狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
(出典 assets.media-platform.com)
(出典 assets.media-platform.com)
(出典 assets.media-platform.com)
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
第三者がパスワードリセットできた
↓
第三者がパスワードなしでログインできた
↓
第三者が何も知らなくてもログインできた ←いまここ!
本当はサービス停止しないといけないけれど、トップが無能すぎてそれすら分からない状態。
深刻だ。
>>6
しゃちょう『とーくん?誰が得するんだ?』
20年前に作られたのかこれ?
>>7
さすがに30年前じゃね?
外部連携してなけりゃセーフ?
>>8
パスワードなしでもログイン可能
他人がアクセスして勝手にパスワードとメアド変えられる
使いたければどうぞ
パスワードなくてもログインできるらしいですね
今朝ニュースで言ってました
セキュリティ以前の問題
>>13
パスワードなしっていうかトークンがパスワードがわりみたいなもん
普通本人認証したあとこいつは大丈夫ってことでトークン発行するんだけど手当たり次第アカウント叩いたらトークンもらえるというw
まるで俺が突貫で作ったAPIみたいだ
こんなシステム過去にあったかなあ?
>>21
セブンは過去もやってる
ネット通販で客の情報にパスワードかけずにサーバーに保存
↓
グーグルにすべて拾われる
↓
客から指摘されて「客が操作を間違えたのが悪い!!」と逆切れ
なお顧客情報、買い物履歴、クレカ情報が流出
↓
ネット通販サイトの名称を変えて知らんフリ
>>32
セブンにはあったのかw
>>32
夢みたいな話やな
>>32
くやしそうwwwwwwwwwwwwww
>>21
PSNだったか、出来たばかりの頃に自分のIDでログインさえしておけば
URLのIDの数字いじるかなんだったか方法は忘れたけど、とにかく他人のアカウントに入り放題だった
>>43
ソニーはノーインジェクションでネットサービスした男前だからなw
スマホでapi叩いてんのかw
整数で行けるんなら手作業でもそこそこ抜けるな
pcなら数百から数千はぬける
> オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
これどういうこと?
俺が小学生の頃運営してた掲示板よりひどい
>>37
今日一番笑った
総当りで簡単に突破可能とか笑うしかねえな
ちょっとしたコード組めば余裕ジャン
これがサイバー空間の戦争か!
U ・ω・) 日本人は水と安全は無料だと思っている。
日本に日本人だけしかいないのであれば確かにそうかもしれないが……
それ故に、戦後~平成の間、反日朝鮮人につけ込まれ続けてきたわけだ
マジでセブンはろくなことしねえな
日本の経営者から60歳以上を追い出せよ
>>65
企業から50歳以上を追い出さないと意味がない
運営側の無能さが白日のもとにww
商品開発は良いのに経営陣がゴミでした
>>75
いつものジャップwwwwwwwwwwwww
なんか初歩的過ぎて笑うw
期限に間に合わせるために適当に実装したんだろうなぁw
>>79
それあなたの妄想ですよねwwwwwwwwwwww
…これさ、脆弱性診断とかやってないの?
設計がアホなのが一番の問題だけど、まともな機関に診断させたら
実際のサービスを始める前に問題は見つかると思うんだけどな
>>85
まともな日本人は死んだ日本人だけだwwwwwwwwwwwwwwwww
金持ってるくせにシステムはしょぼいなあ
まあ、簡単に言うと、俺が何かしらのサービス利用でPCでログインして、
用が済んだからブラウザ閉じても、ログイン状態が一定時間有効になってるから
直後に、同じアカウントでアクセスされたらログインしっぱなし状態なんだろ?
役員はメールとか自分でできないと思う
そういうのが上に居座ってるのが現状なんだろう
コメントする