7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能~ネットの反応「おそらくセブンの社内システムもこの程度のセキュリテイと思われる」

この記事をシェアする

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN

https://www.businessinsider.jp/post-194660

7pay取材班
15h BUSINESS

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。

Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

(略)


https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg


https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg


https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg

先ほどの3枚の画像で非常に重要なのは、2枚目だ。

この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。

// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」

※関連ニュース

管理人
ネットの反応
名無し
固定idのおかげで総当たりする桁数も減るんだな
名無し
ソフトバンクのPayPayでも総当たり攻撃が可能だったらしいのに・・・
それ以下のセキュリティ?
名無し
それと同じとみていい
クレカも上6桁と下1桁は固定
上6桁が発行会社で下一桁はチェックディジットだから
名無し
マジか
こんなの中高の子供でも出来る簡単なクラック手法だろ
これのテストをやってないのかww
名無し
アプリ経由専用暗号化する
アプリ外部ID認証サーバー間で同期チェックする
USER パスワード認証キー暗号化 アプリ経由 3回ミスしたら
発信元探知  おとりサーバーから認証トークンを返す
攻撃元を特定
参加したチーム企業メンバー全員バカってすごいことなんだろう
上には具申できない日和見大企業のサラリーマンの生き様だな
名無し
第三者がパスワードリセットできた

第三者がパスワードなしでログインできた

第三者が何も知らなくてもログインできた ←いまここ!
名無し
トークンの宝石箱や
名無し
本当はサービス停止しないといけないけれど、トップが無能すぎてそれすら分からない状態。
深刻だ。
名無し
20年前に作られたのかこれ?
名無し
さすがに30年前じゃね?
名無し
7秒でPayされる
名無し
これでもなおサービス停止しないとか、もはや犯罪幇助組織でしかないな

名無し
パスワードなくてもログインできるらしいですね
今朝ニュースで言ってました
セキュリティ以前の問題
名無し
パスワードなしっていうかトークンがパスワードがわりみたいなもん
普通本人認証したあとこいつは大丈夫ってことでトークン発行するんだけど手当たり次第アカウント叩いたらトークンもらえるというw
名無し
アホ過ぎる。
よくこんな企画OK出したな。
開発責任者は打ち首獄門はまぬがれない。
名無し
まさか、そんなアホなw
名無し
まるで俺が突貫で作ったAPIみたいだ
名無し
おそらくセブンの社内システムもこの程度のセキュリテイと思われる
名無し
セキュリティが低いどころか存在しなかったとは
名無し
こんなシステム過去にあったかなあ?
名無し
セブンは過去もやってる
ネット通販で客の情報にパスワードかけずにサーバーに保存

グーグルにすべて拾われる

客から指摘されて「客が操作を間違えたのが悪い!!」と逆切れ
なお顧客情報、買い物履歴、クレカ情報が流出

ネット通販サイトの名称を変えて知らんフリ
名無し
夢みたいな話やな
名無し
儲かってるはずなのに何に金使ってるんだろう?
ちゃんと金かけて準備万端整ってから始めようよ
名無し
当然何回も来てもエラー判断してなかったんだろうなw
名無し
スマホでapi叩いてんのかw
整数で行けるんなら手作業でもそこそこ抜けるな
pcなら数百から数千はぬける
名無し
セキュリティ担当誰だよw
っていうか居なかっただろw


この記事をシェアする