RSSおすすめ記事です

スポンサーリンク

7pay、攻撃にメルアドすら必要なかった 連番IDを総当たり→APIがトークン返す→犯人ログイン可能

ニュースキャッシュレス, セキュリティ

セキュリティ

スポンサーリンク

7pay、攻撃にメルアドすら必要なかった 連番IDを総当たり→APIがトークン返す→犯人ログイン可能

1 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。

Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

(略)

// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」


スポンサーリンク

ネットの反応

4 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:39:22.83 ID:Ts093sXg0.net
Left Caption

第三者がパスワードリセットできた

第三者がパスワードなしでログインできた

第三者が何も知らなくてもログインできた ←いまここ!

764 : 名無しのシステムエンジニアさん 2019/07/16(火) 22:04:36.97 ID:a81SnBT10.net
Left Caption

>>4
さすがにこれ以上はないだろ

もう思いつかないよな?w

7 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:39:49.08 ID:IRJQN1Bn0.net
Left Caption

20年前に作られたのかこれ?

98 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:51:29.85 ID:LIgh7rAx0.net
Left Caption

>>7
さすがに30年前じゃね?

8 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:40:06.31 ID:ki28vRxb0.net
Left Caption

外部連携してなけりゃセーフ?

22 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:41:47.48 ID:10C+2APj0.net
Left Caption

>>8
パスワードなしでもログイン可能
他人がアクセスして勝手にパスワードとメアド変えられる

使いたければどうぞ

10 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:40:35.95 ID:8KHeD2kT0.net
Left Caption

7秒でPayされる

688 : 名無しのシステムエンジニアさん 2019/07/16(火) 21:17:56.43 ID:itBKh5E90.net
Left Caption

>>10
これ好き

17 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:41:25.68 ID:fQb69QcI0.net
Left Caption

まるで俺が突貫で作ったAPIみたいだ

21 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:41:45.86 ID:X01FFNri0.net
Left Caption

こんなシステム過去にあったかなあ?

43 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:44:35.76 ID:mIfwSLMV0.net
Left Caption

>>21
PSNだったか、出来たばかりの頃に自分のIDでログインさえしておけば
URLのIDの数字いじるかなんだったか方法は忘れたけど、とにかく他人のアカウントに入り放題だった

69 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:48:04.27 ID:X01FFNri0.net
Left Caption

>>43
ソニーはノーインジェクションでネットサービスした男前だからなw

37 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:43:57.07 ID:+xqQ+j5w0.net
Left Caption

俺が小学生の頃運営してた掲示板よりひどい

72 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:48:16.94 ID:NLJbrU+u0.net
Left Caption

>>37
今日一番笑った

44 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:44:41.12 ID:bCAtUHvp0.net
Left Caption

ハッキング入門なのこれ?

424 : 名無しのシステムエンジニアさん 2019/07/16(火) 20:29:24.91 ID:ah39Vv7d0.net
Left Caption

>>44
簡単過ぎてクラッキングの練習台にもならない
初めてのネット犯罪体験用かな?

77 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:48:54.60 ID:mT5OQcJy0.net
Left Caption

キャッシュレス決済はこういうのが怖い

78 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:48:57.62 ID:yN9S/4XO0.net
Left Caption

ここに個人情報を預けるのはもう金輪際ないだろうな
セキュリティ管理以前のレベル

82 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:49:13.87 ID:/Gpb7ATZ0.net
Left Caption

いいぞ
どんどんやらかして
セキュリティ業界に金を回してくれ

85 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:49:37.00 ID:2ssM0Nok0.net
Left Caption

…これさ、脆弱性診断とかやってないの?
設計がアホなのが一番の問題だけど、まともな機関に診断させたら
実際のサービスを始める前に問題は見つかると思うんだけどな

532 : 名無しのシステムエンジニアさん 2019/07/16(火) 20:44:41.08 ID:rzLHRw300.net
Left Caption

>>85
社長曰く、脆弱性テストはやった
まともなテストだったかは知らん

542 : 名無しのシステムエンジニアさん 2019/07/16(火) 20:46:08.46 ID:DPqrrGKm0.net
Left Caption

>>532
脆弱性がないか確かめるためにプログラム作ったパソコンを軽く叩いてみました!
だったらどうしよう

93 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:50:39.67 ID:KGzg6ADi0.net
Left Caption

Pay系で撤退はいまのところないと思うけど、
7Payが初の撤退になりそうね

124 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:53:40.79 ID:QykGHHQh0.net
Left Caption

>>93
撤退というかシステムがない

120 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:53:25.37 ID:BE9PJ32V0.net
Left Caption

ここら辺の仕様って規準とか決まってんじゃねーの?
一から全部構築じゃなく、先達が作り上げた遺産とかゴロゴロ転がっていると思うんだが。

151 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:56:30.39 ID:khwThx380.net
Left Caption

外部システムに乗っかっときゃよかったのに
遅れまいと急いで作ったはてがこれか

155 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:57:00.16 ID:z9ayClK80.net
Left Caption

マイクロソフト「もうすぐパスワードがいらない社会が来る」(セキュリティの発達で)
セブンペイ「我が社はすでにパスワードいらないシステム作りました」(セキュリティの解消で)

言ってることは同じなんだが、やってることがすげー違うな。

156 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:57:03.19 ID:1cTvoaWT0.net
Left Caption

クレジット会社も補償したくねえだろこんなの

157 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:57:14.66 ID:twHya3F80.net
Left Caption

ハカー:俺ID123456だけどLINEで連携してるんだよ
セブン:(その組み合わせは合ってないな)…ダメ
ハカー:俺ID123456だけどYahoo!で連携してるんだよ
セブン:(その組み合わせ正しいな)…OK、通っていいよ

こういうこと?

164 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:58:15.69 ID:3QI4hOS70.net
Left Caption

>>157
いや、そのレベルにすら到達していないww

193 : 名無しのシステムエンジニアさん 2019/07/16(火) 20:01:32.28 ID:twHya3F80.net
Left Caption

>>164
どんだけだ…

163 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:58:11.54 ID:nzDx8nln0.net
Left Caption

なんとかペイ乱立しすぎだから、これは中止で良いでしょ
こんな汚点ついたらもう逆転の目は無い
傷が広がる前に止めるきっかけ出来て良かったと思わないと

173 : 名無しのシステムエンジニアさん 2019/07/16(火) 19:59:02.84 ID:2cVj5kO50.net
Left Caption

金融庁から査察が来るレベル

Posted by flac