■ このスレッドは過去ログ倉庫に格納されています
7pay、LINEやTwitterなどの外部ID連携機能でパスワードなしにログインできてた模様 認証システムの一部が未実装だった [489544398]
- 1 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 22:17:23.76 ID:V5WlJm+P0.net ?2BP(2000)
- http://img.5ch.net/ico/u_mosa.gif
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
浅川 直輝=日経 xTECH/日経コンピュータ
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。
外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。
同認証システムは7payを含めて同社の複数のアプリが使っている。
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。
あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
以下ソース
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/
- 19 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:08:08.53 ID:69fQdNRar.net
- https://youtu.be/hw0ch99JyEg
- 20 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:10:07.47 ID:YFksZa4P0.net
- >>13
ほんこれ
- 21 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:10:39.54 ID:b/Boejdj0.net
- ID連携してるアホおる?
- 22 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:14:05.32 ID:J+XBzWJr0.net
- 7payいまだに8千円残高があるから店で使ってるけど
7payで!っていうと店員の反応すげえ微妙なんだよな
- 23 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:25:18.93 ID:wU4Fy7k90.net
- OPEN ID思想ってこういうことなの?
- 24 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:29:28.47 ID:DYfOTRFM0.net
- / )
| ̄|/ └┐
| | |いいね!
|_|―、_ノ
- 25 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/12(金) 23:42:38.56 ID:x0x7P0i+0.net
- 金融でノーガード戦法とかやるじゃん
- 26 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 00:20:53.57 ID:PVjswivV0.net
- >>18
アレはデマなんじゃねえの
- 27 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 02:01:31.92 ID:+UUHGIZa0.net
- Hashパスワードを復元までできるってやばい
- 28 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 02:05:07.50 ID:aQVb9Sld0.net
- 誰でもいいからガンガン金使え!ってシステムだから
- 29 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 03:14:54.05 ID:t0ByBhw1M.net
- どこがつくったんですかねえ
なんとなくわかるが
- 30 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 03:33:42.18 ID:ZTgBHn+X0.net
- >同認証システムは7payを含めて同社の複数のアプリが使っている。
いやいやいや他の止めなくて大丈夫なの
- 31 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 03:35:28.69 ID:g5ozVy5P0.net
- >>27
復元できるってことはソルトも使ってなかったんだろうな
マジでド素人レベル
- 32 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:03:33.90 ID:FYmq26m/0.net
- セブンも糞だがこれ開発した所はゴミだな
- 33 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:04:02.09 ID:bQGiCsZDM.net
- これ保険降りないだろ
- 34 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:06:36.02 ID:RsXIr3i5M.net
- >>18
勘違いは勘違いだけど
SMSとSNSを聞き間違えただけだぞ
- 35 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:14:35.07 ID:UnOrUUegp.net
- パスワードリセットのメールアドレスが自由に設定できるとかは関係なかったのか?
- 36 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:14:53.46 ID:nPJJ1lav0.net
- 社長が元みずほ
- 37 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:15:12.72 ID:fiaUQdvjd.net
- >>34
嘘を嘘と見抜けないとインターネットは辛いな
- 38 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:19:56.32 ID:KXqXnWJX0.net
- これが誰もが知る日本を代表する大企業のレベルだと思うと泣けてくる
大企業でこれなら中小や公営なんてもっと酷いんだろうな
ネトウヨにどう思うか聞いてみたい
- 39 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:22:55.97 ID:szEH9A4T0.net
- これに限らず、外部ID連携ってすげぇ気持ち悪くない?
- 40 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:25:35.77 ID:oqbvM+Gg0.net
- これってお漏らししてるのでは?
- 41 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:42:53.56 ID:g+mIIgJhd.net
- セブンらしいスカスカぶり一流気取ってる割に色々スカスカですなあ(笑)
- 42 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:46:35.50 ID:7OX6PGkoa.net
- >>27
可逆変換したらハッシュ化じゃないような
- 43 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:47:38.69 ID:G7D6YMDBa.net
- 未実装のまま本番運用、しかもテストもしてなかった、と。担当者どもとその上司はクビ確定だな。
もちろんセキュリティ的なチェックも一度もしてないんだろう。してたら即気付くはずだ。そもそもセキュリティの専門家がいたかすら謎。杜撰にも程がある。
決済システムを安く作れるわけねーだろ。攻撃受けたら内製して安く上げた以上の「信用」が失われて安かろう悪かろうで誰も使わなくなる。CMを沢山打っても信用は回復しないし。
システム構築を内製化すると低コストにはなるんだが外部の専門家を関与させると金が掛かるからってサボるんだよなぁ。必要なコストまでカットするとこうなるという好例だ。
2019年ダメプロジェクトはPayPayを抑えて7Payが暫定トップだな。なぜQRコード決済が見切り発車しがちかと言うと、少しでも早くサービスインして普及すれば延々手数料収入が入るというスケベ心が大きい。
今キャッシュバックやってでも普及すれば手数料で取り返せると踏んでるから景気良くキャッシュバックやってるわけだしな。
クレカのインフラを利用する方が安全だが、それだとカード会社が手数料のほとんどを持って行くので美味しくないし、誰がいつ何をどれだけ買ったかのビッグデータも手に入らないから自前で作ったわけだが、金融システム制作の経験者がいないとこうなる。
ポイントカードの内製でうまくいったから同じノリで作ったんだろうなぁ。決済だと金銭被害が発生するってのに、「カード会社が補償します」というNGワード公然と言いやがったし。
- 44 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:54:37.34 ID:mXLv1PE4p.net
- 社長「・・・ID連携?」
- 45 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 09:57:21.78 ID:+UUHGIZa0.net
- >>42
そう。ハッシュ化アルゴリズムがMD5とかSHA1とか既に突破済みのものでも
元の文字列を割り出すのは相当時間がかかるはずなんだが、元記事では
>API経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し
>他人のIDとパスワードを入力してログインできた可能性がある。
とあるから、これが本当なら「ハッシュ化なんかちゃんちゃら嘘でやってなかった」か
「総当たりで短いパスワードならどうにでもなった」という意味のどちらかになる
ましてやこの前の「不正利用との関連がわかっていない」とか言ってるから
ザルにもほどがある
- 46 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 10:02:16.52 ID:dwQGsVrH0.net
- 連携機能は止めた方が良いのになんでやってるんだよ
- 47 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 10:07:59.22 ID:jlhggHHz0.net
- 他のサイト
??「Twitterから来た○○です」
番人「本当か?証拠見せろ!よし通れ!」
セブン
セブン「よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!よし通れ!」
- 48 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 12:06:15.85 ID:gNAoaFaD0.net
- 7payもダメだけど、その基盤の7iDもダメ
とりあえず動けばいいんだよ感が強いな
- 49 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 13:01:39.26 ID:BFLewwwcM.net
- 6日で作ります! とか言ってた2段階認証って結局どうなったの?
- 50 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 13:23:13.69 ID:9VCw8gPX0.net
- ソケット通信のサンプル置いただけで逮捕される国だからしょうがないだろ
- 51 :!omikuji :2019/07/13(土) 19:12:57.65 ID:YRaMCCRB0.net
- NHK週末にネタ投入かよw
- 52 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 19:15:28.05 ID:8/DPg78h0.net
- 無能軍師「やれぇ!」
- 53 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 19:19:42.75 ID:Y/zs+fvR0.net
- これって本部が保証すんの? あの鬼畜経営のセブン本部が負担するとは思えないんだが
- 54 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 19:21:57.75 ID:IgV7+XtR0.net
- 来年の7月11日までに稼働出来ればいいね
- 55 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 20:50:11.49 ID:tqlTgT8+0.net
- これ報告したのキヌガワマサト?
- 56 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:02:57.52 ID:tqlTgT8+0.net
- >>11
内製と聞いたが
- 57 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:04:12.43 ID:+xkBrv1U0.net
- >>49
むしろ6日で作るとかやめてほしいw
- 58 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:05:18.65 ID:oaPohrnv0.net
- 2段階認証も知らないような人間が社長をしてる会社だからな
お粗末以前に現代人ですらないレベル
- 59 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:05:24.24 ID:SwEy4dQo0.net
- セブン牟田口イレブン
- 60 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:15:36.60 ID:ts6tk6iI0.net
- 被害額過小に発表してるからまだまだ騒ぎが続くよ
初日の被害額は8500万超えてたとのこと。
- 61 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 21:19:01.83 ID:Tmx4DLzi0.net
- 連携ログインとかどこでもやってるじゃん
- 62 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/13(土) 22:57:50.31 ID:SCtk3C940.net
- 900人5500万の被害と発表あってから何の動きもないんだけどなぜ?
- 63 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 09:13:08.72 ID:QhAX+5Tc0.net
- >>62
新規登録停止、追加チャージも停止されていて
事実上の利用停止状態だから
被害の拡大もない
- 64 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 09:17:32.57 ID:mjA55RdDa.net
- こういうのはちゃんと怒られろと思った
- 65 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 09:39:01.09 ID:7UO6Ek6S0.net
- 社長「外部サイトにも責任の一端があるのではないでしょうか」
とか言い出しそう
- 66 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 10:48:33.14 ID:Bvslg1Mv0.net
- >>49
6日で作るってのは7月11日には動かすだろといううわさで
正式に会社が言ってはいない
- 67 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 14:54:03.69 ID:08a3ObQPa.net
- >>43
あーナナコである程度うまくいった前例あるから勘違いしたか…
- 68 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/07/14(日) 15:49:30.45 ID:NAtL+zBM0.net
- ファミペイは銀行口座からのチャージは出来ない
あんなもの価値0だろ
総レス数 68
17 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★