【速報】7pay、パスワードなしでログイン出来る脆弱性が判明★３

1 ：サーバル ★：2019/07/13(土) 12:54:37.11 ID:bR2XSw5F9.net

［独自記事］7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
　セブン＆アイ・ホールディングスが決済サービス「7pay（セブンペイ）」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

　同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」（広報）としている。

関連記事：7payで外部IDからのログインを遮断へ、不正利用巡り
　この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン＆アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

　「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

　これとは別に、7iDにログイン後、API（アプリケーション・プログラミング・インターフェース）を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

　認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

　今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn

★1 :2019/07/12(金) 21:54:11.59

※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1562943533/

857 ：名無しさん＠１周年：2019/07/15(月) 21:30:56.55 ID:y/uIq6rY0.net

>>853
小売りに難しい事ができるわけないだろ

858 ：名無しさん＠１周年：2019/07/15(月) 21:31:00.38 ID:yw/KYLGY0.net

もう半月になるのだけど

859 ：名無しさん＠１周年：2019/07/15(月) 21:31:56.63 ID:Iu6ij1vm0.net

わざとやってるだろw

860 ：名無しさん＠１周年：2019/07/15(月) 21:34:33.95 ID:aCtTkCLW0.net

ジャップって、最大手の
コンビニでもこの程度かw

861 ：名無しさん＠１周年：2019/07/15(月) 21:43:24.17 ID:w5P9uDIg0.net

>>852
経営が別だから無理だろ

そもそもグループ社のノウハウをもってこないで素人幹部が回したのでこの結果

862 ：名無しさん＠１周年：2019/07/15(月) 21:56:40.88 ID:m971Z9xP0.net

もう失格だろ
国もこんなの認可するな

863 ：名無しさん＠１周年：2019/07/15(月) 22:35:09.96 ID:Ul9qgVGn0.net

これで消費税増税と意味不明の低減税率の適用するとどうなるかもうわかりましたよね(´・ω・｀)
全力で穴をつつきましょう（なんて書くと逮捕されたりするのか知らん）

864 ：名無しさん＠１周年：2019/07/15(月) 22:58:08.40 ID:8tE/6A4K0.net

ありえねえレベルだな

865 ：名無しさん＠１周年：2019/07/15(月) 23:07:31.01 ID:mdnENWib0.net

つか小銭出すのが面倒なのとキャッシュレスならスイカやQUICPayとか既存のもので十分だからな
キャッシュバックやポイント目当てでそれが終わったらもう用がないからね
根本的な発展性に限界があるしかも乱立しすぎとかPC98や携帯みたいにガラパコス化して終わり

866 ：名無しさん＠１周年：2019/07/16(火) 00:06:48.58 ID:2VsRMJpJ0.net

本質的に考えると
日本のサーバーは情報がだだ漏れしてるから
デバイス認証入れないとやられるってことでしかないのでは
セブンのセキュリティがゆるいっていわれるがそれが5500万に
つながるゆるさではないしゆるさとこの事件とまったく関係ない
5500万で他の企業でも軽く情報が抜かれてるという
現実がわかったので
それは成果だ

867 ：名無しさん＠１周年：2019/07/16(火) 01:05:10.37 ID:WJhQ6xQ/0.net

>>866
開発の時点できづくだろ普通

868 ：名無しさん＠１周年：2019/07/16(火) 01:23:27.23 ID:Yee0Bc7i0.net

使っているのがファー○ェイのスマホでIDとかパスワードがぶっこ抜かれてるとかだったりしたら怖いな

869 ：名無しさん＠１周年：2019/07/16(火) 01:26:41.52 ID:2VsRMJpJ0.net

>>867
駄々漏れは気づけませんよ
なんらかのトリックがあってのことだから
日本の企業は本当に日本人を信頼してやってる
普通に仕事してればリスク負う必要がないから
仲介する暴力団のかわりに中国人が入ってきたとか
そういうことかな

870 ：名無しさん＠１周年：2019/07/16(火) 01:31:25.29 ID:0OFMGt0r0.net

よほど発注費をｹﾁったのかな
さらに業者と喧嘩して総入替とか

871 ：名無しさん＠１周年：2019/07/16(火) 02:38:47.81 ID:WJhQ6xQ/0.net

>>869
その言い分が正しかったとすると
コスト-リスク判断のできない間抜けが決裁した事業でしたって記録が残るだけだと思うんだが

872 ：Cojikitter Cojikinience Inchiki 48 CEO：2019/07/16(火) 02:45:02.33 ID:P1Q6U7ei0.net

>>602
他人の子供の地学縁・起業意思(WILL)全部盗んでいましたが何か？
他人の褌只乗りしで氏ぬまで2nd人生謳歌し切りましたが何か？
お陰で他国に毟り取られる列島化してしまいましたが何か？
正に今日の時代の最先端を88'時からこの国先頭切ってやり遂げてましたが何か？
/goo.gl/maps/qgMkSRxhkv8EZLMK9
/light.dotup.org/uploda/light.dotup.org600607.jpg

873 ：名無しさん＠１周年：2019/07/16(火) 03:00:37.90 ID:/87PBSZw0.net

セブンイレブンいい気分

874 ：名無しさん＠１周年：2019/07/16(火) 03:19:43.91 ID:Xmo7IMSD0.net

>>869
派遣取ってると平気で中韓ベトコン混ぜてくるからムリ
派遣会社で確かな身元確認なんてしてないし

875 ：名無しさん＠１周年：2019/07/16(火) 03:21:48.48 ID:nc306O9A0.net

元請けベンダーはどこだ？

876 ：名無しさん＠１周年：2019/07/16(火) 04:35:19.36 ID:XeqLnfZa0.net

わざわざアプリ出すよりナナコカード出したほうが楽だしなぁ
こんな糞開発やるなら、ナナコポイント還元率戻して欲しい

877 ：名無しさん＠１周年：2019/07/16(火) 05:11:34.08 ID:kWyhnP2T0.net

バックに商社がいないとダメなのかねえ、コンビニって

878 ：名無しさん＠１周年：2019/07/16(火) 07:50:19.39 ID:nkvTfdVE0.net

どうせ実際に開発したのは5次や6次の中小零細ソフトハウスだろっ


ホントに下請けは経歴詐称して入っといて何も責任取らずに逃げるんだから
全員責任取って死ねよ！

879 ：名無しさん＠１周年：2019/07/16(火) 09:08:55.66 ID:XEme2XRY0.net

お粗末やなあ〜

880 ：名無しさん＠１周年：2019/07/16(火) 10:37:49.04 ID:dAZ5pyFL0.net

>>191
自衛隊OBのしがらみで沖縄出店を見送ってたのかねぇ。
ttps://www.excite.co.jp/news/article/Litera_2307/
>
>同社は店舗の監視役に自衛隊出身者を大量投入していく。
>3代目社長を務めた栗田裕夫氏
>は終戦時の1945年に陸軍士官学校を卒業後、51年に陸上自衛隊に入隊。精鋭の北海道・苫小牧の第11師団長（陸将）をつとめた人物だ。
そして、55歳で自衛隊を辞めて、81年セブン入りすると、82年に取締役、92年に常務。同年に社長に就任するという、スピード出世ぶりだった。

881 ：名無しさん＠１周年：2019/07/16(火) 11:44:33.42 ID:SrPdabJh0.net

>>2
これでスレ立てるわ
すまんな

882 ：名無しさん＠１周年：2019/07/16(火) 12:06:19.02 ID:FjUk3rD30.net

結局フランチャイズでオーナーという名の奴隷勧誘だけが強みで
ヨーカドーに見えるように商売は微妙だからね
金融・決済なんぞ出来る器には見えん

883 ：名無しさん＠１周年：2019/07/16(火) 12:18:50.26 ID:gDwKLjsS0.net

>>218
>「セブン本部には『オーナー相談部』ってあるんですが、そこの相談員に自衛隊出身者がいると聞きましたね
>インテリジェンスのプロが集められているんでしょうね
ttps://www.excite.co.jp/news/article/Litera_2307/

884 ：名無しさん＠１周年：2019/07/16(火) 12:22:37.61 ID:SZuTAPsG0.net

きょうびこう言う機能が備わったパッケージを導入するんで無いの？w

885 ：名無しさん＠１周年：2019/07/16(火) 12:24:05.04 ID:MJtbML/90.net

パスワードって何ですか？

886 ：名無しさん＠１周年：2019/07/16(火) 13:11:03.03 ID:geRSQjjF0.net

ほどほどに出揃ったみたいだな

7payは微妙だが、巻き込まれた系で、大元の脆弱性はやはりomni7のidだったな

887 ：名無しさん＠１周年：2019/07/16(火) 13:12:22.98 ID:zTL+6OlJ0.net

奴隷オーナーをアゴで使う優秀な正社員さんたちが開発してるんじゃないの！？

888 ：名無しさん＠１周年：2019/07/16(火) 13:46:17.89 ID:Der9QZ8aO.net

>>887
奴隷を扱うなんてムチ一本と飴玉1個あればバカでも出来るよ
どうせ開発費ケチってまともな業者に頼めなかっただけだろ

889 ：名無しさん＠１周年：2019/07/16(火) 14:03:03.57 ID:o/nhwe5F0.net

もう皆忘れているよ
韓国の事だけ考えておけよ

890 ：名無しさん＠１周年：2019/07/16(火) 17:41:28.07 ID:f1jHY86m0.net

>>878
一回ベンダーがそう入れ替わりしてから、人員のスキルが一気に本で学んだレベルの素人に変わってたとも聞いた

まぁあの出来では素人がやったって事で何ら不思議はなかろう

891 ：名無しさん＠１周年：2019/07/16(火) 20:27:43.24 ID:ZAItPyXz0.net

パスワードどころかIDの連番総アタックですら突破可能というw

892 ：名無しさん＠１周年：2019/07/16(火) 20:29:25.45 ID:LKn5xrMV0.net

損害は受注した開発会社からも取るから問題ないやろ

893 ：名無しさん＠１周年：2019/07/16(火) 20:30:31.29 ID:QIUu/vgw0.net

ちょっと前に中国女アルバイトが逮捕されて、
仲間にIDとパスワードを教えれてたと話しとったとかいうことで、
>>1とは別の方法でやられちゃったんじゃないの？

それとも両方？

894 ：名無しさん＠１周年：2019/07/16(火) 21:59:34.95 ID:wQmoqA820.net

>>893
ほい
　認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、
　あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、
　他人のIDとパスワードを入力してログインできた可能性がある。

895 ：名無しさん＠１周年：2019/07/16(火) 23:51:55.95 ID:nrE2XrzT0.net

>>888
大正ーー解ッ！
ついでに工期も削りましたーーーー！

896 ：名無しさん＠１周年：2019/07/17(水) 08:39:59.29 ID:38T3+VyO0.net

あかんわ。

897 ：名無しさん＠１周年：2019/07/17(水) 13:12:55.80 ID:CmVkaZDp0.net

わしゃ知らね(´;ω;｀)

898 ：名無しさん＠１周年：2019/07/17(水) 19:42:05.26 ID:XYR5oTgZ0.net

全く続報ないの？
お役所に報告するまで一切何もいわない感じ？

899 ：名無しさん＠１周年：2019/07/17(水) 21:36:09.65 ID:Q3fJLovp0.net

これで、もう何とかPayの信用ガタ落ちだろう。
俺もとてもじゃないが全てのPayを使う気なくなった。
俺はPASMOでいいや。

900 ：名無しさん＠１周年：2019/07/17(水) 21:38:12.63 ID:i/HHwv/10.net

ボロボロすぎてもはや驚きが無い

901 ：名無しさん＠１周年：2019/07/17(水) 21:50:19.42 ID:Tzjn8r480.net

野村総合研究所か？作ったの？

902 ：名無しさん＠１周年：2019/07/17(水) 23:02:20.67 ID:TC730ht60.net

何が厄介かって
これでセブンが潰れるだけなら何も問題無いが
他の既存キャッシュレス決済にまで皆疑心暗鬼になるところだわな
本当やらかしてくれたよ

903 ：名無しさん＠１周年：2019/07/17(水) 23:08:43.77 ID:DGz0fcNv0.net

>>902
そうだね
キャッシュレス社会を実現するために政府が動いているのに完全に水を差した
7payで済む話ではない

904 ：名無しさん＠１周年：2019/07/17(水) 23:35:17.35 ID:f422YbLA0.net

>>902
んーでも本当に政府や企業が欲しがってる奴等って、こうした問題があっても危機感なく情報さらしてくれる層なんだろうから
計画通りとも言えるんじゃ？

905 ：名無しさん＠１周年：2019/07/18(木) 00:37:51.45 ID:tNluAsO90.net

JPQRが軌道に乗るまで何も使わないのが吉。

906 ：名無しさん＠１周年：2019/07/18(木) 10:17:13.68 ID:FJr0snYh0.net

ビットコイン市場は取引所が禁止されている中国が牽引している危うい市場
中国政府が本格的な取引規制にのりだしたら大暴落間違いなし


ビットコイン高騰の黒幕か？　中国マネー流入の経路とその背景に迫る
https://cc.minkabu.jp/news/3216

ビットコイン購入の約45%を占める仮想通貨Qcash(QC)とは
それでは、ビットコイン購入割合の約45%占める(といえなくもない)仮想通貨
Qcash（QC）とはどんな通貨なのでしょうか。

QCash(QC)とは、QTUM上のブロックチェーンで作られた中国の元と紐づけられたペ
ッグ通貨です。

テザーが1USDT＝1USDのステーブルコインであるように、Qcashは1QC=1CNY（人民元）です。

Qcashは主に、ZB.com（中国） BW.com（オーストラリア）という取引所で基軸通
貨の一つとして使われています。特にZBでの取引量が多いので、ビットコインの
多くは中国人に買われているといっても過言ではなく、ビットコイン高騰の背景
には中国人投資家の存在があることは間違いありません。

どうやって中国人はビットコインを買っているのか
中国では仮想通貨の取引が禁止されており、CNY建でビットコインをはじめとする
仮想通貨を取引することができません。

そこで登場するのが、Qcash(QC)です。QcashはOTC取引(店頭取引)で市場を介さず
に個人間でCNYと交換できます。