【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能

**trick ★** · 2019/07/16(火) 19:37:44.12

狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に｢7payの脆弱性とは、一体どんなものだったのか｣は直接的に報じられていない。

Business Insider Japanの｢7pay｣取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング（不正侵入）のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID（Yahoo!、Google、Facebook、Twitter、LINE）を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の｢設計｣に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん（仮名）が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え（後述）によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数（※）が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン（鍵情報）を入手できる状態だった

（略）
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg

先ほどの3枚の画像で非常に重要なのは、2枚目だ。

この画像から明らかなのは、オムニ7の認証システムでは、｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

2枚目の画像の｢id｣の下の項目｢extIdSiteCd｣の右隣の2桁の数字は、各外部ID連携事業者（Yahoo!、Google、Facebook、Twitte、LINE）の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

つまり、別の言い方をすると｢id｣の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで｢アプリを介すことなくユーザーの会員登録情報（氏名、生年月日、住所など）の取得｣が可能
……という状態にあったのが実情とみられる。

// ■要約
// ｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣

**名無しさん＠１周年** · 2019/07/17(水) 00:31:05.96

>>922
たぶん「総当たりすら必要なかった」が次にくると思われ

**名無しさん＠１周年** · 2019/07/17(水) 00:32:21.26

>>948
まあそういうことだな。
スマホ決済の実績が欲しい。中間なんかは強引な管理社会だから出きるわけで、日本でやるのは無理がある

**名無しさん＠１周年** · 2019/07/17(水) 00:35:12.21

海外の方が現金決済を嫌うなら、空港でトラベラーズチェックと同じようにフェリカに送金できるようにすればいいだけと違うんかと。

**名無しさん＠１周年** · 2019/07/17(水) 00:36:31.83

アメリカ旅行でもあっちは現金を嫌うが、そのためにチェックがあるわけで。

まあトラベラーズチェックもパスポート要求されて番号控えられるけど

**名無しさん＠１周年** · 2019/07/17(水) 00:37:16.55

>>951
香港は観光客に八達通、オクトパスカード買えっていってるんだから、日本もスイカ買えでいいんじゃないかって思うわ
払い戻ししやすくすれば観光客だって買ってくれるし

**名無しさん＠１周年** · 2019/07/17(水) 00:37:28.61

>>954
ネット経由になったら7payみたいなことになる

**名無しさん＠１周年** · 2019/07/17(水) 00:38:21.81

クラッカーにかかればサービス開始数時間でハックされてしまうと思え
金預かるシステムならきちんとセキュリティ会社に事前にチェックさせるか
設計段階から口挟ませろ

**名無しさん＠１周年** · 2019/07/17(水) 00:38:43.29

>>949
クレカチャージ、Pay払いでポイントの二重狙いだろ。
あと，キャンペーン中だからってのも大きい。

>>951
それはスイカ側の努力。日本はバラバラだから、企業個々でやってるだけ。
スイカやクレカで払われると店は手数料払うから、管理経費さしい引いても
うちはうちでやりますってこと。あとは言われてるようにデータとか手に入るしね。

**名無しさん＠１周年** · 2019/07/17(水) 00:39:53.54

これ、7payじゃなくてオムニ7の脆弱性だからな。つまりセブン系列の全ネットサービスが危険ってこと

**名無しさん＠１周年** · 2019/07/17(水) 00:40:00.58

5年前に業界引退したけどさらに日本のIT業界の劣化してるな
辞めてよかった

**名無しさん＠１周年** · 2019/07/17(水) 00:40:27.34

一番意味がわからんのはチャージ。
クレカは信用販売なのに、なんでキャッシングを求められるんか？と

**名無しさん＠１周年** · 2019/07/17(水) 00:42:01.30

>>949
多分、流行するかどうかの問題じゃないんだと思うよ
そういう観点じゃない

>>961
いま日本のセキュリティって本気でやばいよな
この業界抜けて本当に良かったに同意する

これしかし、この草原状態だれがどう世話するのかね

**名無しさん＠１周年** · 2019/07/17(水) 00:42:07.17

>>962
ポイントをクレカのショッピング枠で買ってるだけだぜ。だからキャッシングじゃない

**名無しさん＠１周年** · 2019/07/17(水) 00:42:45.24

なるほど中国企業に丸投げしたな、バカ低能クズ経営者が安けりゃいいでやったね！(^▽^)

**名無しさん＠１周年** · 2019/07/17(水) 00:42:53.58

>>963
草原ってかサバンナだな

**名無しさん＠１周年** · 2019/07/17(水) 00:44:06.31

>>962
クレカでセブンマネーを買う信用販売でしょ
キャッシング=ローンじゃない

**名無しさん＠１周年** · 2019/07/17(水) 00:45:23.43

>>964
キャッシング枠ではなかろうと、クレカで現金を買っている結果は変わらん。
利息がつかないという面も有るんだろうが、
ならポイントをリボ払い出きるの買いなと

**名無しさん＠１周年** · 2019/07/17(水) 00:45:36.25

>>966
確かに
サバンナに無防備な羊放し飼い状態になってるのが気になって
こういうニュースはみてしまうけど
もう小手先の何とかで何とかなる時代は済んでるしなあ

最悪の状態になる前になんとかなるのかね？

**名無しさん＠１周年** · 2019/07/17(水) 00:45:56.77

>>709
こんな大問題やらかしたらベンダーの信用も失墜するから自分からこんな提案はせん。
よほど技術がなかったか、提案してもセブンに押しきられたか。

**名無しさん＠１周年** · 2019/07/17(水) 00:46:32.02

ニートのお前らに任せてももっとマシなもの作るぞｗ
プロがどうやったらこんなもの作ったんだ

**名無しさん＠１周年** · 2019/07/17(水) 00:47:21.35

結局は、提携会社から信販会社へのキックバックで採算を取るから導入する会社にメリットは少ないだろうと

**名無しさん＠１周年** · 2019/07/17(水) 00:48:20.93

どういう状況でこの仕様にGOだすんだよワロタ

**名無しさん＠１周年** · 2019/07/17(水) 00:48:31.94

>>970
ベンダーがいなかったに一万ペリカ
いや、マジでいるとは思えない仕様

といっても、このクラスで運用するのに中小並の社内生産なんてしないと思うんだが
…謎だな

**名無しさん＠１周年** · 2019/07/17(水) 00:48:36.97

開発下請けの中国人がセキュリティホール(という言葉が妥当かはさておき)をマフィアに横流ししたんじゃないの

**名無しさん＠１周年** · 2019/07/17(水) 00:49:53.69

やはり現金が最強だった
なんといっても歴史が違う

はやりものに飛びつく奴はバカ

**名無しさん＠１周年** · 2019/07/17(水) 00:50:13.91

攻撃する側はそういうシステムだって知ってたんじゃないの
おもらしがあったんじゃないのかな

**trick ★** · 2019/07/17(水) 00:50:13.95

【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
https://asahi.5ch.net/test/read.cgi/newsplus/1563292200/

**名無しさん＠１周年** · 2019/07/17(水) 00:50:35.34

>>963
企業側が普及させたい理由はわかるんだよ
むりやり餌ばらまいてるのが目に見えてるのに
それに飛び乗る消費者心理が良うわからんということ

**名無しさん＠１周年** · 2019/07/17(水) 00:51:26.62

>>968
ポイントは現金じゃないんだぜ。実際、現金に戻す手段はないし、現金に近い換金ルート発見されたら即座に塞がれるだろ

**名無しさん＠１周年** · 2019/07/17(水) 00:52:56.88

>>973
答え:仕様にない

**名無しさん＠１周年** · 2019/07/17(水) 00:53:12.86

>>977
破られるまでが早すぎ
解析してどうこうという話とは違う。
組織犯罪の気配もあると直ぐに報じられとるし

**名無しさん＠１周年** · 2019/07/17(水) 00:53:49.60

>>974
アホ提案したコンサルもクソだが、もともとオムニ7担当してたのはNRIだから信用失墜は逃れられないな
アプリや7payはまた別のベンダーだが

**名無しさん＠１周年** · 2019/07/17(水) 00:54:00.10

>>981
しようがないな

**名無しさん＠１周年** · 2019/07/17(水) 00:54:13.12

これ今後も運用するつもりなの？
基本設計からやり直しになるよね…？

**名無しさん＠１周年** · 2019/07/17(水) 00:54:32.32

結局誰も責任とらないんでしょ？

**名無しさん＠１周年** · 2019/07/17(水) 00:54:39.60

こんな会社が作るフランチャイズ契約www

**名無しさん＠１周年** · 2019/07/17(水) 00:54:47.73

>>986
これ

**名無しさん＠１周年** · 2019/07/17(水) 00:55:21.55

>>982
いやこのセキュリティ加減だとリリース初日に遊びて試したやつが破れるレベルだろう

**名無しさん＠１周年** · 2019/07/17(水) 00:56:05.54

>>979
普及させたい側は流行しなくてもしつこく何度も流すことでいつかそれが通常になることを狙ってる、と
消費者側には流行に飛び乗る心理がある

>>982
これが真相なんだろうな
それにしてもあほすぎるけど
それならまだほっとできるという辺りが日本の状況は悪すぎるというか

**名無しさん＠１周年** · 2019/07/17(水) 00:56:24.85

>>986
さすがに個人株主は売りに走るだろうから
株価低迷で大株主が責任取るだろ

**名無しさん＠１周年** · 2019/07/17(水) 00:58:47.10

しかもnanacoも含めて損害は補填しないと表示されるからな。スマホ落としたりした事考えると怖いわ

**名無しさん＠１周年** · 2019/07/17(水) 00:58:50.24

>>938
リアルにベンダーいたのが信じられない
幽霊ベンダーにしても外側だけ貸し出しにしても

本気でちょっとHP作ったことあります！なヒトに
中小が通販サイト作らせたらセキュリティなかった、とかいうレベルなような
ありえんよな

**名無しさん＠１周年** · 2019/07/17(水) 01:00:06.38

>>980
7ぺの特性とクレカの決済は別のお話。
7ぺを換金しにくいから、現金決済ではないとか繋がっているようで違う。
なんで直接ポイントではなく信販決済にせんのか？ということ。
7べのポイントにすることで見えない借入をやらせて、運営会社は現金を調達できることに旨味がある。

**名無しさん＠１周年** · 2019/07/17(水) 01:00:22.12

オムニ7　→　7iD で　ＳＮＳログイン導入で、セブンも外部との連携、欲をかきはじめた。
　大手がかかわっている可能性もあるし、かかわっていない可能性もあるだろうし。
まあ規模からいって、ＮＴＴデータとかじゃないだろ。

　ウェブのところで、全部みすってるかんじ。　誰がこれをやろうとしたか。

**名無しさん＠１周年** · 2019/07/17(水) 01:00:49.69

どっかの本の外部IDを使ったログインのサンプルコードそのまんま使ったんでしょ

**名無しさん＠１周年** · 2019/07/17(水) 01:00:50.86

>>992
nanacoも設計ミスだと思うわ。オートチャージ機構考えたアホは誰だよw
Suicaと違って無効化反映すぐにできないのに

**名無しさん＠１周年** · 2019/07/17(水) 01:02:43.08

>>989
これ、試すといっても試しにもならないレベルだろう
破ってどーするんだよ？という

>>985
一番ありえんのは、これを損害算定してこのまま動かそうとしてることか

**名無しさん＠１周年** · 2019/07/17(水) 01:03:10.23

>>992
補てんなしとか有り得ないだろ。。

**名無しさん＠１周年** · 2019/07/17(水) 01:04:38.69

>>4
プロなら罠だと思って回避するだろうな
内部事情に詳しい奴が糸引いてるだろ

**1001** · Over 1000

このスレッドは１０００を超えました。
新しいスレッドを立ててください。
life time: 5時間 26分 54秒

**1002** · Over 1000

5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。

───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/

▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php