[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 07/17 07:05 / Filesize : 236 KB / Number-of Response : 1004
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]
|
↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました |
【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
- 1 名前:trick ★ [2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net]
- 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
- 954 名前:名無しさん@1周年 [2019/07/17(水) 00:32:21.26 ID:OuDGi1+b0.net]
- >>949
まあそういうことだな。
スマホ決済の実績が欲しい。中間なんかは強引な管理社会だから出きるわけで、日本でやるのは無理がある
- 955 名前:名無しさん@1周年 [2019/07/17(水) 00:35:12.21 ID:OuDGi1+b0.net]
- 海外の方が現金決済を嫌うなら、空港でトラベラーズチェックと同じようにフェリカに送金できるようにすればいいだけと違うんかと。
- 956 名前:名無しさん@1周年 [2019/07/17(水) 00:36:31.83 ID:OuDGi1+b0.net]
- アメリカ旅行でもあっちは現金を嫌うが、そのためにチェックがあるわけで。
まあトラベラーズチェックもパスポート要求されて番号控えられるけど
- 957 名前:名無しさん@1周年 [2019/07/17(水) 00:37:16.55 ID:Ea5lGqNA0.net]
- >>952
香港は観光客に八達通、オクトパスカード買えっていってるんだから、日本もスイカ買えでいいんじゃないかって思うわ
払い戻ししやすくすれば観光客だって買ってくれるし
- 958 名前:名無しさん@1周年 [2019/07/17(水) 00:37:28.61 ID:QO3ile4Q0.net]
- >>955
ネット経由になったら7payみたいなことになる
- 959 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:38:21.81 ID:vPNN69ev0.net]
- クラッカーにかかればサービス開始数時間でハックされてしまうと思え
金預かるシステムならきちんとセキュリティ会社に事前にチェックさせるか
設計段階から口挟ませろ
- 960 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:38:43.29 ID:y5KiDlCh0.net]
- >>950
クレカチャージ、Pay払いでポイントの二重狙いだろ。
あと,キャンペーン中だからってのも大きい。
>>952
それはスイカ側の努力。日本はバラバラだから、企業個々でやってるだけ。
スイカやクレカで払われると店は手数料払うから、管理経費さしい引いても
うちはうちでやりますってこと。あとは言われてるようにデータとか手に入るしね。
- 961 名前:名無しさん@1周年 [2019/07/17(水) 00:39:53.54 ID:a6Sj+mea0.net]
- これ、7payじゃなくてオムニ7の脆弱性だからな。つまりセブン系列の全ネットサービスが危険ってこと
- 962 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:40:00.58 ID:Xugcy53o0.net]
- 5年前に業界引退したけどさらに日本のIT業界の劣化してるな
辞めてよかった
- 963 名前:名無しさん@1周年 [2019/07/17(水) 00:40:27.34 ID:OuDGi1+b0.net]
- 一番意味がわからんのはチャージ。
クレカは信用販売なのに、なんでキャッシングを求められるんか?と
- 964 名前:名無しさん@1周年 [2019/07/17(水) 00:42:01.30 ID:PSg230XI0.net]
- >>950
多分、流行するかどうかの問題じゃないんだと思うよ
そういう観点じゃない
>>962
いま日本のセキュリティって本気でやばいよな
この業界抜けて本当に良かったに同意する
これしかし、この草原状態だれがどう世話するのかね
- 965 名前:名無しさん@1周年 [2019/07/17(水) 00:42:07.17 ID:a6Sj+mea0.net]
- >>963
ポイントをクレカのショッピング枠で買ってるだけだぜ。だからキャッシングじゃない
- 966 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:42:45.24 ID:8QJfmOtG0.net]
- なるほど中国企業に丸投げしたな、バカ低能クズ経営者が安けりゃいいでやったね!(^▽^)
- 967 名前:名無しさん@1周年 [2019/07/17(水) 00:42:53.58 ID:a6Sj+mea0.net]
- >>964
草原ってかサバンナだな
- 968 名前:名無しさん@1周年 [2019/07/17(水) 00:44:06.31 ID:QO3ile4Q0.net]
- >>963
クレカでセブンマネーを買う信用販売でしょ
キャッシング=ローンじゃない
- 969 名前:名無しさん@1周年 [2019/07/17(水) 00:45:23.43 ID:OuDGi1+b0.net]
- >>965
キャッシング枠ではなかろうと、クレカで現金を買っている結果は変わらん。
利息がつかないという面も有るんだろうが、
ならポイントをリボ払い出きるの買いなと
- 970 名前:名無しさん@1周年 [2019/07/17(水) 00:45:36.25 ID:PSg230XI0.net]
- >>967
確かに
サバンナに無防備な羊放し飼い状態になってるのが気になって
こういうニュースはみてしまうけど
もう小手先の何とかで何とかなる時代は済んでるしなあ
最悪の状態になる前になんとかなるのかね?
- 971 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:45:56.77 ID:FNohIR4/0.net]
- >>710
こんな大問題やらかしたらベンダーの信用も失墜するから自分からこんな提案はせん。
よほど技術がなかったか、提案してもセブンに押しきられたか。
- 972 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:46:32.02 ID:16UfSomM0.net]
- ニートのお前らに任せてももっとマシなもの作るぞw
プロがどうやったらこんなもの作ったんだ
- 973 名前:名無しさん@1周年 [2019/07/17(水) 00:47:21.35 ID:OuDGi1+b0.net]
- 結局は、提携会社から信販会社へのキックバックで採算を取るから導入する会社にメリットは少ないだろうと
- 974 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:48:20.93 ID:P5MfSz5x0.net]
- どういう状況でこの仕様にGOだすんだよワロタ
- 975 名前:名無しさん@1周年 [2019/07/17(水) 00:48:31.94 ID:PSg230XI0.net]
- >>971
ベンダーがいなかったに一万ペリカ
いや、マジでいるとは思えない仕様
といっても、このクラスで運用するのに中小並の社内生産なんてしないと思うんだが
…謎だな
- 976 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:48:36.97 ID:ZrYnw1bj0.net]
- 開発下請けの中国人がセキュリティホール(という言葉が妥当かはさておき)をマフィアに横流ししたんじゃないの
- 977 名前:名無しさん@1周年 [2019/07/17(水) 00:49:53.69 ID:Ng/Biark0.net]
- やはり現金が最強だった
なんといっても歴史が違う
はやりものに飛びつく奴はバカ
- 978 名前:名無しさん@1周年 [2019/07/17(水) 00:50:13.91 ID:oFHHV8YR0.net]
- 攻撃する側はそういうシステムだって知ってたんじゃないの
おもらしがあったんじゃないのかな
- 979 名前:trick ★ [2019/07/17(水) 00:50:13.95 ID:O3UhTa5c9.net]
- 【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
https://asahi.5ch.net/test/read.cgi/newsplus/1563292200/
- 980 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:50:35.34 ID:Ju5+DqVC0.net]
- >>964
企業側が普及させたい理由はわかるんだよ
むりやり餌ばらまいてるのが目に見えてるのに
それに飛び乗る消費者心理が良うわからんということ
- 981 名前:名無しさん@1周年 [2019/07/17(水) 00:51:26.62 ID:a6Sj+mea0.net]
- >>969
ポイントは現金じゃないんだぜ。実際、現金に戻す手段はないし、現金に近い換金ルート発見されたら即座に塞がれるだろ
- 982 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:52:56.88 ID:Ju5+DqVC0.net]
- >>974
答え:仕様にない
- 983 名前:名無しさん@1周年 [2019/07/17(水) 00:53:12.86 ID:OuDGi1+b0.net]
- >>978
破られるまでが早すぎ
解析してどうこうという話とは違う。
組織犯罪の気配もあると直ぐに報じられとるし
- 984 名前:名無しさん@1周年 [2019/07/17(水) 00:53:49.60 ID:a6Sj+mea0.net]
- >>975
アホ提案したコンサルもクソだが、もともとオムニ7担当してたのはNRIだから信用失墜は逃れられないな
アプリや7payはまた別のベンダーだが
- 985 名前:名無しさん@1周年 [2019/07/17(水) 00:54:00.10 ID:OuDGi1+b0.net]
- >>982
しようがないな
- 986 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:54:13.12 ID:Bjo8OYbu0.net]
- これ今後も運用するつもりなの?
基本設計からやり直しになるよね…?
- 987 名前:名無しさん@1周年 [2019/07/17(水) 00:54:32.32 ID:cEmOLXWX0.net]
- 結局誰も責任とらないんでしょ?
- 988 名前:名無しさん@1周年 [2019/07/17(水) 00:54:39.60 ID:mEEyRmG+0.net]
- こんな会社が作るフランチャイズ契約www
- 989 名前:名無しさん@1周年 [2019/07/17(水) 00:54:47.73 ID:a6Sj+mea0.net]
- >>987
これ
- 990 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:55:21.55 ID:Ju5+DqVC0.net]
- >>983
いやこのセキュリティ加減だとリリース初日に遊びて試したやつが破れるレベルだろう
- 991 名前:名無しさん@1周年 [2019/07/17(水) 00:56:05.54 ID:PSg230XI0.net]
- >>980
普及させたい側は流行しなくてもしつこく何度も流すことでいつかそれが通常になることを狙ってる、と
消費者側には流行に飛び乗る心理がある
>>983
これが真相なんだろうな
それにしてもあほすぎるけど
それならまだほっとできるという辺りが日本の状況は悪すぎるというか
- 992 名前:名無しさん@13周年 mailto:sage [2019/07/17(水) 00:57:30.08 ID:BpYbhY0Gw]
- 建築基準法みたく、セキュリティシステムも法規制しろよ
現行のシステムも穴だらけだろ
- 993 名前:名無しさん@1周年 [2019/07/17(水) 00:56:24.85 ID:Ng/Biark0.net]
- >>987
さすがに個人株主は売りに走るだろうから
株価低迷で大株主が責任取るだろ
- 994 名前:名無しさん@1周年 [2019/07/17(水) 00:58:47.10 ID:PR8LPC810.net]
- しかもnanacoも含めて損害は補填しないと表示されるからな。スマホ落としたりした事考えると怖いわ
- 995 名前:名無しさん@1周年 [2019/07/17(水) 00:58:50.24 ID:PSg230XI0.net]
- >>939
リアルにベンダーいたのが信じられない
幽霊ベンダーにしても外側だけ貸し出しにしても
本気でちょっとHP作ったことあります!なヒトに
中小が通販サイト作らせたらセキュリティなかった、とかいうレベルなような
ありえんよな
- 996 名前:名無しさん@1周年 [2019/07/17(水) 01:00:06.38 ID:OuDGi1+b0.net]
- >>981
7ぺの特性とクレカの決済は別のお話。
7ぺを換金しにくいから、現金決済ではないとか繋がっているようで違う。
なんで直接ポイントではなく信販決済にせんのか?ということ。
7べのポイントにすることで見えない借入をやらせて、運営会社は現金を調達できることに旨味がある。
- 997 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 01:00:22.12 ID:GLBrRMmV0.net]
- オムニ7 → 7iD で SNSログイン導入で、セブンも外部との連携、欲をかきはじめた。
大手がかかわっている可能性もあるし、かかわっていない可能性もあるだろうし。
まあ規模からいって、NTTデータとかじゃないだろ。
ウェブのところで、全部みすってるかんじ。 誰がこれをやろうとしたか。
- 998 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 01:00:49.69 ID:vPNN69ev0.net]
- どっかの本の外部IDを使ったログインのサンプルコードそのまんま使ったんでしょ
- 999 名前:名無しさん@1周年 [2019/07/17(水) 01:00:50.86 ID:a6Sj+mea0.net]
- >>994
nanacoも設計ミスだと思うわ。オートチャージ機構考えたアホは誰だよw
Suicaと違って無効化反映すぐにできないのに
- 1000 名前:名無しさん@1周年 [2019/07/17(水) 01:02:43.08 ID:PSg230XI0.net]
- >>990
これ、試すといっても試しにもならないレベルだろう
破ってどーするんだよ?という
>>986
一番ありえんのは、これを損害算定してこのまま動かそうとしてることか
- 1001 名前:名無しさん@1周年 [2019/07/17(水) 01:03:10.23 ID:OuDGi1+b0.net]
- >>994
補てんなしとか有り得ないだろ。。
- 1002 名前:名無しさん@1周年 [2019/07/17(水) 01:04:38.69 ID:I0cQQ/650.net]
- >>4
プロなら罠だと思って回避するだろうな
内部事情に詳しい奴が糸引いてるだろ
- 1003 名前:1001 [Over 1000 Thread.net]
- このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 5時間 26分 54秒
|
 |
[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ] 
前100
次100
最新50
▲ [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<236KB
read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef