狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由

7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影：7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に｢7payの脆弱性とは、一体どんなものだったのか｣は直接的に報じられていない。 Business Insider Japanの｢7pay｣取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング（不正侵入）のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。

[pmint]

要約すると「連番IDだけで認証通れた」と。それを分かりにくく長々と書いた記事。

[evergreeen]

何度も言うけど、ビジネスインサイダーは7payの記事を匿名で書くな。書いたのも検証したのも、再検証したのも全部「匿名」って、2ちゃんねるかよ。間違えたときの保険かけながら公開していいレベルの記事ではないと思

[el-condor]

ええ…普通にOAuth/OpenIDConnectアプリを実装するだけではこうはならないと思うんだがどういう実装したの…/外部連携以外にも未知の脆弱性がある可能性もまだあるのか怖いな。

[moritata]

これoauthの実装がどうこう以前に、セッション管理がされているように思えない‥ 脆弱性診断なんか絶対にしてないわ、これは‥ 流石にこんなの見逃すわけないよ / 見る人は記事よりもRequest とResponse Dataだけ見てると思う

[kokosoko]

匿名で書くなって本気か？　これは匿名で書かないと神奈川県警様が喜んで家宅捜索してくる事案だぞ？

[uunfo]

見かけ上動くようにしただけなのか。セキュリティ審査した会社名を公表すべきだよな…

[fashi]

「ユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣OpenIDが担保する証もログインパスワードも不要でID渡すだけで認証トークン返してくれるAPIがあったと

[stealthinu]

えええ…？OpenIDのセッションIDをほぼ生ID使ってたってこと？？普通にOpenID用のライブラリ使ってるだけでそんな実装にはならんと思うのだが。全部自前で書いちゃってそんなことになったのか？

[hiromi_ayase]

いわゆる「OAuthは認証ではなく認可」とかですらなく、uidの存在確認してるだけという感じですね。｢ユーザー毎に一意」であってもエントロピーが十分なら認証として通用するけど、uidは総当たりでぼこぼこ引っかかる。

[ryuzi_kambe]

これって個人の作成したPeingと同じようなことをやってしまったということ？ 　これ→「Peing」で約150万件のメアドが閲覧可能だったと判明--漏えい問題で続報 - CNET Japan https://japan.cnet.com/article/35132094/

[quabbin]

「ストレージ記録のIDとDBを照合するだけ」「Cookie内のIDが(略」は、割とセキュリティ監査で見かける。指摘に「このIDはログインしないと取得不可能」と言い訳、直そうとしないベテランエンジニアも多い。もう飽きた

[xiujun]

詳しい。

[mickn]

“Charles for iOS”

[gokichan]

認証したときに認証サーバが発行するアクセストークンを利用していないということ？

[lastline]

急遽遮断ってもっと前からやるべきだったよね？

[atsushifx]

ppidの現状 https://gist.github.com/mala/a01e543bdc54ff476868baa58fdcc9a9 が参考になる。

[tazyamah]

ガラケーのuidの仕組みと同じだろうと思ってOpenIDを使うとこんな感じになりそう。当時もなりすましできるサイトはそこかしこにあったしな・・・

[tohakoya-gate]

どっかの入門書に書いてあったチュートリアルを業務に転用したのかな…

[ryun_ryun]

すごい、ど素人が設計したかのようなシステムだった。セブンイレブンが関わるシステムには金輪際利用しない方が良さそう。内部が腐ってないとこうはならない。

[cbkf]

「狙われた」より「犯罪者をご招待していた」の方が近いんじゃないかと思う。招待状を乱発してた印象しかない。

[nilab]

狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN

[hdampty7]

こういうのはね、業界標準というかね、知ってる人捕まえてきていっしょに設計するのよ。アプリとの連携もあるし、経験ないと簡単そうだけど実際には難しいよ。俺に一言相談してくれればって思う技術者多いのでは。

[masa8aurum]

パスワードリセットの仕様バグだけじゃなかったらしい

[Wafer]

なんやて工藤

[blueeyedpenguin]

こんな初歩的なミスがあるなら、他の部分も相当ヤバそう。

[fukken]

閉じるとの発表直後から「え、関係なくない？なんで？」とか言ってる人はいて、そこに対して何か外部ID連携周りに大きな穴があることが識者から仄めかされてはいたが、こういう事ね。

[death6coin]

どれだけ多くのセキュリティーホールを盛り込めるか挑戦でもしているの？

[eru01]

これOAuthの意味ないやん

[ryunosinfx]

これOpenIDじゃなくない？入れ物は同じものを使って居るだろうが、使い方が違う・・・まさか、アプリのAPIを覗く方法を知ってる奴が一人も居なかったとか、居たけど上層部がそんなやつなんてこの世に居ないと言ったのか

[NAT]

これ、システム開発のプロジェクトにセキュリティの専門家いなかったのだろうか…。もしくはセキュリティ問題を把握した上でリリース間に合わせたのか…。

[stp7]

つまり7pay全ユーザーが不正アクセス可能性があった、ということ。

[alt-native]

言いたくないけど これはやられるほうにも問題がある

[nomber3]

やっぱりIdPからのレスポンス検証せずに素通しだったんだ…

[koubyint]

うーん。。。

[LM-7]

おそまつな連携実装。これでセキュリティ監査通ったって？

[augsUK]

パスワードなしにIDのみで認証か。他サービスのOpenIDの実装はこうでないはずで、しかしこういう実装してる実例として恐ろしい。

[ookitasaburou]

“重要な事象の1つである外部ID経由のハッキング（不正侵入）のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。”

[wapa]

違法性ないか確認取れてるのかな、この調査方法。自身のダミーIDへのアクセスだから不正アクセス禁止法に抵触しないってことなのか？ダミーIDの時点で危うい気もするんだが。

[maiko30kubo]

外部と連携するとどうしても綻びが発生してしまうんでしょうね。

[securecat]

昨日アリオにたまたま行ったんだけどナナコめっちゃ推しまくってたぞ。ああいう連携してくれてる事業者とその顧客たちのことも何も考えず自社の利益だけ追求して、そんでこのざまとか草すら生えない