【速報】7pay、パスワードなしでログイン出来る脆弱性が判明

1: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 21:54:11.59 ID:fKPhIUb79
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
 
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
 
関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
 
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
 
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
 
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
 
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn

 
 
 


 
547: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:48:00.59 ID:r6lewGf/0
>>1
なんでどいつもこいつも電子マネー使おうと思うのか
現金でええやろ現金で
日本銀行券舐めんなよ

 
 
 
592: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:53:38.91 ID:jRyqR+730
>>1
> あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
 
 
これはどういうこと
一旦ログインすると、getUserData(user_id=….)みたいなリクエストが自由に通るって事?

 
 
 
603: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:55:33.50 ID:MRNC4soU0
>>1
7pay作ったのはどこ?
運用じゃなくて、このシステム作った会社

 
 
 
612: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:56:13.45 ID:S86xQmm/0
>>1
どこのシステム屋が作ったん?

 
 
 
12: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 21:55:53.74 ID:cOirbDBm0
だからSuicaに統一しろってあれほど言ってんだろ
 
 
 
16: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 21:56:27.32 ID:1x4qMRs70
何で頑なにSuicaを広めようとしないわけ?
 
 
 
62: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:01:35.51 ID:bjT9XKL20
どこに委託して作ったんだ
 
 
 
63: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:01:37.38 ID:NvWz7ZbF0
なんでこんなことが起きてるんだ
 
 
 
76: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:02:54.53 ID:Pf/466iI0
色んな人のクビが飛ぶんだろうな・・・
ようやくデスマから開放されたであろう人たち、大丈夫かな

 
 
 
98: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:04:02.48 ID:ujEzNjXz0
下請けは注文通りに作っただけだろw
責めんなw

 
 
 
64: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:01:46.81 ID:8oHKHZ4S0
システム担ったとこどこだよ
セブンやそこが上位にいる限り日本に蓋し続けるわ

 
 
 


 
107: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:04:40.45 ID:uf+YKbr10
>>64
子請けだか孫請けだかひ孫請けだかいるんだろw
製造業のモデルをそのまま持ってきてるのがそもそも駄目じゃなかろか

 
 
 
124: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:06:00.00 ID:x1Bj44E+0
もともと支那の人民解放軍のサイバー部隊がケツモチの黒社会の連中が
開発段階で下請けにスパイ工作員を送り込んでたりしてたら
日本企業はちゃんと採用でスクリーニングできるの?

 
 
 
130: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:06:29.17 ID:kuM4iS2z0
もしかしてセブン銀行も気付かれてないだけで実は似たような体質で運営されてるとか?
 
 
 
145: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:07:37.55 ID:SyEH5AsO0
セブン&アイ・ホールディングス
ダメな会社だな
飲食物にもトラブルありそう

 
 
 
156: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:09:06.01 ID:9brIsEkS0
確か中国人ふたり捕まってたのね
他もヤバいんじゃねもしかして?

 
 
 
199: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:12:23.76 ID:5iFgrUf30
あんな既存のゴミアプリにポン付けで決済システムを載っけるなんてアホとしか言いようがない
 
 
 
200: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:12:29.58 ID:vyKKMchv0
何とかpayって危険すぎる
電子マネーとクレカとかでいいだろ

 
 
 
252: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:17:21.50 ID:G/5ba7qY0
これ、googleならgoogleに登録してあるメールアドレスを7idにコピペしているだけのような動きをしていたけどやっぱりおかしかったのね。
 
googleの2段階認証を求められなかったから、あれ?って思った。

 
 
 
253: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:17:22.29 ID:MVzrbhjc0
インパール作戦(インパールさくせん、日本側作戦名:ウ号作戦(ウごうさくせん))とは、
第二次世界大戦のビルマ戦線において、1944年(昭和19年)3月に[3]帝国陸軍により開始、7月初旬まで継続された、
援蒋ルートの遮断を戦略目的として、イギリス領インド帝国北東部の都市であるインパール攻略を目指した作戦のことである。
作戦に参加した殆どの日本兵が死亡したため、現在では史上最悪の作戦と言われている。

 
 
 
31: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 21:58:35.27 ID:sj2hLr0q0
..   …
現  金  最  強  伝  説

 
 
 
46: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 21:59:48.53 ID:9brIsEkS0
>>31
やっぱ現金だよな
国内怖すぎるわ

 
 
 


 
204: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:12:50.52 ID:7E0xjE/q0
>>46
現金も盗まれる、紛失する、破損するなどの脆弱性があるぞ
保証も完璧ではない

 
 
 
226: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:14:48.02 ID:inSz6BCA0
>>204
でも普通
本人以外は
銀行口座からは引き出せないから

 
 
 
254: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:17:25.47 ID:7E0xjE/q0
>>226
勘違いしているようだが、銀行口座に入っている間は現金ではない
現金に換金出来るだけだ
一昔前には給料の口座振込すら拒否し現金手渡しに拘るバカがいたが現代では生きることが許されていない
電子マネー拒否者もいずれ同じ道を辿る

 
 
 
78: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:03:05.27 ID:qRvhtVkX0
7pay「7/11なんやから何がなんでも7月11日までにリリースしろや!」
 
ってホント?

 
 
 
243: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:16:22.86 ID:qLubFwsB0
>>78
少しでもお仕事したことある人間ならこれだけの規模の障害をたった数日で修復できるわけがないということはわかるよな?

 
 
 
255: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:17:36.61 ID:qRvhtVkX0
>>243
修正は知らんよ。
最初のリリース日が7/11マストだったらしいんだわ。

 
 
 
265: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:18:35.95 ID:onRxDw0G0
というか銀行システム並みのセキュリティ意識が最低限必要なのを全くわかってないよねw
 
 
 
283: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:20:11.43 ID:jRM6Sboo0
セブンに限らず、「Facebookでログイン」とかは絶対やらない
 
 
 
306: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:22:04.87 ID:By8idXtV0
IT後進国らしい出来事だな
まともなソフトウェア技術者がおらんのか
セブンって相当大手だろ
請け負ってるのも

 
 
 
332: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:24:23.16 ID:j127NS7L0
これじゃあ完全に世界の笑いモノですよ
日本に目をつけだす海外勢も多くなるんじゃねぇの

 
 
 
336: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:24:50.18 ID:hRlTVeli0
受注側もまともに動くと思ってなくて
お前らにテストさせればいいやぐらいにしか思ってなさそう

 
 
 


 
368: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:27:43.08 ID:UZVfSENY0
まさにペイしているのだね?
 
 
 
387: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:29:52.52 ID:wMMMlfEi0
> チェック手順が実装されていなかった
 
なるほど
一切試験なしでリリースか
 
やるな
 
試験してたら気づくハズだからな

 
 
 
407: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:33:21.58 ID:/ndQDK6U0
なんで?
意味わからん

 
 
 
421: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:35:24.92 ID:4l/Mg4TV0
何で、セキュリティも優秀なナナコで20%ポイントとかしないんだ?
ナナコ使えば投資0だろうが。

 
 
 
337: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:24:50.92 ID:TQVLMFJ+0
単純にテスト、メンテモードが抜け穴だったのでは
 
 
 
377: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:28:20.31 ID:UwjSxc170
>>337
発注側が受け入れ基準を定められない無能の集まりだったのと、
発注側が無茶苦茶なスケジュールで多分リリース直前までどうでもいい仕様ばかり追い求めて
肝心なところ御座なりにし続けた結果、開発側がまともに機能組めずに放り投げる形でリリースされた。
と思う。

 
 
 
425: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:35:34.99 ID:5cVgGayI0
>>377
今頃
7/11「お前らの作ったpmjwgwamdw」
孫「ですから言いましたよね」
 
の繰り返しかな

 
 
 
430: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:36:06.12 ID:uf+YKbr10
何も分かってないのが上にいるのも今更だがおかしいわなw
大企業の世界知らないからよく分からないけどどんな不思議世界なの

 
 
 
435: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:36:38.23 ID:xBu5HTtD0
セブン&アイが仕様決めたのだろうけど
設計したり作っているところはどのgdgd会社だよ

 
 
 
461: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:39:36.41 ID:F0ZaX+Oi0
二段階認証って、何?w
 
 
 
487: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:41:49.29 ID:F0ZaX+Oi0
セブンイレブン・ブランド全体の大きなイメージダウンだ
はまったな

 
 
 


 
493: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:42:28.24 ID:S5n5WnLn0
開発元を晒せよ
どこなんや?

 
 
 
495: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:42:41.27 ID:BZ9j/cLj0
やべえ
素人の作るWordpressサイトよりも脆弱ってどういうことだよ

 
 
 
497: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:43:04.78 ID:ZczuJbgP0
アホはパスワードは暗号化さえしていればいいと思って設計してる
 
いやこれけっこうマジな話

 
 
 
468: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:40:27.04 ID:483Ktr620
システム設計の問題でもあるんだけど、PM的にはセキュリティ面の第三者検証を
やってない事が大問題な気がする
 
テストを底辺エンジニアに任せっきりなのは日本のシステム開発の悪い癖なんだよね

 
 
 
502: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:43:52.86 ID:OEigST1E0
>>468
酷い所は、第三者検証に振り当てる期間と資金は遅れても良いバッファーって考えてる奴が居たりするからね

 
 
 
515: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:44:34.78 ID:jRiIxKOi0
もう電子マネーはいいよ、日本にはいらない
世界で普及してるからとかじゃなくて日本人の気質に合わないだろ

 
 
 
535: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:46:43.05 ID:RdXyVKet0
これで経産省も電子決済普及の腰を折られてしまったな
10月の消費税増税までに不信感の回復も間に合いそうに無いし

 
 
 
545: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:47:44.47 ID:jRiIxKOi0
今までカード決済生活しててポイントもすごい溜まったりしてたけど、数ヶ月前から完全現金生活に切り替えたたら、ポイント以上に貯金がめっちゃ溜まるようになったw
 
 
 
554: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:49:01.88 ID:qRvhtVkX0
>>545
父はポイントの類大好きなのですが、ポイント目当てにたくさん買ってきて
腐らせて、結局ポイント以上に損してるバカです。

 
 
 
589: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:53:04.76 ID:uOyglv3o0
これが日本の技術レベルなんだろマジで
 
過去の遺産食い潰してるだけで
未来ないわな

 
 
 
558: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:49:12.30 ID:vjbWQ1Va0
>>468
仕様の段階で机上テストできるだろ

 
 
 


 
594: 以下、ニュー速ぷららがお送りします 2019/07/12(金) 22:54:11.55 ID:OEigST1E0
>>558
机上も実機もそうだけど、その仕様を疑える奴が仕切らないと時間だけを浪費する無駄な実績が出来上がる