【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明
■ このスレッドは過去ログ倉庫に格納されています
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
(略)
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
「オムニ7アプリ」のソースコードがGitHub上で公開されていた?
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
(略)
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
別のソースコードを日本の企業が削除した痕跡
オムニ7アプリ
オムニ7アプリ。現在もAppStoreなどで配信中だ。
撮影:7pay取材班
ソースコード漏洩の懸念については、別の気になる動きもあった。
ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。
以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。またソースコードBに関連するアカウントには、ソースコードAのときと同様に“iからはじまる7文字のアカウント”も含まれる。
omni7_2
編集部が7月19日時点で保存したスクリーンショット。コミット者の名前として“iからはじまる7文字のアカウント”の人物も確認できる(モザイク処理をしています)。開発の初期段階のバージョンなのか、フォルダー構造などは異なる。
7pay取材班
ソースコードBにはその後、興味深い動きが起こる。
GitHub上で日本企業が、アメリカのデジタルミレニアム著作権法(DMCA)にからんだ申し立てをし、運営から受理され、その後削除にいたったのだ。そのログも公開されている。日付は現地時間の7月18日。
7pay_sourcecode-1
申し立て内容の要点をまとめると、
このソースコードの権利者は「Seven & i Net Media Co.,Ltd.」である
オリジナルのソースコードは7月11日に削除。しかし、そこからフォーク(複製)されたソースコードを発見した(ソースコードBのこと)
フォークされた「関連するソースコード」の権利者が我々であることは、以下「omniMbaas〜〜〜」で始まる一連の4つのソースコードの権利表記で証明できる
DMCAテイクダウンの申請者はNTT DATA MSE社
というものになる。
https://www.businessinsider.jp/post-195187
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w640.jpg 松下「さっさと厄介払いしておいてヨカタ \(^O^)/」 最初のソースコードがのってたのが2015年
時期的に今回のアプリではない
アホが何も考えずに問題抱えてるアプリを
パクったな どこかで開発してるのはNECで窓際社員が開発したからこんなことになった
って記事を見たけど、全然的外れな話だったわけか。 以前バケツでウラン燃料濃縮作業やって臨界事故起こしたバカがいたけど、
今回の事件はそれに匹敵する間抜けぶりだなw 誰かソースちょうだいwww
APIからJsonかなんかでpostリクエストを特定IPからのアクセスにしたら商品注文しまくりやん。
色々突破に必要なことはあるがソース解析したら設計書もらうより楽だわww >>785
NTTData ならもしや。。
xmlが正解かも!www >>757
スクリプト言語しか組めないんじゃね?無能だから。
IT上がりのコンサル職だがいくら積まれてもNTTDだけは全力でお断りしますだわ。 >>11
それはそうだけど弱くなるのは確か
Linuxでも常にセキュリティパッチはあるしね まさかNTTデータだけって訳じゃないだろうけど何社絡んでるんだろうな。
野村総研の名前が出てこないのが不思議で仕方ないんだが。 >>786
あそこSOAPに妙な拘りでもあるのかね? >>789
NRIとORACLEは確実にガッツリ関わってますがなw
あとミドルで日本ユニシスもか?
実際、オムニ7の開発現場はカオスの一言に尽きるわorz
狭い部屋に技術者がぎゅうぎゅう詰めで、中国語と韓国語とインド訛りの英語が飛び交っていたし
時折セブン&アイの偉い人が見回りに来て、前もって挨拶と拍手の練習をさせられた事もあったし… >>788
なんでIISに深刻なのが見つかっちまうんだろうな、最近でも 今後の案件でGitHub使いづらくなったら面倒だし
変な事例増やすのやめていただけます?て感じはある しかし>>1のユースケって奴もソースをダウンロードしたくせにスクリーンショット
だけを出してるってことは後ろめたいって認識があるんだろうな。 >>259
他人が流用して価値あるコードなら善意でバク潰されるだろうがそうでなければ攻撃者の餌食になるだけ >>50
会社辞めた人達や子会社の人の所へ流してると思う
電話掛かって来てる時点でダダ漏れの信用ゼロの会社だと思う >>513
そのとおり、漏れてます
絶対認めないやろうけど セブン銀行解約しようとして電話したら暗証番号入力しろとか言われた
頭おかしい >>793
狭い部屋にすし詰めか
京都アニメーションみたいだな >>764
ワイもスマホ持ってないときに
クラブで「写真撮影してくれ」と
スマホを渡されたんだが、どこを押せば良いのか分からず
呆れられたことあったわ。。。
スマホ所有したら、すぐに撮影方法分かったが
スマホ持ったことも無いと、写真撮影すら分からんからな
QRコードなんて分からんだろ 今回のおもらしするアプリをつくった業者を発表できないならやめたほうがいいんでないの。
フェイクニュースにしかみえんわ。 >>23
街の携帯屋やネットで光を契約したら
あれこれ勧誘の電話をずっと待ってますって言ってるようなもんだよ このユーザ、中華系のリポジトリのフォークが多かったからおそらく中国人 中華(笑)とか誇大妄想まき散らしてるお前がクソシナ野郎だろ パナソニックは不要人材リストラのつもりでNTTデータに売却したのに
まだ解雇処分してなかったのか
不良資産だな MSEの技術スキルは東京コンピュータサービスと同レベル
下請けは素人人材派遣会社で下請け丸投げ 神奈川大学とか東海大学とか理系Fランしかいないのに
手配師ばっかで仕事しない会社だったよな
それでガラケー開発中止と同時に社外へポイ 今回の不始末で、嫌でも不良資産の処分は加速するだろう。
NTTデータもいい加減見限って売却するんじゃね?
問題は買い手が付きそうにない事だけだが。 盆暗集団パナソニックも詐欺集団NTTも日本にとっての不良資産だろ
日銀から金もらって高額給料受け取ってんじゃねえよ害虫 >>779
7payの認証基盤はomni7を使っている
omni7のリリースは2015年
まさに今回の攻撃ターゲットとなった機能 キャッシュ見たけど、svnディレクトリあったのとユーザ名がigapon7とかいう個人っぽいやつだったから、多分svnでやってたデータをバカなフリーランスか協力会社のやつが勝手にあげたんじゃないかな
対象のアカウントのキャッシュ追ってみると日付のリポジトリ名で中身同じっぽいリポジトリの痕跡も複数あったから、多分こいつgitの使い方わかってない気がする 要約するとまた在日韓国企業が隠蔽しようとしたって事か? >>83
そんなにすごいことになってるのか(´・ω・`) >>824
結婚できたら、あ。その前に就職できたらレス頂戴ねw ■ このスレッドは過去ログ倉庫に格納されています
