【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2【取引所】|まとめのお仕事

1 :くりぷとまとめ人 2019/07/17(水) 00:50:00.41 O3UhTa5c9.net
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。

Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

(略)


先ほどの3枚の画像で非常に重要なのは、2枚目だ。

この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。

// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」

★1がたった日時:2019/07/16 (火) 19:37:44.12

前スレ
【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
https://asahi.5ch.net/test/read.cgi/newsplus/1563273464/

2 :くりぷとまとめ人 2019/07/17(水) 00:50:23.99 kKOxrsfg0.net
>>1
7秒でPayされちゃう
3 :くりぷとまとめ人 2019/07/17(水) 00:51:21.44 ojaTiHCK0.net
本気でLAWSONにシェアを渡したいんか・・・
内部にスパイがいるのを疑うレベル
4 :くりぷとまとめ人 2019/07/17(水) 00:51:23.34 ev/llb+g0.net
もう使わないことが最大の防御法だろ
8 :くりぷとまとめ人 2019/07/17(水) 00:54:32.88 SZYLhimr0.net
>>4
セブソイレブソに行かない事が最高の防御策
5 :くりぷとまとめ人 2019/07/17(水) 00:51:29.53 Ea5lGqNA0.net
これが日本のIT技術です
丸投げ、教育しない、資金を投じない、人材使い捨てで培われた日本の惨状
もう代わりなんかいません
14 :くりぷとまとめ人 2019/07/17(水) 00:58:16.71 dfoVSoyH0.net
>>5
年収200万で雇って文句言うなよ(´・ω・`)
27 :くりぷとまとめ人 2019/07/17(水) 01:06:44.12 kVtBTaM00.net
>>5
東京な
6 :くりぷとまとめ人 2019/07/17(水) 00:53:04.54 cOab5ohh0.net
あっちでもこっちでもタロウ大活躍だな
7 :くりぷとまとめ人 2019/07/17(水) 00:53:22.66 TYUt//W80.net
いまだにサーバーがしょっちゅうエラー返すファミペイでも
肝心なところだけはちゃんとしてたんだな
9 :くりぷとまとめ人 2019/07/17(水) 00:54:46.91 5lDyD+DV0.net
業界NO.1だし 余裕かましてたら 色々と問題が内蔵されてたのねセブン …
10 :くりぷとまとめ人 2019/07/17(水) 00:55:14.47 uIWk0JqH0.net
トークンが共犯とか糞すぎんだろ・・・
11 :くりぷとまとめ人 2019/07/17(水) 00:55:24.10 TirkkeWu0.net
総当たりで行けるとか20年前のパスワードクラックかっつの
12 :くりぷとまとめ人 2019/07/17(水) 00:56:55.84 f7Hu6NnH0.net
中学生が作ったシステムかよw
13 :くりぷとまとめ人 2019/07/17(水) 00:57:44.03 NACR0Qpr0.net
これアカウント作ったら終わりってことか?
15 :くりぷとまとめ人 2019/07/17(水) 00:59:26.80 qqTZLVDK0.net
「何事にも根気強く取り込むことが大切」って教わったのを思い出した
16 :くりぷとまとめ人 2019/07/17(水) 01:01:03.40 U+3WvrDJ0.net
林家Pay
17 :くりぷとまとめ人 2019/07/17(水) 01:01:34.50 7Vjtwl2l0.net
もう配信システムだなー
18 :くりぷとまとめ人 2019/07/17(水) 01:01:37.48 dvq6EbQ70.net
しかし、これだけのクソシステムを作ることも、一苦労じゃないか
作ろうと思っても作らないシステムだよね
わざと作らないと作れないと思うんだけどw
19 :くりぷとまとめ人 2019/07/17(水) 01:01:46.75 /6UYex/J0.net
トークンって何だ
21 :くりぷとまとめ人 2019/07/17(水) 01:03:10.75 dfoVSoyH0.net
>>19
IBMのLAN接続のあれだろ
26 :くりぷとまとめ人 2019/07/17(水) 01:06:43.25 OuDGi1+b0.net
>>21
トークンリングとか懐かしい。
トークンとは、十君のことを言う。
君子たる資質を十条にしたもの。
・かわせろ
・ほしがらせろ
・無駄遣いさせろ
以下、省略
39 :くりぷとまとめ人 2019/07/17(水) 01:10:31.02 dfoVSoyH0.net
>>26
お、しってる人いたw
32 :くりぷとまとめ人 2019/07/17(水) 01:08:50.67 Ju5+DqVC0.net
>>19
セキュリティエリアに入るための身分証みたいなもん
本来セキュリティチェックを受けてもらえるもんだが

受付で「俺田中なんだけど身分証忘れたから貸して」って言ったらノーチェックで借りれるというような話

37 :くりぷとまとめ人 2019/07/17(水) 01:09:57.85 PSg230XI0.net
>>32
>「俺田中なんだけど
いいなあ、平和だ
20 :くりぷとまとめ人 2019/07/17(水) 01:02:30.06 N8yTwtML0.net
設計段階から犯人が入りこんだか
22 :くりぷとまとめ人 2019/07/17(水) 01:03:21.38 JYvCVuqM0.net
そこら中クソの山でどこから手をつけていいかわからない状態なのか
23 :くりぷとまとめ人 2019/07/17(水) 01:03:44.04 zqlw2CAu0.net
オレオレ詐欺より騙されやすい
24 :くりぷとまとめ人 2019/07/17(水) 01:05:14.69 AoIvyoqD0.net
テストしてないんか
25 :くりぷとまとめ人 2019/07/17(水) 01:06:40.09 PSg230XI0.net
多分、素人さんが設計したんだよ
それで素人さんがつぎはぎで組んだ
28 :くりぷとまとめ人 2019/07/17(水) 01:06:48.36 oW72B3U00.net
インチキITシステム
29 :くりぷとまとめ人 2019/07/17(水) 01:07:09.25 Th/5R5/60.net
つまり、仕様でした。
30 :くりぷとまとめ人 2019/07/17(水) 01:08:28.99 7e6I+y1a0.net
おにぎり一個貰って消したわ
pay始まってローソンファミマの勢いすげーぞ
31 :くりぷとまとめ人 2019/07/17(水) 01:08:34.93 gEi3ihm/0.net
最近、急に出てきたpayは、どれも脆弱性ありそう
それ承知で使わないと
33 :くりぷとまとめ人 2019/07/17(水) 01:09:06.63 a3zr6Q8P0.net
 
性善説で育った民族ゆえに色々と甘いな
34 :くりぷとまとめ人 2019/07/17(水) 01:09:10.78 OuDGi1+b0.net
7ぺとかけて架空通貨と解く。
どっちがより信用が多いんだろ?
35 :くりぷとまとめ人 2019/07/17(水) 01:09:32.58 ZdnX4MZL0.net
オムスビ十万円システムがすごい!
36 :くりぷとまとめ人 2019/07/17(水) 01:09:34.00 QO3ile4Q0.net
恥になるようなことはあるけど
レベル的に下ってことではない
38 :くりぷとまとめ人 2019/07/17(水) 01:10:17.67 Xj7OeFyA0.net
このシステムは何処が作ったんだ?w
40 :くりぷとまとめ人 2019/07/17(水) 01:11:41.95 k90IoJvP0.net
システムが脆弱ってレベルじゃねーぞ!
41 :くりぷとまとめ人 2019/07/17(水) 01:11:57.82 YYfXXCfK0.net
あり得ないだろコレ
普通のSEでも一発で気付くぞこんなもん…

シェアしてください。

このエントリーをはてなブックマークに追加

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です