2ちゃんねる スマホ用 ■掲示板に戻る■ 全部 1- 最新50    

■ このスレッドは過去ログ倉庫に格納されています

7pay、LINEやTwitterなどの外部ID連携機能でパスワードなしにログインできてた模様 認証システムの一部が未実装だった [489544398]

1 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 22:17:23.76 ID:V5WlJm+P0.net ?2BP(2000)
http://img.5ch.net/ico/u_mosa.gif
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
浅川 直輝=日経 xTECH/日経コンピュータ
2019/07/12 20:45

 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。
外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。
同認証システムは7payを含めて同社の複数のアプリが使っている。

 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。
あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。

以下ソース
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/

19 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:08:08.53 ID:69fQdNRar.net
https://youtu.be/hw0ch99JyEg

20 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:10:07.47 ID:YFksZa4P0.net
>>13
ほんこれ

21 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:10:39.54 ID:b/Boejdj0.net
ID連携してるアホおる?

22 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:14:05.32 ID:J+XBzWJr0.net
7payいまだに8千円残高があるから店で使ってるけど
7payで!っていうと店員の反応すげえ微妙なんだよな

23 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:25:18.93 ID:wU4Fy7k90.net
OPEN ID思想ってこういうことなの?

24 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:29:28.47 ID:DYfOTRFM0.net
    / )
| ̄|/ └┐
| |     |いいね!
|_|―、_ノ

25 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:42:38.56 ID:x0x7P0i+0.net
金融でノーガード戦法とかやるじゃん

26 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 00:20:53.57 ID:PVjswivV0.net
>>18
アレはデマなんじゃねえの

27 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 02:01:31.92 ID:+UUHGIZa0.net
Hashパスワードを復元までできるってやばい

28 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 02:05:07.50 ID:aQVb9Sld0.net
誰でもいいからガンガン金使え!ってシステムだから

29 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 03:14:54.05 ID:t0ByBhw1M.net
どこがつくったんですかねえ
なんとなくわかるが

30 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 03:33:42.18 ID:ZTgBHn+X0.net
>同認証システムは7payを含めて同社の複数のアプリが使っている。
いやいやいや他の止めなくて大丈夫なの

31 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 03:35:28.69 ID:g5ozVy5P0.net
>>27
復元できるってことはソルトも使ってなかったんだろうな
マジでド素人レベル

32 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:03:33.90 ID:FYmq26m/0.net
セブンも糞だがこれ開発した所はゴミだな

33 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:04:02.09 ID:bQGiCsZDM.net
これ保険降りないだろ

34 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:06:36.02 ID:RsXIr3i5M.net
>>18
勘違いは勘違いだけど
SMSとSNSを聞き間違えただけだぞ

35 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:14:35.07 ID:UnOrUUegp.net
パスワードリセットのメールアドレスが自由に設定できるとかは関係なかったのか?

36 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:14:53.46 ID:nPJJ1lav0.net
社長が元みずほ

37 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:15:12.72 ID:fiaUQdvjd.net
>>34
嘘を嘘と見抜けないとインターネットは辛いな

38 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:19:56.32 ID:KXqXnWJX0.net
これが誰もが知る日本を代表する大企業のレベルだと思うと泣けてくる
大企業でこれなら中小や公営なんてもっと酷いんだろうな
ネトウヨにどう思うか聞いてみたい

39 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:22:55.97 ID:szEH9A4T0.net
これに限らず、外部ID連携ってすげぇ気持ち悪くない?

40 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:25:35.77 ID:oqbvM+Gg0.net
これってお漏らししてるのでは?

41 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:42:53.56 ID:g+mIIgJhd.net
セブンらしいスカスカぶり一流気取ってる割に色々スカスカですなあ(笑)

42 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:46:35.50 ID:7OX6PGkoa.net
>>27
可逆変換したらハッシュ化じゃないような

43 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:47:38.69 ID:G7D6YMDBa.net
未実装のまま本番運用、しかもテストもしてなかった、と。担当者どもとその上司はクビ確定だな。
もちろんセキュリティ的なチェックも一度もしてないんだろう。してたら即気付くはずだ。そもそもセキュリティの専門家がいたかすら謎。杜撰にも程がある。
決済システムを安く作れるわけねーだろ。攻撃受けたら内製して安く上げた以上の「信用」が失われて安かろう悪かろうで誰も使わなくなる。CMを沢山打っても信用は回復しないし。
システム構築を内製化すると低コストにはなるんだが外部の専門家を関与させると金が掛かるからってサボるんだよなぁ。必要なコストまでカットするとこうなるという好例だ。
2019年ダメプロジェクトはPayPayを抑えて7Payが暫定トップだな。なぜQRコード決済が見切り発車しがちかと言うと、少しでも早くサービスインして普及すれば延々手数料収入が入るというスケベ心が大きい。
今キャッシュバックやってでも普及すれば手数料で取り返せると踏んでるから景気良くキャッシュバックやってるわけだしな。
クレカのインフラを利用する方が安全だが、それだとカード会社が手数料のほとんどを持って行くので美味しくないし、誰がいつ何をどれだけ買ったかのビッグデータも手に入らないから自前で作ったわけだが、金融システム制作の経験者がいないとこうなる。
ポイントカードの内製でうまくいったから同じノリで作ったんだろうなぁ。決済だと金銭被害が発生するってのに、「カード会社が補償します」というNGワード公然と言いやがったし。

44 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:54:37.34 ID:mXLv1PE4p.net
社長「・・・ID連携?」

45 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:57:21.78 ID:+UUHGIZa0.net
>>42
そう。ハッシュ化アルゴリズムがMD5とかSHA1とか既に突破済みのものでも
元の文字列を割り出すのは相当時間がかかるはずなんだが、元記事では

>API経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し
>他人のIDとパスワードを入力してログインできた可能性がある。

とあるから、これが本当なら「ハッシュ化なんかちゃんちゃら嘘でやってなかった」か
「総当たりで短いパスワードならどうにでもなった」という意味のどちらかになる

ましてやこの前の「不正利用との関連がわかっていない」とか言ってるから
ザルにもほどがある

46 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 10:02:16.52 ID:dwQGsVrH0.net
連携機能は止めた方が良いのになんでやってるんだよ

47 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 10:07:59.22 ID:jlhggHHz0.net
他のサイト
??「Twitterから来た○○です」
番人「本当か?証拠見せろ!よし通れ!」

セブン
セブン「よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!」

48 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 12:06:15.85 ID:gNAoaFaD0.net
7payもダメだけど、その基盤の7iDもダメ
とりあえず動けばいいんだよ感が強いな

49 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 13:01:39.26 ID:BFLewwwcM.net
6日で作ります! とか言ってた2段階認証って結局どうなったの?

50 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 13:23:13.69 ID:9VCw8gPX0.net
ソケット通信のサンプル置いただけで逮捕される国だからしょうがないだろ

51 :!omikuji :2019/07/13(土) 19:12:57.65 ID:YRaMCCRB0.net
NHK週末にネタ投入かよw

52 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 19:15:28.05 ID:8/DPg78h0.net
無能軍師「やれぇ!」

53 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 19:19:42.75 ID:Y/zs+fvR0.net
これって本部が保証すんの? あの鬼畜経営のセブン本部が負担するとは思えないんだが

54 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 19:21:57.75 ID:IgV7+XtR0.net
来年の7月11日までに稼働出来ればいいね

55 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 20:50:11.49 ID:tqlTgT8+0.net
これ報告したのキヌガワマサト?

56 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:02:57.52 ID:tqlTgT8+0.net
>>11
内製と聞いたが

57 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:04:12.43 ID:+xkBrv1U0.net
>>49
むしろ6日で作るとかやめてほしいw

58 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:05:18.65 ID:oaPohrnv0.net
2段階認証も知らないような人間が社長をしてる会社だからな
お粗末以前に現代人ですらないレベル

59 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:05:24.24 ID:SwEy4dQo0.net
セブン牟田口イレブン

60 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:15:36.60 ID:ts6tk6iI0.net
被害額過小に発表してるからまだまだ騒ぎが続くよ
初日の被害額は8500万超えてたとのこと。

61 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:19:01.83 ID:Tmx4DLzi0.net
連携ログインとかどこでもやってるじゃん

62 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 22:57:50.31 ID:SCtk3C940.net
900人5500万の被害と発表あってから何の動きもないんだけどなぜ?

63 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 09:13:08.72 ID:QhAX+5Tc0.net
>>62
新規登録停止、追加チャージも停止されていて
事実上の利用停止状態だから
被害の拡大もない

64 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 09:17:32.57 ID:mjA55RdDa.net
こういうのはちゃんと怒られろと思った

65 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 09:39:01.09 ID:7UO6Ek6S0.net
社長「外部サイトにも責任の一端があるのではないでしょうか」

とか言い出しそう

66 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 10:48:33.14 ID:Bvslg1Mv0.net
>>49
6日で作るってのは7月11日には動かすだろといううわさで
正式に会社が言ってはいない

67 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 14:54:03.69 ID:08a3ObQPa.net
>>43
あーナナコである程度うまくいった前例あるから勘違いしたか…

68 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 15:49:30.45 ID:NAtL+zBM0.net
ファミペイは銀行口座からのチャージは出来ない
あんなもの価値0だろ

総レス数 68
17 KB
掲示板に戻る 全部 前100 次100 最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★