New : ブログを公開しました

[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明2019/07/1220:45セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった

カオス速報

1:2019/07/13(土) 12:54:37.11ID:bR2XSw5F9 [独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn

★1 :2019/07/12(金) 21:54:11.59

※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1562943533/

624:2019/07/14(日) 09:05:44.58ID:r++selhA0.

PAYなんて高還元だからって無理にコンビニとか高いとこで使うもんではなく
普段使うスーパーやドラッグストアとか
たま行く外食、中食で使えるとこじゃないと意味ないだろ。
現時点では使える店が多く高還元なPAYPAYを必要なところで使うのが正解でしょ。

119 2019/07/16(火) 14:01:22.75ID:Xi7Bx6yj0.

ディズニーのホームドラマの役者ってもの凄く勘違いするんだろうなー
子供だましもいいトコの適当な演技でチヤホヤされるんだから

218:2019/07/13(土) 14:17:17.84ID:Fej3rNO70.

まあ誰がまともなプログラム作っても内部にシナ人がいれば
ソースリスト流出させたりスパイウィアで盗み取って
人民解放軍の解析係がバイパスのルーチンになる
プログラムとロムぐらいすぐに作り出しちゃうのが実情なんだよね。
 
パチ屋の裏ロムが横行している時からすでに裏家業システムが
人民解放軍組織で完成してるのだよ。
 
こう言う事を知らなすぎるのは日本にまともな諜報機関が無いからだよ。

493:2019/07/13(土) 20:08:43.41ID:YJZFlkAC0.

ええええええええええええええええええええええええ
こいつバカじゃん!

405:2019/07/13(土) 17:01:17.12ID:09mlnQq+0.

なんだこのザルセキュリティww

507:2019/07/13(土) 20:23:59.62ID:vtUPv5f20.

クレカとSuicaとETCあれば他は何もいらん

604:2019/07/14(日) 01:25:41.26ID:MrA9zles0.

ナナコカードで1%還元で良かったのに
結構スマホって何?みたいな高齢者でも使ってたぞ

892:2019/07/16(火) 20:29:25.45ID:LKn5xrMV0.

損害は受注した開発会社からも取るから問題ないやろ

107:2019/07/13(土) 13:27:41.54ID:+/9z/ZbK0.

セブン&アイのグループ共通ID「7iD」の認証システムってセブン銀行も?
お金消えちゃう?

344:2019/07/13(土) 15:58:39.67ID:sxV/88kU0.

QR決済はしばらく様子見だな、とりあえずFelicaとテビット・クレジットカードがあればいいや

239:2019/07/13(土) 14:26:08.34ID:Nhx23QDJ0.

>>188
>>191

ほんそれ。新しいことやろうとしてるのに、新しい技術が分からない幹部のために仕様のグレードを下げるって本末転倒。
ジイさんたちが理解可能なセキュリティでも出来るが、出来上がるのはクソ長いフォームに住所やらなんやら大量に個人情報入力させて登録したあとに後日郵送でIDとパスワードが送られてくるみたいな仕様になる。
当然実装テストして、こんなん誰が使うのみたいな話になり悪夢の変更へロールバック。
でも納期はセブンイレブンの7月11日に間に合わせることが必須になってるから、突貫でそれっぽく実装してロンチしたら早々にハッキングされて後の祭り。こんな感じだと思うよ。

タイトルとURLをコピーしました