TOP > 政治・経済 > 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN

226コメント 登録日時:2019-07-16 05:47 | BUSINESS INSIDER JAPANキャッシュ

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出て...

ツイッターのコメント(226)

セブンペイ(というか7iD)の脆弱性をきちんと確認してなかったので少しぐぐった。ふーん。/
これを読んでも、なお7iDを使う気になる人はいるでしょうか?
これだけ時間が経てばいくらなんでもトップも勉強する時間あったはずなので、自らの非は分かっていながら別のストーリーを作って言い張ってますな。

今後も信用できなくなった。。。
「7月11日、7payは当初の発表から1日前倒す形で外部ID(略)を急遽、遮断」「ユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
これはひどい、、、
7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由|
Githubの件もだけど、ちょっとこれはまずいですよ…7pay使ってみるか悩んでた次の日にあれだから、使わなくて良かった
HTTPS通信のbodyを解析するツールがあるので??🤔
これ、結局IDを総当たりで解析できるっていう結論を展開してるんだが、
じゃあ序盤の中間者攻撃を匂わせる記述は何だったんだよ。
これはアカン
7payの脆弱性が、Facebook, Twitterなどの外部ID連携にあったという話はなかなか面白い。
最近のアプリやWebサービスは当然のように外部IDと連携できるようになりました。
2年前くらいだと、自社のエンジニアが外部ID連携を
なるほど、そういうことなのね

Business Insider Japan: 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由.
認証無しでトークン発行とか、斬新すぎて笑えない・・・
その昔、アスキーネットというのがあってじゃな…

[ JAPAN]( )
これが本当ならomni7は外部ID連携で認証してなかったってことなんだけど、まじかよ... /
✅ ブログを1記事作成しました。
✅ 7Payの原因についての記事を読みました。

日本企業にWebシステムを作らせると危ない。
という結論でいいのかな?

ツイッターの見た目が変わりました✨
早く慣れないといけないですね。
id総当りのリクエストのペイロード。idとextIdSiteCd。これをランダムに入れ替えて総当りするとレスポンスにトークンが返ってくるというのは、その問題とはちがう。モザイクが掛かってるけどリクエストのidが十分に短いから本当に「id」っぽい。
えええ…?OpenIDのセッションIDをほぼ生ID使ってたってこと??普通にOpenID用のライブラリ使ってるだけでそんな実装にはならんと思うのだが。全部自前で書いちゃってそんなことになったのか? / “狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由…
まだまだ何かありそうですね(ーー;)
このご時世によくこんなのを放置したもんだよな。どう考えたってスピードなんかより、なんかあった時のリスクの方が大きすぎる。企業体質が見え隠れしてる気がしてならない。。
@BIJapan
ほえー //
容易に総当たりで突破できるって竿竹屋も超える30年近く前のセキュリティシステムではないか?
二段階認証云々で判断されるようなことではない!とセブンの社長は言ってたが、まさしくその通り。
外国の会社に作らせ他のだろうか?
その気になったら当てられるOAuthのIDのみで認証しているなんてヤバ過ぎる
すごい実装だ…。これでもまだ被害にあった人の状況説明しきれないわけだから、この他にもまだなんかあるのかなぁ。
「7pay使っておにぎりもらった〜!」ってTwitterとかFacebookに書き込んだら、一瞬で乗っ取られる状態だったのか…

ザルすぎる。
やっぱり外部連携の管理に脆弱性あったのか。7pay再開は当面無理だな。
そこはかとなく漂うi-mode臭・・・、こういうの00年代のガラケーシステムでは非常に一般的だった
いつぞやの青い銀行を超えるクソ設計
継ぎ足し継ぎ足しで訳が分からなくなってたんだろうな。 -
の脆弱性続報3




つまりTwitter/FB/Line等の垢使ったルートでのハッキングでは
パスワードだけでなく
emailすら必要なかったと言う事

解決するだけでなく
理由&再発防止策
等、背景詳細も知りたい所
今回セブンペイはオムニ7側の本件以外の問題も見つかっているけど全体的にみてセキュリティを軽視してコストやスピードを優先した結果とみるべきなのかなぁ
取りたい放題だったのかぁ。
設計の重要性を認識させる良い例になるな。
開発者って、やっぱ怖いなぁ。

---
昨日の配信ででてきた7payのやつの全貌はこちら
設計レビューしてなかったのかな?ボクもCharles使ってます /
>会員登録情報(氏名、生年月日、住所など)の取得」が可能
>個人情報流出については「現時点では確認されていない

今後、数百万人規模の個人情報流出事件になる場合もあるのね。

>狙われた7pay外部ID連携の脆弱性の全貌。急遽“遮断”した理由
[link] :
Twitterで回ってきたから読んでみたけどやばいなって
そして、このやばさだと他にもやばいのがありそうやばい
7payの外部ID連携に係る脆弱性についての検証記事。ユーザIDと連携事業者コード(数字2桁)とを総当たりするとこで、ユーザーのトークン入手やそれを用いた「アプリを介さない」ユーザ会員登録情報の取得」が可能だった、という考察はちょっと衝撃でかすぎませんかね…
これは軽くみておいた方が良い記事
「オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。」
単なる文字列のIDと外部サービス番号の組み合わせだけでトークン発行するAPIが公開されてたのか・・・こんな怖すぎるシステムが稼動してたのか。
詳しい。アカウント連携のゴチャゴチャしているところで、うっかりやってしまったのだろうか。7payと全く関係の無いサービスで、ゴチャゴチャしていないところでやらかしているのも見たことはあるが……😇
これだけの内容が見過ごされたのは、そもそもの体制に疑問を抱かざるを得ないな、、
7payがまたやらかした…Omni7もpayも使ってないから良いけど、これ以上電子決済の信頼を貶めるのやめて欲しい…
ガラケーのuidの仕組みと同じだろうと思ってOpenIDを使うとこんな感じになりそう。当時もなりすましできるサイトはそこかしこにあったしな・・・ /
穴がいくつも開いていたのか
何も考えずに実装したってこうはならないからやっぱり不思議だ。
ガバガバすぎて苦笑すらでんわ
なるほど「 」。
わー、これを見ると「外部ID連携で二段階認証すればいいや」という自分の考えは完全に間違えだったわ~(・_・;
観測中・・・「ID書き換え」「によるなりすましログイン」「ID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能」:『狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由| JAPAN』
オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。
これは仕様ではなく脆弱性だよなぁ。。

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
ニコイチ+外部IDの時点でアカンのだけれど、元々nanaco実体カード前提の旧7IDを弄ったのが敗因だと思うな(
これはひどいな。。。
脆弱性のオンパレード(。◉ᆺ◉)
“7payの問題以前に、そもそもオムニ7の認証基盤が脆弱だったのではないか” / 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 (Business Insider Japan)
技適通過(嘘)
韓国製リチウム電池(砂)
なんてのはちょっと前まで中国と相場が決まってたのに、我が国は躍進著しいな。
なぜこんな実装になったのだろう、、、
リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた:

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
ぎょ、ダメすぎた・・・。 |
これはひどい実装。。
7payの外部ID連携の脆弱性ってもっと複雑なところを突いてきたのかと思っていたけど、鼻で笑うレベルの話だったのね。
リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた
もっとヤバかった
理解できた。
超手抜きだった、ということか。

【 JAPAN】
認証基盤に問題があったのもたしかだけど、やはりサーバークライアント型の中央管理ではハッカーの格好の的になる(これは暗号通貨の取引所にも言える事)大量の個人情報や資産を預かる企業は常にハッカーの猛威に晒されているわけだが今回のセブンの対応には色々と疑問が湧く
他人のトークンが抜けたということは、連携先のサービスをトークン権限の範囲で自由に触れた可能性ありという事だが?||
"オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」"
致命過ぎなレベル
外部IDの総当たりさえすれば鍵を入手可能だったってそれ・・・
よくこんな仕様でOK出したな・・・
外部連携をしていなくて7pay専用のアドレスでもやられているからこれとは思えないかな
あとクレカを使えるIDを取るには効率悪すぎ
これは近年稀に見るヒドさ…
これって広告とセキュリティ試験考えたら安いよね
すごいね、新しいね 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」 //
「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
そもそも本体にセキュリティが皆無だった模様。
あれ?この協力者の人は不正アクセスで捕まらない?大丈夫なのかな。
ID総当たりでOKとかザルどころかノーガード
これ、システム開発のプロジェクトにセキュリティの専門家いなかったのだろうか…。もしくはセキュリティ問題を把握した上でリリース間に合わせたのか…。 /
え?セブンペイのハッキングって、
高校生でも出来る超簡単レベルだったってマジ…?

これ要するに、その人のユーザーIDを送ると、
APIキー(パスワード)を誰でもサーバから引き出せる状態じゃん…。

アプリ内部のAPIキーをPC経由で焼き直すだけで、
誰でもハッカーやれる。
総当たりで個人情報取得出来るのほんと草。
ひとつひとつも大分ヤバめな脆弱性だけど組み合わせることで反物質ロケットランチャーみたくなってる(よく分からない例え)
だいたい想定通りだったな。(´・ω・)y-~
即時に遮断してない理由がなあ。:
外部ID連携なら大丈夫なはずと思った俺が浅はかだった…
おそまつな連携実装。これでセキュリティ監査通ったって? /
ひどいなー

クレカのサイトですらログインが暫くないとワンタイムパス申請しないとログイン出来ないよ?
外部IDを使うOAuth認証では、パスワードなどは必要なかった。

なんか、面白いこと言ってるね、と思ったのはおれだけかな?

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由|BUSINESS INSIDER
狙われた7pay「外部ID連携」の脆弱性の全貌

『「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」~中略~パスワードなどは必要なかった。』xsaodakexだけでいけちゃうってことでしょ。やば
TwitterとかFacebookで「7-pay使ってみた」的なポストした人が軒並み狙われた可能性あるな。
これが真相ならユーザサイドからすると外部ID連携の信頼性事態を揺るがしかねんな。
"複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た"
違法性ないか確認取れてるのかな、この調査方法。自身のダミーIDへのアクセスだから不正アクセス禁止法に抵触しないってことなのか?ダミーIDの時点で危うい気もするんだが。 /
APIへのリクエスト、レスポンス情報が載ってて攻めてる記事だなあ
昨日アリオにたまたま行ったんだけどナナコめっちゃ推しまくってたぞ。ああいう連携してくれてる事業者とその顧客たちのことも何も考えず自社の利益だけ追求して、そんでこのざまとか草すら生えない / | BU…”
これマジだとしたら、まさかのドキュメント読め案件ということに…
oAuth 認証使ってれば大丈夫ってわけではなくて、認証後にどのようにアクセストークンを発行するかが大事ってことですかね。勉強になった
もっと見る (残り約126件)

記事本文: 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN

関連記事