【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能

1 ：trick ★：2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net

狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に｢7payの脆弱性とは、一体どんなものだったのか｣は直接的に報じられていない。

Business Insider Japanの｢7pay｣取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング（不正侵入）のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID（Yahoo!、Google、Facebook、Twitter、LINE）を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の｢設計｣に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん（仮名）が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え（後述）によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数（※）が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン（鍵情報）を入手できる状態だった

（略）
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg

先ほどの3枚の画像で非常に重要なのは、2枚目だ。

この画像から明らかなのは、オムニ7の認証システムでは、｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

2枚目の画像の｢id｣の下の項目｢extIdSiteCd｣の右隣の2桁の数字は、各外部ID連携事業者（Yahoo!、Google、Facebook、Twitte、LINE）の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

つまり、別の言い方をすると｢id｣の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで｢アプリを介すことなくユーザーの会員登録情報（氏名、生年月日、住所など）の取得｣が可能
……という状態にあったのが実情とみられる。


// ■要約
// ｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣

1003 ：2ch.net投稿限界：Over 1000 Thread

2ch.netからのレス数が1000に到達しました。