• 3日ランキング
  • 1週間ランキング
  • 月間ランキング


[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/
名称未設定 5


記事によると
・セブン&アイ・ホールディングスが決済サービス「7pay」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。

・外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

・この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。

・「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めているが、7iDの認証システムにはこのチェック手順が実装されていなかったとみられる。

・これとは別に、7iDにログイン後、APIを通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。

・認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。




この記事への反応



ザルどころか枠やん

一旦すべてのサービス止めて見直した方がいいんじゃないの? 日本ってフェールセーフって考え方が無いから 場当たり、後付け対策多いんだよね

パスワードなんてなかった

当初の想像の100倍くらいヤバくて草も生えない。ネトゲですら緊急メンテナンスレベルの事案なのにお金を取り扱う決済サービスでよく3日も通常サービス続けたな

いや、確認不足にもほどがあるし事前に脆弱正診断してれば必ず指摘されるところ どこに頼んだの?

パスワードなしでなりすましログインできるとか、ハッシュ化パスワードが取得できるAPIとか、なかなかすごい

いっぱい穴があったんや🤪

ログインにパスワードすらいらなかったんですね。 金庫を買ってきたら、ダンボールの箱だったレベルですね。








パスワードなしで他人のアカにログインできるって・・・どんだけザルなんだよ




キリン 午後の紅茶 おいしい無糖 2L PET×9本
キリンビバレッジ (2019-04-16)
売り上げランキング: 158


コメント(110件)

1.はちまき名無しさん投稿日:2019年07月13日 03:03▼返信
AuthorizationCodeフロー
2.はちまき名無しさん投稿日:2019年07月13日 03:04▼返信
ファミペイ
3.はちまき名無しさん投稿日:2019年07月13日 03:04▼返信
3流IT土方しかいないのだろう
4.はちまき名無しさん投稿日:2019年07月13日 03:05▼返信
素人の仕事かよ
5.はちまき名無しさん投稿日:2019年07月13日 03:05▼返信
皆の財布7pay
6.はちまき名無しさん投稿日:2019年07月13日 03:05▼返信
つまりオOニ7アプリで認証成功すれば全てフリーパスってことか?
7.はちまき名無しさん投稿日:2019年07月13日 03:08▼返信
てか7のザルセキュリティから他社のサービスにも被害出るレベル
8.はちまき名無しさん投稿日:2019年07月13日 03:08▼返信
みんなのものはみんなのもの
9.はちまき名無しさん投稿日:2019年07月13日 03:10▼返信
セブンはおでんだけ売ってればいいんだよ
他のものは一切必要ない
10.はちまき名無しさん投稿日:2019年07月13日 03:10▼返信
まるで不正アクセスがあったのに発表すらしなかった任天堂みたいだなw
11.はちまき名無しさん投稿日:2019年07月13日 03:10▼返信
セブンも金が無いわけじゃないんだからスペシャリストなんていくらでも雇えただろうに

一番重要な部分ケチってプロジェクト大失敗して評判落として。ホンマ阿呆やで
12.はちまき名無しさん投稿日:2019年07月13日 03:11▼返信
nanacoでいいじゃん
13.はちまき名無しさん投稿日:2019年07月13日 03:12▼返信
>>9
焼き鳥も加えろ
14.はちまき名無しさん投稿日:2019年07月13日 03:14▼返信
誰でもクラック出来る任天堂の紙ダンボールセキュリティといい勝負だなw
15.はちまき名無しさん投稿日:2019年07月13日 03:14▼返信
>>11
準備期間がめちゃくちゃ少なかったらしい
16.はちまき名無しさん投稿日:2019年07月13日 03:14▼返信
やっぱり現金が最強だよなあ
信頼性が違うんだわ
17.はちまき名無しさん投稿日:2019年07月13日 03:15▼返信
社長は技術の事わからんでも良いとかぬかしてる奴がいたが
あの社長個人情報保護管理者もやってたんだぞw
18.はちまき名無しさん投稿日:2019年07月13日 03:15▼返信
そんな要件定義の段階で当然のように決める部分が実装されてないって
委託したシステム屋が大分やばいところなんか?
19.はちまき名無しさん投稿日:2019年07月13日 03:15▼返信
日韓崩壊寸前です!
20.はちまき名無しさん投稿日:2019年07月13日 03:16▼返信
この仕様でおかしいと思う社員が居ないことも驚きだな
21.はちまき名無しさん投稿日:2019年07月13日 03:17▼返信
※16
あたまわるそう
22.はちまき名無しさん投稿日:2019年07月13日 03:17▼返信
※15
完成品にOK出してる時点で言い訳にしかならんわ
23.はちまき名無しさん投稿日:2019年07月13日 03:19▼返信
意図的に仕組んだとしか思えない
24.はちまき名無しさん投稿日:2019年07月13日 03:21▼返信
>>15
それってあの情弱社長を除く全社員はこの結末が判っててサービス開始したってことだろ。完全に確信犯じゃねえかwww
25.はちまき名無しさん投稿日:2019年07月13日 03:22▼返信
>>20
日本の経営者ってみんなITのこと無知だからね
26.はちまき名無しさん投稿日:2019年07月13日 03:23▼返信
もうセブンつぶれろよ
27.はちまき名無しさん投稿日:2019年07月13日 03:25▼返信
>>24
7てめっちゃブラックだから仕方ない
これも7月1日スタートだけ決められててエンジニアは悲鳴を上げてたと思う
28.はちまき名無しさん投稿日:2019年07月13日 03:25▼返信
もはや酷いというレベルを通り越してる
29.はちまき名無しさん投稿日:2019年07月13日 03:26▼返信
これでよしとした上層部は総入れ替え。
30.はちまき名無しさん投稿日:2019年07月13日 03:27▼返信
ポケモンのモーションがクソなのも
電子決済システムがザルだったのも
ディスガイアオンラインが使い物にならなかったのも
実はみんな同じ原因なんじゃないかって
 
使えないゆとり社員が会社にあふれているという説
31.はちまき名無しさん投稿日:2019年07月13日 03:28▼返信
セブンイレブンやな気分♪
32.はちまき名無しさん投稿日:2019年07月13日 03:28▼返信
要件定義でも詳細設計の問題では無い、その部分は〇〇レベルのセキュリティ確保ぐらいまでしか書かない
単体テスト&結合テスト&納品チェックの問題
33.はちまき名無しさん投稿日:2019年07月13日 03:30▼返信
限界突破ギリギリ修羅場な現場でも
ちょっと前の日本なら
なんだかんだで有能なヤツが居て
それなりのものを仕上げていた
34.はちまき名無しさん投稿日:2019年07月13日 03:33▼返信
これオムニ7とかセブンネットとか連携する他は大丈夫か
紐付けで全て終わってるんでないか?
35.はちまき名無しさん投稿日:2019年07月13日 03:33▼返信
ひひひ孫請けくらいだろ、このシステムw
36.はちまき名無しさん投稿日:2019年07月13日 03:33▼返信
セブンのおでんってかなりの高確率でハエが浮いてるよね

アレって出汁取ってるの?笑笑笑
37.はちまき名無しさん投稿日:2019年07月13日 03:34▼返信
セブンの下請け孫請けのデジタル土方は
これからレミングの様にデスマーチ不可避
38.はちまき名無しさん投稿日:2019年07月13日 03:35▼返信
>>34
これが怖いよね
39.はちまき名無しさん投稿日:2019年07月13日 03:36▼返信
そもそも種類が多すぎて
いちいち使えるかどうか確認しないといけないし
念のため複数の手段を準備しておかなくてはならないようでは
ぶっちゃけ使い物にならない
40.はちまき名無しさん投稿日:2019年07月13日 03:38▼返信
日本のIT本当にレベル低過ぎて悲しいよ…w
41.はちまき名無しさん投稿日:2019年07月13日 03:39▼返信
もうクレジットカードでいいじゃないか
42.はちまき名無しさん投稿日:2019年07月13日 03:40▼返信
いくらでも利用できるもんがあるのに、何故ゼロから作ろうとして何一つ実装しないまま結合した上に何一つテストしてなかったのか聞いてみたいわw
43.はちまき名無しさん投稿日:2019年07月13日 03:41▼返信
社長意外はみんな知ってる自滅型デスマ
44.はちまき名無しさん投稿日:2019年07月13日 03:42▼返信
今いろんな何とかペイが乱立してるけど、お金に関わるサービスって結局セキュリティが万全な安心安全なとこが最後に生き残るんだよ
各社ポイント還元とかで釣ろうとしてるけど、その資金をセキュリティ強化に投入して、必要ないってくらいのガチガチのセキュリティ組んで安心安全をアピールしたほうが利用者は増えると思う
45.はちまき名無しさん投稿日:2019年07月13日 03:43▼返信
日本の話とは思えんひどさ
技術大国で電子決済がこのザマかい
46.はちまき名無しさん投稿日:2019年07月13日 03:44▼返信
セブンのせいでまた電子マネーが何たら...
47.はちまき名無しさん投稿日:2019年07月13日 03:44▼返信
FeliCaでええやん
なんで一々こんなどこの店で使えるか確認しないといけない上にセキュリティ糞で時間かかる方法で決済しなきゃいけないんだよ
48.はちまき名無しさん投稿日:2019年07月13日 03:45▼返信
>>46
電子マネーに不信感を与えたねセブン
電子マネー普及にブレーキかかったと思う
49.はちまき名無しさん投稿日:2019年07月13日 03:46▼返信
QR決済の評判を下げるためにわざとやってるでしょ
そしてnanacoに誘導
50.はちまき名無しさん投稿日:2019年07月13日 03:47▼返信
>>46
これで凶悪犯が電子マネー使ってたら終わるかもな
犯人は電子マネーを使っており…みたいなニュース流れてさ
51.はちまき名無しさん投稿日:2019年07月13日 03:53▼返信
>>47
FeliCaだと機器導入のためのお店の初期投資が高くつくからなかなか利用店舗が増えないんだよ
QR決済やらバーコード決済だと初期投資が少なくて済むからお店が導入しやすい
ペイペイなんて無料で配ってるから今急激に利用可能な店舗が拡大してるし
52.はちまき名無しさん投稿日:2019年07月13日 03:58▼返信
俺のものはお前のもの


セキュリティなんてなかった
53.はちまき名無しさん投稿日:2019年07月13日 04:07▼返信
>>36
それなななな
コンビニのおでんなんてよく食べる気になるよな
バイトしてたけどむしやらなんやら混入しまくりやで
もし混入しても廃棄するわけじゃなくて虫を取り除いて
知らん顔して販売してるんだよなwww
54.はちまき名無しさん投稿日:2019年07月13日 04:10▼返信
これ作った業者なんなのテロか?
55.はちまき名無しさん投稿日:2019年07月13日 04:13▼返信
ハッシュからパスワード復元なんてできるわけないじゃん。
誰がかいたんだ・・・
56.はちまき名無しさん投稿日:2019年07月13日 04:13▼返信
予算も工期も絞ったんだろうな
店にくる客や取引先、契約店を舐めてるから
こういうシステムやアプリ製作も甘くみてたんだろうな
57.はちまき名無しさん投稿日:2019年07月13日 04:14▼返信
ここまでくると逆にすげえわ
58.はちまき名無しさん投稿日:2019年07月13日 04:17▼返信
7payはこれで終わったな
セブンの資金でどれだけ流行らせられるか気になるねえ
59.はちまき名無しさん投稿日:2019年07月13日 04:22▼返信
ど素人より素人
60.はちまき名無しさん投稿日:2019年07月13日 04:28▼返信
※9
おでんつんつん男がいてもか?w
店員がおたま股間にあてがってもか?w
61.はちまき名無しさん投稿日:2019年07月13日 04:31▼返信
最近のセブンやらかしすぎじゃね?
62.はちまき名無しさん投稿日:2019年07月13日 04:33▼返信
なお下請けや孫請けなんてものが囁かれているようだが、そんなもの無いからこうなったw
63.はちまき名無しさん投稿日:2019年07月13日 04:38▼返信
※44
DQNやはちま民が
「だれがこんなの使うんじゃボケ」
で終わりそうw
64.はちまき名無しさん投稿日:2019年07月13日 04:40▼返信
※42
聞くまでもないだろw
全て想像した通りだよw
65.はちまき名無しさん投稿日:2019年07月13日 04:43▼返信
※53
おでんの時期に虫が湧くかよw
どこの沖縄だw
66.はちまき名無しさん投稿日:2019年07月13日 04:52▼返信
>>18
ファミペイにぶつけるために、納期を大幅に短縮させて未完成のままリリースしたんでしょ
67.はちまき名無しさん投稿日:2019年07月13日 04:59▼返信
セブン関連のサイト、イトーヨーカドー、ロフト関連全部解約してやったわ。
68.はちまき名無しさん投稿日:2019年07月13日 04:59▼返信
何十年も前のオンラインゲームかよ
69.はちまき名無しさん投稿日:2019年07月13日 05:08▼返信
仕方が無いのでLINEpay持ってセブンイレブンに行って来ます。
70.はちまき名無しさん投稿日:2019年07月13日 05:34▼返信
きっとシステム構築に金を惜しんだに違いないと推察
普段から己のフランチャイズのオーナーを奴隷にしている態度で
システム発注先を扱った結果なんだと推察
71.はちまき名無しさん投稿日:2019年07月13日 05:51▼返信
>40
日本は先進国の中でも最低レベルまで落ちぶれなてるからねえw
72.はちまき名無しさん投稿日:2019年07月13日 05:52▼返信
セブン&アイの化けの皮が剥がれてきたな
73.はちまき名無しさん投稿日:2019年07月13日 05:53▼返信
これが今の日本の技術力
74.はちまき名無しさん投稿日:2019年07月13日 06:15▼返信
バカとか素人じゃなくて詐欺師が設計したってレベルだな
75.はちまき名無しさん投稿日:2019年07月13日 06:57▼返信
IT関連は外国に外注しろよ、
FAX・印鑑マンセー国家だぞココ
安心安全の日本製とかいう過去w
76.はちまき名無しさん投稿日:2019年07月13日 06:58▼返信
緊急株主総会ひらいて社長交換でしょ?
77.はちまき名無しさん投稿日:2019年07月13日 07:03▼返信
※75
バックドア仕込まれるわ
78.はちまき名無しさん投稿日:2019年07月13日 07:15▼返信
こんなん7イレブンが窃盗グループやんけしねや
79.はちまき名無しさん投稿日:2019年07月13日 07:21▼返信
それで素人マスコミは「ユーザーがパスワードを使いまわしていたせい」とか
素人丸出しの恥晒してたよな
80.はちまき名無しさん投稿日:2019年07月13日 07:23▼返信
hash化されたパスワードは復元できるの?
81.はちまき名無しさん投稿日:2019年07月13日 07:27▼返信
セブンには近寄らない
これが最高のセキュリティ
82.はちまき名無しさん投稿日:2019年07月13日 07:35▼返信
7payの問題じゃなくて、完全にグループの全サービスアウトだなこりゃ
ここまで来ると、セブン銀行も怪しいんじゃないか?
83.はちまき名無しさん投稿日:2019年07月13日 07:35▼返信
明らかに仕込まれたバックドアやろ
じゃなきゃサービス開始直後に一瞬で
84.はちまき名無しさん投稿日:2019年07月13日 07:36▼返信
委託先は損害賠償どころか死刑レベル
85.はちまき名無しさん投稿日:2019年07月13日 07:39▼返信
穴どころかブラックホールやん
86.はちまき名無しさん投稿日:2019年07月13日 08:02▼返信
システム開発丸投げしたんだろうなあ
87.はちまき名無しさん投稿日:2019年07月13日 08:02▼返信
セブンイレブン終わったな
弁当は縁をフィルムで覆ってなくて汚いし汚物販売コンビニ
ファミマローソンで決まり
88.はちまき名無しさん投稿日:2019年07月13日 08:03▼返信
キャッシュレスを進める国は偽造紙幣が多いから
日本は偽造紙幣は他国より圧倒的に少ないしキャッシュレスにする意味は薄い
企業側の利便追及なんだよね、客にメリットは皆無
89.はちまき名無しさん投稿日:2019年07月13日 08:06▼返信
他のオンラインサービスもやべえんじゃないかと
セキュリティ意識そのものが欠落している
90.はちまき名無しさん投稿日:2019年07月13日 08:09▼返信
何々Pay皆そうだけど
スマフォにバーコード(QRコード)
表示させて決済するのに違和感を感じる
91.はちまき名無しさん投稿日:2019年07月13日 08:11▼返信
>> 88
政府は、東京オリンピックで外国人のためにキャッシュレスにしようとしているんだよ。
それで各社が無理なスケジュールで「○○pay」を投入し始めた訳。
92.はちまき名無しさん投稿日:2019年07月13日 08:21▼返信
>>88
キャッシュが大好きなのは反社マンとな脱税マンとかそういうのばかりだら現金信者ってそうなんだろうな。
93.はちまき名無しさん投稿日:2019年07月13日 08:29▼返信
>>1
IPAウキウキやろなあ・・・
94.はちまき名無しさん投稿日:2019年07月13日 08:49▼返信
セブンはセブンイレブンの犯行に笑うわ!
95.はちまき名無しさん投稿日:2019年07月13日 08:58▼返信
これ以上の流出事件をやらかしたのがソニー
PSN個人情報流出事件で調べれば出てくるよ
96.はちまき名無しさん投稿日:2019年07月13日 09:01▼返信
>>91
そもそもオリンピック観戦に来れるような外国人なら金持っててクレジットカードくらい持ってるよ
政府の目的はクレカも持ってないような貧困外国人労働者向けだな
97.はちまき名無しさん投稿日:2019年07月13日 09:20▼返信
>>30
で?こんなとこに書き込んでるお前は何ができるの?
98.はちまき名無しさん投稿日:2019年07月13日 09:25▼返信
二段階認証とかそんな次元の問題じゃないw
99.はちまき名無しさん投稿日:2019年07月13日 09:27▼返信
>>95
さすがに「パスワード無しで他人のアカウントにログインできる」のには勝てないだろ
100.はちまき名無しさん投稿日:2019年07月13日 09:45▼返信
ファミペイも同じ事になりそうで入るの躊躇してるわ
101.はちまき名無しさん投稿日:2019年07月13日 10:03▼返信
7iD未登録のワイ大勝利
102.はちまき名無しさん投稿日:2019年07月13日 10:05▼返信
>>100
少なくともまずファミペイには二段階認証があり
高額チャージの時も暗証番号を求められるし
FamiPay利用をオフに設定するとチャージも支払いも暗証番号を求められるできる
そしてクレカ登録には本人認証サービスが必須だから
サービス開始から今日まではとりあえず不正利用は0件だからな
杜撰すぎるセブンペイと同じと考えるのはどうかと思う
103.はちまき名無しさん投稿日:2019年07月13日 10:28▼返信
むしろこのボロボロな状況でパスワード平文でなくハッシュで保存してたのは賞賛
いやそれどころじゃないけど…
104.はちまき名無しさん投稿日:2019年07月13日 10:29▼返信
あの馬鹿社長だしなぁ
105.はちまき名無しさん投稿日:2019年07月13日 10:31▼返信
セブンが関わってるサービスは利用しない方がいいな
106.はちまき名無しさん投稿日:2019年07月13日 12:48▼返信
どんなベンダーに発注してたんだ?
今どき中国に発注してたってこんなにアホはやってないぞ
技術者が多いから
107.はちまき名無しさん投稿日:2019年07月13日 15:51▼返信
セブンイレブンに関してはFeliCa式のnanacoで問題ないけど
QRコード顧客の奪い合い参戦した結果これだからしょうもないわ
108.はちまき名無しさん投稿日:2019年07月13日 16:08▼返信
パスワード流用してないのに不正ログインされた人のはこれか

セキュリティがザルどころか、むしろバックドアだらけ?w
109.はちまき名無しさん投稿日:2019年07月13日 18:05▼返信
パスワード無しって、ログインじゃなくてただの閲覧じゃねーかww
110.はちまき名無しさん投稿日:2019年07月13日 21:50▼返信
こんなグダグダなのによくすぐに停止させたな
どの部署だそんなんまともなの
それか公取から電話来たとか?

直近のコメント数ランキング

直近のRT数ランキング

×