ、ＳＮＳ連携、　　既存のシステムに　ちょこっとかぶせたところが　ことごとく致命的なミスをやらかしている。
　どこがつくったかくらい、いえよ。　
919 名前：名無しさん＠１周年 [2019/07/17(水) 00:11:33.53 ID:PSg230XI0.net]: >>889
リアルで何やってんの？だな…

>>904
忘れられるレベルであればいいんだけどね
920 名前：名無しさん＠１周年 [2019/07/17(水) 00:11:38.81 ID:J2uQ1+ci0.net]: SIer様はどこなんですかねぇｗ
921 名前：名無しさん＠１周年 [2019/07/17(水) 00:12:13.79 ID:OuDGi1+b0.net]: 来年のセキゅスペ午後iiの問題になるのは、間違いなさ層、このじけん
922 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:12:23.69 ID:Ju5+DqVC0.net]: >>889
ペイペイの後追サービスはよくわからんな
ペイペイ自体がfelica普及してる日本でやる意味がわからんのに
必要性が全く感じられない
923 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:12:41.94 ID:l66FSD9m0.net]: 自動で流出するようになってた ← 今後の予想
924 名前：名無しさん＠１周年 [2019/07/17(水) 00:13:01.80 ID:7/5pEb990.net]: >>917
何が分かってないんだｗ
925 名前：名無しさん＠１周年 [2019/07/17(水) 00:13:20.94 ID:nz/8i9Zj0.net]: 577名無しさん＠１周年2018/10/23(火) 　02:46:28.67ID:0uBgrqyb0
自民党は仮想通貨に対してすべ対応が甘すぎる
仮想通貨は日本だけ見ても
今年だけで640億円あまりのハッキング被害
金融庁の監督責任を追求すべきだ
ザイフから６７億円の仮想通貨を盗み出した犯人は
ＫＹＣを必要としない海外のバイナンスに
数千もの口座を開設して分割送金
身元を明かさず大量の仮想通貨をバイナンスはで
洗浄してトンズラ
未だにメアドだけで登録できる
バイナンスをはじめとした海外の取引所が存在する
利用禁止にすべきだ。
アメリカは国民のmexの利用を禁止している
また、アメリカでは公務員は仮想通貨の
保有枚数を報告する義務が課せられているが
日本の公務員には報告義務は課されていない

318名無しさん＠１周年2018/10/23(火) 01:49:20.68ID:l/0DFEhH0
それぞれのカード会社が国にポイント還元分を請求する方法はあるが
不正の温床になるのが目に見えているし
カード会社も国もその為のシステムや組織をつくらなければならない
バカが思いついた駄策としか言いようがない

70名無しさん＠１周年2018/11/26(月) 06:32:09.03ID:jCNeVEuQ0
まぁチャージも買い物直前にコンビニ払いだが
郵貯カードなんか３０万勝手に貸し出し機能つけてたかんな
何をしでかすかわかったもんじゃないわ
日本は津々浦々　現金さまさまでごんす
926 名前：名無しさん＠１周年 [2019/07/17(水) 00:14:30.01 ID:nz/8i9Zj0.net]: 【クレカ総当たり】PayPay広報「現時点でリトライ上限はない。今後対応する」★6
https://asahi.5ch.net/test/read.cgi/newsplus/1545089231/l50
927 名前：名無しさん＠１周年 [2019/07/17(水) 00:14:32.49 ID:PSg230XI0.net]: >>908
マネロン用に内部不正目的で利用してるんじゃ
いや、ないよね？流石に、うん
そんなわけないよ

>>922
裏から情報抜くのに必要なんだって
後は、それをアカウント操作する
国外の情報を全部内部から操作管理する為にやってる
928 名前：名無しさん＠１周年 [2019/07/17(水) 00:15:05.21 ID:nz/8i9Zj0.net]: 161名無しさん＠１周年2018/11/11(日) 17:35:59.27ID:L0BBBPLz0
キャッシュレス推進派のレスまとめ

キャッシュレスはレジ開けてやってるような店の脱税防止だから
現金は汚い/雑菌がいっぱいで不潔
北欧では100%キャッシュレス/ドイツもキャッシュレス化しつつある
世界の流れだから日本も原始時代みたいな決済方法をやめろ
日本は中国や韓国にも遅れている、現金派の老害が悪い
現金派は爺さん婆さんの老害ばっか
日本の紙幣印刷技術は高い()
レジで婆アがモタモタ小銭数えて出してるの見たら蹴り飛ばしたくなる
レジで爺イがもたもた小銭数えて落としたりしてるから聞こえるように舌打ちしてやった
現金は盗まれたら被害が大きいがカードは盗まれてもカード会社に電話すれば大丈夫
現金派は災害の事ばかりいってるが、そんなたまにしか起こりえないこと気にし過ぎ
手数料は店が負担するんだから別にいいだろ？
店に現金が入金されるのが遅い？今時もっと早く入金してくれる会社あるしｗ
店が現金入るの遅いっても、客も支払したら現金なくなるんだが？売掛って知ってる？
手数料が高いのは国が安くしろって今指導してるだろ
現金派の老害はネトウヨ
数百円の決済でも俺はカード使うね
カードの方が計算しやすい
現金は計算し難い
中小企業とかさっさと潰れて淘汰されればいい
929 名前：名無しさん＠１周年 [2019/07/17(水) 00:15:56.36 ID:OuDGi1+b0.net]: >>919
7ぺ使っていない奴は、まず忘れる。
使っている奴も2習慣もすれば忘れる。
アカウントの停止手続きもせず、アプリ削除で安心ニコニコﾌﾞｲしちゃうのが、4割。
何もせず触らなくなって塩漬けルートが3割。
こんなんだと思う
930 名前：名無しさん＠１周年 [2019/07/17(水) 00:16:20.66 ID:nz/8i9Zj0.net]: ●【北海道地震●使えぬクレジットカード、下ろせぬ現金　「ATMが使えないのが致命的。電気無いとこんなに不便とは」★５
https://asahi.5ch.net/test/read.cgi/newsplus/1536330525/

ホリエモン、“現金主義”の日本に苦言「100％キャッシュレスな社会が理想」

ホリエモン「まだ現金とか使ってんの？お財布ケータイで支払いはほとんど出来る」

ホリエモン「もう現金レジとか古臭いのでやめちゃったほうがいい」

ホリエモン「現金を持ち歩く日本人はキチガイだね、この変なこだわり。紙幣とか時代遅れ。不便だし」

ホリエモン「今時現金しか使えない店なんて潰れちまえばいいんだよ!」

ホリエモン「さっさと現金やめて全部電子マネーにしろ！現金やめると脱税もなくなるし」

ホリエモン「アメリカでは一度も現金使わなかった！日本は遅れてる日本ダサい」

ホリエモン「あのさあ！現金払いはやめようよ！ねぇ！ガキじゃねえんだからさ！！」

ホリエモン氏「マジで現金とかやめてほしい　日本だけが取り残される笑笑　総じて現金派はアタマが悪い」

ホリエモン×ひろゆきが語るキャッシュレス社会「多くの人は現金が非効率なことに気づいていない」
931 名前：名無しさん＠１周年 [2019/07/17(水) 00:17:00.91 ID:12eaeZi00.net]: >>887　
普及したら災害時に困る。
現金払いにさえ対応できない（シールの張り替え対策＆釣り銭も無い＆金を置く場所もない
レジが紙が出ないし、紙のストックもない。
雷、サージ、停電で地域が全滅。
年寄りは覚えているだろうか、クレジットカードをカーボン紙で伝票を切った時代を。
今はほとんど存在しないし、店員も操作を知らない。
普及したときに通信系が対応できない。電線の復旧より通信線の復旧の方がきわめて困難。
北海道地震のセイコーマートみたいなことができる時代ではない。
(バブル時代、大手デパートは数時間、自家発電で運用できた。）

スマホ時代はきわめて脆弱な時代だろう。
932 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:17:31.48 ID:Ju5+DqVC0.net]: >>927
ユーザーサイドで必要性なんかあるか？
500円のデポジットで無記名スイカ持ってたほうがよっぽど便利だと思うが
933 名前：名無しさん＠１周年 [2019/07/17(水) 00:17:32.51 ID:QO3ile4Q0.net]: セブンイレブン万引きしようとしたらできるんじゃないの
加盟店がかわいそうでしょ
みたいなことでしかない
どんな運用するかは企業の自由
934 名前：名無しさん＠１周年 [2019/07/17(水) 00:17:40.91 ID:PSg230XI0.net]: >>929
多分、もっと先があると思う
935 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:17:47.21 ID:oYGCOYJX0.net]: >>181
もう引退した年寄りの機械設計屋だけど実験データはLotus 1-2-3で解析
そのデータをN88basicで組んだプログラムで開発設計とかやってたよ
ISO9001の規定やフィードバックの書式をＷｏｒｄで作って関連会社の伝票システム構築に参加したんだけど
数年後３０代で抜擢された若手技術部長がその規定や書式を全部女性オペレータに書き換えさせてた
文章や書式はほぼ同一で Excelに
936 名前：名無しさん＠１周年 [2019/07/17(水) 00:18:03.41 ID:OuDGi1+b0.net]: そしてアカウント停止では削除されないから二次被害が発生して、削除手続きしても削除されない仕様とかになっているとかが基本路線じゃないかと。
937 名前：名無しさん＠１周年 [2019/07/17(水) 00:20:08.43 ID:SnEnlTeh0.net]: もうむちゃくちゃだな
938 名前：名無しさん＠１周年 [2019/07/17(水) 00:20:45.19 ID:PSg230XI0.net]: >>932
ユーザーじゃなくて、管理する側
実際に作ってる国の中身が国外の情報管理する為にやってるんだろう
939 名前：名無しさん＠１周年 [2019/07/17(水) 00:21:49.66 ID:nz/8i9Zj0.net]: AUウォレットもやばいぞ

勧誘されるときは退会できないという説明がない
退会したいと大騒ぎして何とか解約

電子マネー系、クレジットカード全般危険
クレジットカード番号はしょっちゅう流出してる
ほぼ漏れてると思って間違いない
940 名前：名無しさん＠１周年 [2019/07/17(水) 00:22:32.76 ID:PSg230XI0.net]: >>936
それデフォルトじゃね？
おそらく、Tポイントのシステムも同じだけど
削除請求してもごねられて実際には情報削除されないで保存され続けるよ
削除請求に応じない規定になってるから
941 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:22:34.41 ID:4gF/siZZ0.net]: 仕様書通りでコレ？
942 名前：名無しさん＠１周年 [2019/07/17(水) 00:23:23.72 ID:OuDGi1+b0.net]: >>932
スマートカード(ICカード)が一番便利だと思う。
そこにワンタイムパスワードtokenでの二要素認証が比較的セキュアだと思う。
ただこのインフラは高い。
943 名前：名無しさん＠１周年 [2019/07/17(水) 00:23:31.79 ID:FqbvnlCU0.net]: バカ過ぎてもうね
944 名前：名無しさん＠１周年 [2019/07/17(水) 00:26:07.59 ID:OuDGi1+b0.net]: 設備よりもヒューマンインフラを整える必要が生じるから、殆どのIT会社は嫌がる。
おまけに会員制とかにして、月額費用を別に取る必要に迫られるからゴーキブルやあまなんかは決してやらない。
945 名前：名無しさん＠１周年 [2019/07/17(水) 00:26:13.45 ID:cEmOLXWX0.net]: どういうセキュリティシステムを作ったつもりだったんだろうか？
946 名前：名無しさん＠１周年 [2019/07/17(水) 00:26:17.70 ID:dvq6EbQ70.net]: ワシが学生の時に作ったみたいな仕様だな
これ作った人って、完全に無能だろ
947 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:26:20.96 ID:BNAaRfyJ0.net]: アプリ入れて登録したら終わりだなｗ
948 名前：名無しさん＠１周年 [2019/07/17(水) 00:26:37.25 ID:jN2YUDzT0.net]: ぺいぺいって安定してきたの？
949 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:26:50.74 ID:y5KiDlCh0.net]: >>922
外国人観光客が現金持たずにスマホ決済できるようにしたいための政策。
海外のスマホにFelicaついてないのでダメ。
950 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:27:56.36 ID:Ju5+DqVC0.net]: >>938
だから
管理する側がいくら欲しくても、ユーザーがいらんもんは流行らんだろ
いや、キャンペーンで釣ってるのはわかるがそのキャンペーンに釣られるの情弱すぎるだろと

>>942
プリペイドならセキュリティはそこそこでいいからな
そもそもクレカオートチャージするくらいならクレカで払えよと
951 名前：名無しさん＠１周年 [2019/07/17(水) 00:29:26.10 ID:OuDGi1+b0.net]: なのでスマートカードのみで金額に制限を掛ける当座口座のような機能で止めるのがリスクが低い。
しかし、何故か上限を設けずにキャッシュレスを目指すからアンバランスな設計となる。
おまけにWebアプリケーションとか、正直正気を疑うれべる
952 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:30:01.75 ID:Ju5+DqVC0.net]: >>949
空港でスイカ配りゃいいじゃん
というか、すでに配ってるし
海外との共通規格で普及させるならまだしもガラパゴスに意味あるのか？
953 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:31:05.96 ID:CEeqpdVE0.net]: >>923
たぶん「総当たりすら必要なかった」が次にくると思われ
954 名前：名無しさん＠１周年 [2019/07/17(水) 00:32:21.26 ID:OuDGi1+b0.net]: >>949
まあそういうことだな。
スマホ決済の実績が欲しい。中間なんかは強引な管理社会だから出きるわけで、日本でやるのは無理がある
955 名前：名無しさん＠１周年 [2019/07/17(水) 00:35:12.21 ID:OuDGi1+b0.net]: 海外の方が現金決済を嫌うなら、空港でトラベラーズチェックと同じようにフェリカに送金できるようにすればいいだけと違うんかと。
956 名前：名無しさん＠１周年 [2019/07/17(水) 00:36:31.83 ID:OuDGi1+b0.net]: アメリカ旅行でもあっちは現金を嫌うが、そのためにチェックがあるわけで。

まあトラベラーズチェックもパスポート要求されて番号控えられるけど
957 名前：名無しさん＠１周年 [2019/07/17(水) 00:37:16.55 ID:Ea5lGqNA0.net]: >>952
香港は観光客に八達通、オクトパスカード買えっていってるんだから、日本もスイカ買えでいいんじゃないかって思うわ
払い戻ししやすくすれば観光客だって買ってくれるし
958 名前：名無しさん＠１周年 [2019/07/17(水) 00:37:28.61 ID:QO3ile4Q0.net]: >>955
ネット経由になったら7payみたいなことになる
959 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:38:21.81 ID:vPNN69ev0.net]: クラッカーにかかればサービス開始数時間でハックされてしまうと思え
金預かるシステムならきちんとセキュリティ会社に事前にチェックさせるか
設計段階から口挟ませろ
960 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:38:43.29 ID:y5KiDlCh0.net]: >>950
クレカチャージ、Pay払いでポイントの二重狙いだろ。
あと，キャンペーン中だからってのも大きい。

>>952
それはスイカ側の努力。日本はバラバラだから、企業個々でやってるだけ。
スイカやクレカで払われると店は手数料払うから、管理経費さしい引いても
うちはうちでやりますってこと。あとは言われてるようにデータとか手に入るしね。
961 名前：名無しさん＠１周年 [2019/07/17(水) 00:39:53.54 ID:a6Sj+mea0.net]: これ、7payじゃなくてオムニ7の脆弱性だからな。つまりセブン系列の全ネットサービスが危険ってこと
962 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:40:00.58 ID:Xugcy53o0.net]: 5年前に業界引退したけどさらに日本のIT業界の劣化してるな
辞めてよかった
963 名前：名無しさん＠１周年 [2019/07/17(水) 00:40:27.34 ID:OuDGi1+b0.net]: 一番意味がわからんのはチャージ。
クレカは信用販売なのに、なんでキャッシングを求められるんか？と
964 名前：名無しさん＠１周年 [2019/07/17(水) 00:42:01.30 ID:PSg230XI0.net]: >>950
多分、流行するかどうかの問題じゃないんだと思うよ
そういう観点じゃない

>>962
いま日本のセキュリティって本気でやばいよな
この業界抜けて本当に良かったに同意する

これしかし、この草原状態だれがどう世話するのかね
965 名前：名無しさん＠１周年 [2019/07/17(水) 00:42:07.17 ID:a6Sj+mea0.net]: >>963
ポイントをクレカのショッピング枠で買ってるだけだぜ。だからキャッシングじゃない
966 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:42:45.24 ID:8QJfmOtG0.net]: なるほど中国企業に丸投げしたな、バカ低能クズ経営者が安けりゃいいでやったね！(^▽^)
967 名前：名無しさん＠１周年 [2019/07/17(水) 00:42:53.58 ID:a6Sj+mea0.net]: >>964
草原ってかサバンナだな
968 名前：名無しさん＠１周年 [2019/07/17(水) 00:44:06.31 ID:QO3ile4Q0.net]: >>963
クレカでセブンマネーを買う信用販売でしょ
キャッシング=ローンじゃない
969 名前：名無しさん＠１周年 [2019/07/17(水) 00:45:23.43 ID:OuDGi1+b0.net]: >>965
キャッシング枠ではなかろうと、クレカで現金を買っている結果は変わらん。
利息がつかないという面も有るんだろうが、
ならポイントをリボ払い出きるの買いなと
970 名前：名無しさん＠１周年 [2019/07/17(水) 00:45:36.25 ID:PSg230XI0.net]: >>967
確かに
サバンナに無防備な羊放し飼い状態になってるのが気になって
こういうニュースはみてしまうけど
もう小手先の何とかで何とかなる時代は済んでるしなあ

最悪の状態になる前になんとかなるのかね？
971 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:45:56.77 ID:FNohIR4/0.net]: >>710
こんな大問題やらかしたらベンダーの信用も失墜するから自分からこんな提案はせん。
よほど技術がなかったか、提案してもセブンに押しきられたか。
972 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:46:32.02 ID:16UfSomM0.net]: ニートのお前らに任せてももっとマシなもの作るぞｗ
プロがどうやったらこんなもの作ったんだ
973 名前：名無しさん＠１周年 [2019/07/17(水) 00:47:21.35 ID:OuDGi1+b0.net]: 結局は、提携会社から信販会社へのキックバックで採算を取るから導入する会社にメリットは少ないだろうと
974 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:48:20.93 ID:P5MfSz5x0.net]: どういう状況でこの仕様にGOだすんだよワロタ
975 名前：名無しさん＠１周年 [2019/07/17(水) 00:48:31.94 ID:PSg230XI0.net]: >>971
ベンダーがいなかったに一万ペリカ
いや、マジでいるとは思えない仕様

といっても、このクラスで運用するのに中小並の社内生産なんてしないと思うんだが
…謎だな
976 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:48:36.97 ID:ZrYnw1bj0.net]: 開発下請けの中国人がセキュリティホール(という言葉が妥当かはさておき)をマフィアに横流ししたんじゃないの
977 名前：名無しさん＠１周年 [2019/07/17(水) 00:49:53.69 ID:Ng/Biark0.net]: やはり現金が最強だった
なんといっても歴史が違う

はやりものに飛びつく奴はバカ
978 名前：名無しさん＠１周年 [2019/07/17(水) 00:50:13.91 ID:oFHHV8YR0.net]: 攻撃する側はそういうシステムだって知ってたんじゃないの
おもらしがあったんじゃないのかな
979 名前：trick ★ [2019/07/17(水) 00:50:13.95 ID:O3UhTa5c9.net]: 【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
https://asahi.5ch.net/test/read.cgi/newsplus/1563292200/
980 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:50:35.34 ID:Ju5+DqVC0.net]: >>964
企業側が普及させたい理由はわかるんだよ
むりやり餌ばらまいてるのが目に見えてるのに
それに飛び乗る消費者心理が良うわからんということ
981 名前：名無しさん＠１周年 [2019/07/17(水) 00:51:26.62 ID:a6Sj+mea0.net]: >>969
ポイントは現金じゃないんだぜ。実際、現金に戻す手段はないし、現金に近い換金ルート発見されたら即座に塞がれるだろ
982 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:52:56.88 ID:Ju5+DqVC0.net]: >>974
答え:仕様にない
983 名前：名無しさん＠１周年 [2019/07/17(水) 00:53:12.86 ID:OuDGi1+b0.net]: >>978
破られるまでが早すぎ
解析してどうこうという話とは違う。
組織犯罪の気配もあると直ぐに報じられとるし
984 名前：名無しさん＠１周年 [2019/07/17(水) 00:53:49.60 ID:a6Sj+mea0.net]: >>975
アホ提案したコンサルもクソだが、もともとオムニ7担当してたのはNRIだから信用失墜は逃れられないな
アプリや7payはまた別のベンダーだが
985 名前：名無しさん＠１周年 [2019/07/17(水) 00:54:00.10 ID:OuDGi1+b0.net]: >>982
しようがないな
986 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:54:13.12 ID:Bjo8OYbu0.net]: これ今後も運用するつもりなの？
基本設計からやり直しになるよね…？
987 名前：名無しさん＠１周年 [2019/07/17(水) 00:54:32.32 ID:cEmOLXWX0.net]: 結局誰も責任とらないんでしょ？
988 名前：名無しさん＠１周年 [2019/07/17(水) 00:54:39.60 ID:mEEyRmG+0.net]: こんな会社が作るフランチャイズ契約www
989 名前：名無しさん＠１周年 [2019/07/17(水) 00:54:47.73 ID:a6Sj+mea0.net]: >>987
これ
990 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 00:55:21.55 ID:Ju5+DqVC0.net]: >>983
いやこのセキュリティ加減だとリリース初日に遊びて試したやつが破れるレベルだろう
991 名前：名無しさん＠１周年 [2019/07/17(水) 00:56:05.54 ID:PSg230XI0.net]: >>980
普及させたい側は流行しなくてもしつこく何度も流すことでいつかそれが通常になることを狙ってる、と
消費者側には流行に飛び乗る心理がある

>>983
これが真相なんだろうな
それにしてもあほすぎるけど
それならまだほっとできるという辺りが日本の状況は悪すぎるというか
992 名前：名無しさん＠１３周年 mailto:sage [2019/07/17(水) 00:57:30.08 ID:BpYbhY0Gw]: 建築基準法みたく、セキュリティシステムも法規制しろよ
現行のシステムも穴だらけだろ
993 名前：名無しさん＠１周年 [2019/07/17(水) 00:56:24.85 ID:Ng/Biark0.net]: >>987
さすがに個人株主は売りに走るだろうから
株価低迷で大株主が責任取るだろ
994 名前：名無しさん＠１周年 [2019/07/17(水) 00:58:47.10 ID:PR8LPC810.net]: しかもnanacoも含めて損害は補填しないと表示されるからな。スマホ落としたりした事考えると怖いわ
995 名前：名無しさん＠１周年 [2019/07/17(水) 00:58:50.24 ID:PSg230XI0.net]: >>939
リアルにベンダーいたのが信じられない
幽霊ベンダーにしても外側だけ貸し出しにしても

本気でちょっとHP作ったことあります！なヒトに
中小が通販サイト作らせたらセキュリティなかった、とかいうレベルなような
ありえんよな
996 名前：名無しさん＠１周年 [2019/07/17(水) 01:00:06.38 ID:OuDGi1+b0.net]: >>981
7ぺの特性とクレカの決済は別のお話。
7ぺを換金しにくいから、現金決済ではないとか繋がっているようで違う。
なんで直接ポイントではなく信販決済にせんのか？ということ。
7べのポイントにすることで見えない借入をやらせて、運営会社は現金を調達できることに旨味がある。
997 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 01:00:22.12 ID:GLBrRMmV0.net]: オムニ7　→　7iD で　ＳＮＳログイン導入で、セブンも外部との連携、欲をかきはじめた。
　大手がかかわっている可能性もあるし、かかわっていない可能性もあるだろうし。
まあ規模からいって、ＮＴＴデータとかじゃないだろ。

　ウェブのところで、全部みすってるかんじ。　誰がこれをやろうとしたか。
998 名前：名無しさん＠１周年 mailto:sage [2019/07/17(水) 01:00:49.69 ID:vPNN69ev0.net]: どっかの本の外部IDを使ったログインのサンプルコードそのまんま使ったんでしょ
999 名前：名無しさん＠１周年 [2019/07/17(水) 01:00:50.86 ID:a6Sj+mea0.net]: >>994
nanacoも設計ミスだと思うわ。オートチャージ機構考えたアホは誰だよw
Suicaと違って無効化反映すぐにできないのに
1000 名前：名無しさん＠１周年 [2019/07/17(水) 01:02:43.08 ID:PSg230XI0.net]: >>990
これ、試すといっても試しにもならないレベルだろう
破ってどーするんだよ？という

>>986
一番ありえんのは、これを損害算定してこのまま動かそうとしてることか

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef