【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明

【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明

1: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:30:20.66 ID:cr5imX9N9

 
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
 
(略)
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
 
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
 
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
 
「オムニ7アプリ」のソースコードがGitHub上で公開されていた?
 
 
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
 
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。
 
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
 
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
 
ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
 
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
 
(略)
削除直前の足跡から、このソースコードはGitHub上で2015年5月~7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
 
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
 
別のソースコードを日本の企業が削除した痕跡
 
オムニ7アプリ
オムニ7アプリ。現在もAppStoreなどで配信中だ。
撮影:7pay取材班
ソースコード漏洩の懸念については、別の気になる動きもあった。
 
ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。
 
以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。またソースコードBに関連するアカウントには、ソースコードAのときと同様に“iからはじまる7文字のアカウント”も含まれる。
 
omni7_2
編集部が7月19日時点で保存したスクリーンショット。コミット者の名前として“iからはじまる7文字のアカウント”の人物も確認できる(モザイク処理をしています)。開発の初期段階のバージョンなのか、フォルダー構造などは異なる。
7pay取材班
ソースコードBにはその後、興味深い動きが起こる。
 
GitHub上で日本企業が、アメリカのデジタルミレニアム著作権法(DMCA)にからんだ申し立てをし、運営から受理され、その後削除にいたったのだ。そのログも公開されている。日付は現地時間の7月18日。
 
7pay_sourcecode-1
 
申し立て内容の要点をまとめると、
 
このソースコードの権利者は「Seven & i Net Media Co.,Ltd.」である
オリジナルのソースコードは7月11日に削除。しかし、そこからフォーク(複製)されたソースコードを発見した(ソースコードBのこと)
フォークされた「関連するソースコード」の権利者が我々であることは、以下「omniMbaas~~~」で始まる一連の4つのソースコードの権利表記で証明できる
DMCAテイクダウンの申請者はNTT DATA MSE社
というものになる。
www.businessinsider.jp/post-195187

 
 
 


 
399: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:43:46.59 ID:MVTIHM1Y0
>>1
大事なのはその漏洩したソースコードが今回の事件に直接関わってるかどうかだ
 
大して関わってないと思う
バグでもなく解析の必要もなく、単に仕様がおかしかっただけかと

 
 
 
462: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 14:02:54.48 ID:leFplfKb0
>>1
ったく、これだから日本の理工系は…

 
 
 
637: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 04:21:43.56 ID:v8EvCC290
>>1
ギブハブ?

 
 
 
663: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 11:30:20.98 ID:E/4Loyzp0
>>1
>>560
ど底辺の憩いの場

 
 
 
9: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:33:07.64 ID:H9K8ti+v0
そもそもオモニってなんだよ気持ち悪いゾ
 
 
 
11: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:33:13.89 ID:1ZWi0QBa0
ソースコード流出してもセキュリティ的に影響ないように作れるはずなんだがな
 
 
 
14: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:33:34.44 ID:XbEJXkww0
また、みかかかよ!
 
 
 
22: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:37:04.31 ID:bdCzPddj0
<丶`∀´>オモニ?
 
 
 
21: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:35:40.21 ID:JMJGWqv20
NTTは工作機関だからな
 
 
 
23: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:37:14.88 ID:XbEJXkww0
>>21
光の契約情報も漏れてるぜ、俺は契約してないから来ないけど、契約してる所は、プロバイダから電話来まくり、契約してない所は来ないと言う事が起きてる

 
 
 


 
63: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:57:53.90 ID:W6PGketH0
きっとオンラインのPCで開発しちゃったんだろう。
 
 
 
7: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 09:32:44.97 ID:eUNbx60c0
> 解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。
 
俺でもできそう

 
 
 
107: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:18:15.75 ID:b8JUiMwv0
>>7
でもこう言うのコードに直接書いちゃうんだ、、

 
 
 
113: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:19:14.56 ID:pIatPEeL0
>>107
ソースコードを公開しちゃうような頭の悪いプログラマなら良くあること

 
 
 
120: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:23:43.16 ID:JquORh+Q0
やっぱりNTT DATAか、あそこの管理は
 
 
 
145: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:35:12.48 ID:NFO57Fuv0
お金目当てじゃなくてサイバーテロ用に見つけた穴なら犯人もその時が来るまで動かないから
穴があってもこっちも気づかんやろな

 
 
 
164: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:42:39.45 ID:+ZOIFl3V0
オムニというとロボコップしか思い出さんわ
 
 
 
191: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:55:47.52 ID:nPX+UbfY0
スマン、何がダメなのかよくわからない
 
 
 
192: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:55:48.39 ID:kegM6PuS0
NTTデータは月200時間まで残業しても残業代を払わないで
一律固定40万とかいうゴミ単価で低級エンジニアを掻き集めてるからこんなことはよくある
 
当然、ゴミ単価に見合う人材は”農村部から出てきた未経験の中国人”とか
”仕事のない韓国人”ばかりなんで、反社会勢力がカネちらつかせだけで
平然とHDD盗んだりデータをUSBメモリに入れて帰国したりするよ

 
 
 
199: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 10:59:45.10 ID:s8jum/LL0
電子マネーの乱立はやめろ!
セブンペイとか作ってる暇あったらむしろナナコをスイカと統一してポストペイも選択可能にしてくれ
 
QRなんて中国人も非接触IC使えるようになったら使わんくなるぞ
一時あんな多かった銀連もVISAと提携するようになったら誰も銀連としてなんか使わなくなった
 
早くスイカに統一しないと国内の縄張り争いで日本発の発想が全てアメリカに持ってかれたガラケーの二の舞だ
今はまたあれをやらかすか世界の電子マネーを日本が握るかの分かれ目

 
 
 


 
264: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:36:06.75 ID:YaERiqvj0
ば~~~かwwwwwwwww
おまえらはさw ウスノロなんだからgitとか使うなよw
こいつらなんで直ぐ新しいものに飛びつくんだろ
結局このザマだし
gitなんか割れのシリアルの公開ぐらいにしか使い道は無いからw
俺は自分の死命を他人に預けるなんて発想はまったくないわw

 
 
 
266: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:37:38.03 ID:e2PMJMPp0
>>264
おまえsvnでも使ってんだろw

 
 
 
278: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:42:48.89 ID:M3Bfeb1D0
開発室にスマホ持込禁止とかあるなかこれは…
 
 
 
286: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:48:26.96 ID:28lqlW8B0
やっぱり昔からあるおサイフケータイは優秀だな
 
 
 
291: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:51:45.02 ID:OXjxrg8E0
また岐阜が悪者にされるんだ
(´・ω・`)

 
 
 
294: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:54:24.42 ID:kk756agt0
沿革   NTTデータMSE
 
1979年 – 「株式会社ナショナルシステムエンジニアリング(NSE)」設立
1981年 – 社名を「松下システムエンジニアリング株式会社(MSE)」に変更
2003年 – 社名を「パナソニックMSE株式会社(PMSE)」に変更
2008年 – NTTデータの資本参加により、現在の社名に変更
2013年 – 本社を新横浜へ移転

 
 
 
280: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:45:38.53 ID:cgo8yeKE0
NTT DATAってこんな事をやらかすの?
 
 
 
284: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:47:22.31 ID:bkzJ4X/W0
>>280
そこで共有してテレワークでもしてたんじゃね?

 
 
 
309: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 11:59:09.82 ID:cgo8yeKE0
>>284
下手すると他の案件も流出してそう
五輪向けのシステムとかまで流出してたら笑う

 
 
 
340: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:09:49.17 ID:Men/Ci5/0
俺のハブも誰でも入手可能です(><)
 
 
 


 
364: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:19:04.68 ID:4SKqk5Dk0
7payはオープンソースだったのか
 
 
 
398: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:41:09.91 ID:28lqlW8B0
なんかギフハブって読むと思ってる人いっぱいいるの面白い
 
 
 
406: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:47:31.75 ID:MVTIHM1Y0
宿主が扉の鍵を閉め忘れて泥棒に入られたのが問題なのに、家の内部構造を気にする警察はいない
 
 
 
407: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:47:50.76 ID:a8dzlrXd0
ギフハブなんて初めて聞いたぞ
にわかどころじゃねーのが語ってんのか

 
 
 
416: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:51:08.09 ID:S0CDH3so0
>>398
読み方教えて
アスカがの発信力強すぎて読み方忘れたわ

 
 
 
422: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:53:12.51 ID:8PqXAZI70
ナナコもなんか不安だし、解約するかな。
 
 
 
424: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 12:53:43.77 ID:YuwauZ690
まあ、酷いうっかりだが
不正使用騒動はこれとは関係のない、単なる仕様ミスだしなぁ

 
 
 
443: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 13:25:01.04 ID:cT3v/a5O0
これすでにtorrentでソースコード出回ってる可能性高いな・・・
7payどころかオムニ7システム使ってる全サービス終了か。

 
 
 
453: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 13:39:20.70 ID:osCJFsex0
7アプリ消したほうがええんか?
 
 
 
466: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 14:05:24.50 ID:GqmSTjc+0
きのうNTT東日本からセールス電きた ババアだった
「なんどももうかけないでと言ってるのになぜかける」
「そういう苦情は116に言ってください」
あたま沸いてるとしか思えない返事
NTTはかんぜんに反社

 
 
 


 
495: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 14:56:15.15 ID:GOS1JRzi0
ソースコードは建物や金庫の設計図みたいなものだから
キーが直接書いてなくても侵入経路の穴がバレちゃうんだよ

 
 
 
545: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 18:07:12.80 ID:yN8bB60p0
NTT Dataって日本のトップなのにセキュリティの意識って低いの?
 
 
 
573: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 19:24:35.14 ID:VevFat0O0
GitHubに出てる事自体は必ずしも悪くないだろw
契約で社外秘とかだとアレだが

 
 
 
580: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 20:01:16.90 ID:Vo36++l80
>>573
なら何故今月になってから
デジタルミレニアム使って削除したんだよ?

 
 
 
597: 以下、ニュー速ぷららがお送りします 2019/07/24(水) 22:00:42.74 ID:KKMx6Ydu0
多重下請けだからNTTData本体も作業してる奴の素性なんて把握してないよ。
建前上は商流制限してることになってるが実際はいろいろ抜け道があるし皆嘘つきまくり

 
 
 
613: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 00:23:54.26 ID:bmDTP9cY0
買われたっていうか
お偉いさんが作った下請け会社を
直接関連会社にしたんだろうな
 
ソフトウェア業界より
マスコミにあるあるのパターン

 
 
 
628: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 01:36:34.46 ID:RmdBDGgg0
デバッグしてプルリク出しとけよ。
 
 
 
615: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 00:57:37.51 ID:B5NCUa6V0
>>545
彼らが良い仕事したって現場は見たことがない
なにがトップなのかな???
自慢とか?

 
 
 
640: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 05:22:12.39 ID:dsAIRqpe0
>>615
トラブルのない現場は話題にならない

 
 
 
614: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 00:56:23.85 ID:lxMk9WK80
NTTドコモ DoCoMo セクハラした変態を庇い被害女性を契約解除
egg.5ch.net/test/read.cgi/asia/1546876011/

 
 
 


 
645: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 08:33:35.92 ID:BODdFFcG0
>>614
これサラッとセクハラみたいに書いとるけど
実際はラブホに連れ込もうとして寝ないと契約更新しないと恫喝したんや
 
でもNTT労組は裁判が結審するまでは有罪じゃないと
自宅待機中のセクハラ親父の生活保障してたんや・・・
 
NTTグループはみんな腐ってるわ

 
 
 
648: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 09:33:14.60 ID:Ka2nvSbv0
>>645
それソースある??

 
 
 
649: 以下、ニュー速ぷららがお送りします 2019/07/25(木) 09:44:05.80 ID:BODdFFcG0
>>648
ソース言われても当時通信行政板で見聞きしとっただけやからな
でも確かセクハラ親父は明○って言う名字で加古川の自宅まで晒されてたな