外部ID2桁とユーザーIDだけでログイン可能な状態だった7pay

1: 2019/07/16(火) 19:37:44.12

狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS

BiljaST / Pixabay

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に｢7payの脆弱性とは、一体どんなものだったのか｣は直接的に報じられていない。

Business Insider Japanの｢7pay｣取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング（不正侵入）のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7月11日、7payは当初の発表から1日前倒す形で外部ID（Yahoo!、Google、Facebook、Twitter、LINE）を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の｢設計｣に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん（仮名）が匿名を条件にそのメカニズムを解説する。

7pay解析の協力者

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え（後述）によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数（>>0�が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン（鍵情報）を入手できる状態だった

（略）

先ほどの3枚の画像で非常に重要なのは、2枚目だ。

この画像から明らかなのは、オムニ7の認証システムでは、｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

2枚目の画像の｢id｣の下の項目｢extIdSiteCd｣の右隣の2桁の数字は、各外部ID連携事業者（Yahoo!、Google、Facebook、Twitte、LINE）の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

つまり、別の言い方をすると｢id｣の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで｢アプリを介すことなくユーザーの会員登録情報（氏名、生年月日、住所など）の取得｣が可能
……という状態にあったのが実情とみられる。

// ■要約
// ｢リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた｣

引用元: ・【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能

4: 2019/07/16(火) 19:39:22.83

第三者がパスワードリセットできた
↓
第三者がパスワードなしでログインできた
↓
第三者が何も知らなくてもログインできた ←いまここ！

337: 2019/07/16(火) 20:19:17.98

>>4
すごい

804: 2019/07/16(火) 22:39:12.72

>>4
ハッカーがハニーポットを疑うレベル

5: 2019/07/16(火) 19:39:23.10

トークンの宝石箱や

6: 2019/07/16(火) 19:39:32.92

本当はサービス停止しないといけないけれど、トップが無能すぎてそれすら分からない状態。
深刻だ。

25: 2019/07/16(火) 19:42:06.80

>>6
しゃちょう『とーくん？誰が得するんだ？』

341: 2019/07/16(火) 20:19:34.50

>>6
>>6
しゃちょう『とーくん？そんな奴いた？』

7: 2019/07/16(火) 19:39:49.08

２０年前に作られたのかこれ？

98: 2019/07/16(火) 19:51:29.85

>>7
さすがに30年前じゃね？

8: 2019/07/16(火) 19:40:06.31

外部連携してなけりゃセーフ？

22: 2019/07/16(火) 19:41:47.48

>>8
パスワードなしでもログイン可能
他人がアクセスして勝手にパスワードとメアド変えられる

使いたければどうぞ

10: 2019/07/16(火) 19:40:35.95

７秒でPayされる

687: 2019/07/16(火) 21:17:56.43

>>10
これ好き

21: 2019/07/16(火) 19:41:45.86

こんなシステム過去にあったかなあ？

32: 2019/07/16(火) 19:43:03.74

>>21
セブンは過去もやってる
ネット通販で客の情報にパスワードかけずにサーバーに保存
↓
グーグルにすべて拾われる
↓
客から指摘されて「客が操作を間違えたのが悪い!!」と逆切れ
なお顧客情報、買い物履歴、クレカ情報が流出
↓
ネット通販サイトの名称を変えて知らんフリ

707: 2019/07/16(火) 21:28:18.29

>>32
本当なら、今回の事件を起こすのは必然だな。

43: 2019/07/16(火) 19:44:35.76

>>21
PSNだったか、出来たばかりの頃に自分のIDでログインさえしておけば
URLのIDの数字いじるかなんだったか方法は忘れたけど、とにかく他人のアカウントに入り放題だった

175: 2019/07/16(火) 19:59:22.89

>>43
それはすばらしいね

37: 2019/07/16(火) 19:43:57.07

俺が小学生の頃運営してた掲示板よりひどい

48: 2019/07/16(火) 19:44:50.06

これがサイバー空間の戦争か！

819: 2019/07/16(火) 22:51:00.09

>>48

一方的な虐殺のようなw

53: 2019/07/16(火) 19:45:43.16

このシステム受託したのどこよ？

55: 2019/07/16(火) 19:45:51.10

今時ブラウザゲーですらそんなデータの持ち方してねーだろ

81: 2019/07/16(火) 19:49:13.33

>>1
固定idのおかげで総当たりする桁数も減るんだな。

99: 2019/07/16(火) 19:51:31.13

>>1
ソフトバンクのPayPayでも総当たり攻撃が可能だったらしいのに・・・
それ以下のセキュリティ？

168: 2019/07/16(火) 19:58:43.78

>>99
それと同じとみていい

クレカも上6桁と下1桁は固定
上6桁が発行会社で下一桁はチェックディジットだから

108: 2019/07/16(火) 19:52:33.29

パス無しでログインできるとか
ただの皆で共有できる財布じゃん・・・
誰が入金するんだよ

123: 2019/07/16(火) 19:53:35.98

>>108
みんなで幸せになろうよｗｗｗｗｗｗｗｗｗｗｗｗｗ

109: 2019/07/16(火) 19:52:39.96

分かりやすい穴を空けて中国人犯罪者を誘い逮捕まで繋げているんだから大したシステムじゃないかw

130: 2019/07/16(火) 19:54:27.23

委託業者のスキルも問題だけど、そもそもクライアントが検品できないって
ある種の思考停止というか覚える気がないのが問題だな。
そんなのが経営の上層部に犇めいていたらそりゃ日本の企業は負けて当然だわな。

179: 2019/07/16(火) 20:00:05.77

>>130
これ絶対下請けが中国人犯罪者グループにつながってるって
確かに脆弱だけどサービス開始直後から分かるものでもないだろう

151: 2019/07/16(火) 19:56:30.39

外部システムに乗っかっときゃよかったのに
遅れまいと急いで作ったはてがこれか

155: 2019/07/16(火) 19:57:00.16

マイクロソフト「もうすぐパスワードがいらない社会が来る」(セキュリティの発達で)
セブンペイ「我が社はすでにパスワードいらないシステム作りました」(セキュリティの解消で)

言ってることは同じなんだが、やってることがすげー違うな。

157: 2019/07/16(火) 19:57:14.66

ﾊｶｰ:俺ID123456だけどLINEで連携してるんだよ
ｾﾌﾞﾝ:(その組み合わせは合ってないな)…ダメ
ﾊｶｰ:俺ID123456だけどYahoo!で連携してるんだよ
ｾﾌﾞﾝ:(その組み合わせ正しいな)…OK、通っていいよ

こういうこと？

167: 2019/07/16(火) 19:58:40.07

セキュリティ強化策で、
異常を監視する人を５人から２０人に増やしました。
のセブンだからなぁ
何があっても驚かんわ

180: 2019/07/16(火) 20:00:08.44

＞　つまり、別の言い方をすると｢id｣の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

いやいやいや・・・もうこれ、わざとだろｗｗｗｗ

198: 2019/07/16(火) 20:01:55.46

おれのナナコちゃんが凄く不安なんだけど

228: 2019/07/16(火) 20:05:23.10

まるでWindows9xだな。
セキュリティーがないためセキュリティーホールはない！
ノードクターノーミスにも通じる哲学。

229: 2019/07/16(火) 20:05:24.03

クラッカーの練習台になってる!

236: 2019/07/16(火) 20:06:04.11

さすが基本情報技術者レベルのことができないセブン

252: 2019/07/16(火) 20:08:32.06

OAuthならぬNOAuth認証や

261: 2019/07/16(火) 20:10:00.96

未だかつてIDだけでﾛｸﾞｲﾝ出来たｼｽﾃﾑってあったっけかな？

278: 2019/07/16(火) 20:12:25.03

社長「API…？トークン…？」