【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
レス数が1000を超えています。これ以上書き込みはできません。
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」 >>922
たぶん「総当たりすら必要なかった」が次にくると思われ >>948
まあそういうことだな。
スマホ決済の実績が欲しい。中間なんかは強引な管理社会だから出きるわけで、日本でやるのは無理がある 海外の方が現金決済を嫌うなら、空港でトラベラーズチェックと同じようにフェリカに送金できるようにすればいいだけと違うんかと。 アメリカ旅行でもあっちは現金を嫌うが、そのためにチェックがあるわけで。
まあトラベラーズチェックもパスポート要求されて番号控えられるけど >>951
香港は観光客に八達通、オクトパスカード買えっていってるんだから、日本もスイカ買えでいいんじゃないかって思うわ
払い戻ししやすくすれば観光客だって買ってくれるし >>954
ネット経由になったら7payみたいなことになる クラッカーにかかればサービス開始数時間でハックされてしまうと思え
金預かるシステムならきちんとセキュリティ会社に事前にチェックさせるか
設計段階から口挟ませろ >>949
クレカチャージ、Pay払いでポイントの二重狙いだろ。
あと,キャンペーン中だからってのも大きい。
>>951
それはスイカ側の努力。日本はバラバラだから、企業個々でやってるだけ。
スイカやクレカで払われると店は手数料払うから、管理経費さしい引いても
うちはうちでやりますってこと。あとは言われてるようにデータとか手に入るしね。 これ、7payじゃなくてオムニ7の脆弱性だからな。つまりセブン系列の全ネットサービスが危険ってこと 5年前に業界引退したけどさらに日本のIT業界の劣化してるな
辞めてよかった 一番意味がわからんのはチャージ。
クレカは信用販売なのに、なんでキャッシングを求められるんか?と >>949
多分、流行するかどうかの問題じゃないんだと思うよ
そういう観点じゃない
>>961
いま日本のセキュリティって本気でやばいよな
この業界抜けて本当に良かったに同意する
これしかし、この草原状態だれがどう世話するのかね >>962
ポイントをクレカのショッピング枠で買ってるだけだぜ。だからキャッシングじゃない なるほど中国企業に丸投げしたな、バカ低能クズ経営者が安けりゃいいでやったね!(^▽^) >>962
クレカでセブンマネーを買う信用販売でしょ
キャッシング=ローンじゃない >>964
キャッシング枠ではなかろうと、クレカで現金を買っている結果は変わらん。
利息がつかないという面も有るんだろうが、
ならポイントをリボ払い出きるの買いなと >>966
確かに
サバンナに無防備な羊放し飼い状態になってるのが気になって
こういうニュースはみてしまうけど
もう小手先の何とかで何とかなる時代は済んでるしなあ
最悪の状態になる前になんとかなるのかね? >>709
こんな大問題やらかしたらベンダーの信用も失墜するから自分からこんな提案はせん。
よほど技術がなかったか、提案してもセブンに押しきられたか。 ニートのお前らに任せてももっとマシなもの作るぞw
プロがどうやったらこんなもの作ったんだ 結局は、提携会社から信販会社へのキックバックで採算を取るから導入する会社にメリットは少ないだろうと >>970
ベンダーがいなかったに一万ペリカ
いや、マジでいるとは思えない仕様
といっても、このクラスで運用するのに中小並の社内生産なんてしないと思うんだが
…謎だな 開発下請けの中国人がセキュリティホール(という言葉が妥当かはさておき)をマフィアに横流ししたんじゃないの やはり現金が最強だった
なんといっても歴史が違う
はやりものに飛びつく奴はバカ 攻撃する側はそういうシステムだって知ってたんじゃないの
おもらしがあったんじゃないのかな 【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
https://asahi.5ch.net/test/read.cgi/newsplus/1563292200/ >>963
企業側が普及させたい理由はわかるんだよ
むりやり餌ばらまいてるのが目に見えてるのに
それに飛び乗る消費者心理が良うわからんということ >>968
ポイントは現金じゃないんだぜ。実際、現金に戻す手段はないし、現金に近い換金ルート発見されたら即座に塞がれるだろ >>977
破られるまでが早すぎ
解析してどうこうという話とは違う。
組織犯罪の気配もあると直ぐに報じられとるし >>974
アホ提案したコンサルもクソだが、もともとオムニ7担当してたのはNRIだから信用失墜は逃れられないな
アプリや7payはまた別のベンダーだが これ今後も運用するつもりなの?
基本設計からやり直しになるよね…? >>982
いやこのセキュリティ加減だとリリース初日に遊びて試したやつが破れるレベルだろう >>979
普及させたい側は流行しなくてもしつこく何度も流すことでいつかそれが通常になることを狙ってる、と
消費者側には流行に飛び乗る心理がある
>>982
これが真相なんだろうな
それにしてもあほすぎるけど
それならまだほっとできるという辺りが日本の状況は悪すぎるというか >>986
さすがに個人株主は売りに走るだろうから
株価低迷で大株主が責任取るだろ しかもnanacoも含めて損害は補填しないと表示されるからな。スマホ落としたりした事考えると怖いわ >>938
リアルにベンダーいたのが信じられない
幽霊ベンダーにしても外側だけ貸し出しにしても
本気でちょっとHP作ったことあります!なヒトに
中小が通販サイト作らせたらセキュリティなかった、とかいうレベルなような
ありえんよな >>980
7ぺの特性とクレカの決済は別のお話。
7ぺを換金しにくいから、現金決済ではないとか繋がっているようで違う。
なんで直接ポイントではなく信販決済にせんのか?ということ。
7べのポイントにすることで見えない借入をやらせて、運営会社は現金を調達できることに旨味がある。 オムニ7 → 7iD で SNSログイン導入で、セブンも外部との連携、欲をかきはじめた。
大手がかかわっている可能性もあるし、かかわっていない可能性もあるだろうし。
まあ規模からいって、NTTデータとかじゃないだろ。
ウェブのところで、全部みすってるかんじ。 誰がこれをやろうとしたか。 どっかの本の外部IDを使ったログインのサンプルコードそのまんま使ったんでしょ >>992
nanacoも設計ミスだと思うわ。オートチャージ機構考えたアホは誰だよw
Suicaと違って無効化反映すぐにできないのに >>989
これ、試すといっても試しにもならないレベルだろう
破ってどーするんだよ?という
>>985
一番ありえんのは、これを損害算定してこのまま動かそうとしてることか >>4
プロなら罠だと思って回避するだろうな
内部事情に詳しい奴が糸引いてるだろ このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 5時間 26分 54秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。