X
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
■ このスレッドは過去ログ倉庫に格納されています
0001田杉山脈 ★
垢版 |
2019/07/24(水) 12:38:47.27ID:CAP_USER
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。

セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。

しかしここへきて、これまでとは異なる、別の問題が浮上してきた。

7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。

事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」

7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。

ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。

外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。

ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。

ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。

同ソースコードは、その週のうちに削除されている。このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg

ユースケさん自身はソースコードの内容詳細までは解析していない。

しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。

削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。

事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
https://www.businessinsider.jp/post-195187
0004名刺は切らしておりまして
垢版 |
2019/07/24(水) 12:46:44.51ID:TgsNeVAl
セブンのネット通販は垢抜けないと思いながらも利用してた
オムニ7に変わった時、幾つか気になることがあったので、利用しなければ良いだけと思いつつも、あえて脱会した
確か経営者が代替わりしたみたいなのを何かで読んだが、おバカが過ぎるのが頭になったんだろね
0007名刺は切らしておりまして
垢版 |
2019/07/24(水) 12:52:49.46ID:g95Sn2XE
ソースコードをどう管理するかは結局それぞれの会社の問題だからな。
0008名刺は切らしておりまして
垢版 |
2019/07/24(水) 12:54:01.66ID:sQn1j84w
ソースコードってなに?
美味しいの?
0010名刺は切らしておりまして
垢版 |
2019/07/24(水) 12:56:29.45ID:ftjqWiiV
そりゃ ASKAもギフハブに狙われるわ
0011名刺は切らしておりまして
垢版 |
2019/07/24(水) 12:57:14.21ID:ZiVsSxW1
オムニ7ってネーミングがもう
最初これ見た時とうとうセブンも韓国に乗っ取られたかと思った
意味がどうとかしゃなくて響きって大切って事もわからないような経営者じゃだめなんだよ
0012名刺は切らしておりまして
垢版 |
2019/07/24(水) 12:58:08.41ID:W5B2NF+C
やはりギフハブは危険な組織だな
0013名刺は切らしておりまして
垢版 |
2019/07/24(水) 12:59:58.58ID:BP1rb/3h
設計図共有サイト
0014名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:00:42.68ID:UikYmSU3
Googleのファイルサーバも無料のやつ使うなよ
権利全部譲渡してる扱いだからな
0015名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:05:58.60ID:evFx4L20
開発会社のエンタープライズアカウントじゃなくて、個人のアカウントでcommitしたみたいだな
本人は気がつかなくて放置?
それともプライベート設定をミスって公開にしちゃったとか?
どっちにしろ開発会社クズ過ぎ
0016名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:06:04.07ID:2It4hYPa
>>11
ロボコップに出てくるオムニ社って悪の会社だったはず
パワードール(だっけか?)が続かなかったのはオムニ共和国という情けない名前が一因
0017名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:07:58.30ID:UJ22gJPs
月額700円も払えない貧乏人を雇うから
0018名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:08:00.14ID:t2D7K7FV
オモニの仕業ニダ
0019名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:09:52.84ID:aXa+HFq5
開発会社どこなんだろ。
外国の会社? 中国とか韓国とか、
0020名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:12:44.71ID:UJ22gJPs
>>19
松下システムエンジニアリング
0021名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:29:56.47ID:6A8FOfzv
オモニ7
0022名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:31:59.01ID:/N4db5tk
違う視点から

GitHub に上がってたオープンソースを勝手に使った可能性だ
複数アカウントを登録すれば、IDのコードが浮き彫りになり
ハッカーの見せ場になる
0023名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:33:09.08ID:psFckXuU
セブンイレブンはIT周りは全然なんだな
ちょっとやらかし過ぎてセブンイレブン関連のWEBサービスやアプリからは距離置くことにした
利用するのは実店舗のみでええわもう
0024名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:42:53.34ID:sHkjuEg7
別の大手の話だけど、sierの派遣プログラマー時代、4次受けの俺がappstoreのアカウントを貰って色々操作していたからな。

周りには怪しい外国人プログラマーもいたし。

派遣使いまくっているsierはなにがあってもおかしくないな。
0025名刺は切らしておりまして
垢版 |
2019/07/24(水) 13:55:21.07ID:Fh+jUPlt
ビジネス用のgit使わないとかやばすぎ
0026名刺は切らしておりまして
垢版 |
2019/07/24(水) 14:34:41.12ID:d2AKq/2f
オムニ7で一度だけお弁当を注文した事があったな
今もメールが来るけど何も利用してない
0027名刺は切らしておりまして
垢版 |
2019/07/24(水) 14:58:21.54ID:Chd6LMeq
>>23
nanacoのクオリティー見ても
実際IT絡みは2周くらい遅れてそうだ
0030名刺は切らしておりまして
垢版 |
2019/07/24(水) 16:51:18.20ID:fLCalwyY
>>23
セブンはITオンチなのに自前主義だからタチが悪い
そもそもロクなエンジニア揃えてないし集まらない外部に委託した方が遥かにマシ
0032名刺は切らしておりまして
垢版 |
2019/07/24(水) 17:11:52.02ID:+zIoD4eD
4年も晒してたらすでにいろいろやられてるだろうな。
0036名刺は切らしておりまして
垢版 |
2019/07/24(水) 17:48:48.58ID:eNHEI94W
ソースコードを設計図という風潮は何なんだ
0037名刺は切らしておりまして
垢版 |
2019/07/24(水) 17:50:17.77ID:IQdu9w2P
×不手際
○意図的
0038名刺は切らしておりまして
垢版 |
2019/07/24(水) 17:51:03.18ID:HaxgC9ZW
dポイントも危ないなw
0039名刺は切らしておりまして
垢版 |
2019/07/24(水) 17:59:26.22ID:psFckXuU
セブンってリアルアナログでは優秀だしデジタル戦略も同じく優秀だと思うけどそれを構築する根幹がザルだったことが露呈されてオワコン化
0041名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:03:12.43ID:/+bgm8aT
結局、下流の方は中国に丸投げだったんじゃないの?
そりゃ、漏れるに決まってる。
0042名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:08:28.66ID:iKIXV13M
もうリポジトリもないんだっけ
サーバーサイドのコードほかにも差がし始めるやついるんじゃないの?
0043名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:15:41.19ID:CUlVGRBV
>>11
vimのomniはたぶん韓国関係ない
0044名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:15:45.57ID:OFGzHOHy
チャイナが悪いみたいに言われてるが、
「ご自由にお持ちください。」状態であったような
0045名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:17:46.50ID:rTuaYppn
絶対わざとだろ 内部犯がシナ人とぐるだろ
0046名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:28:24.30ID:XNWwWSp1
名前で拒否。俺ならそんなソース使わない。
0047名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:32:42.39ID:3rEqQVO1
ギフハブか...
0048名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:38:15.80ID:C3eh09fl
androidもソース公開されてますけど
0049名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:38:33.38ID:2ljPzeW6
ソースコードが公開されていることと
セキュリティーが低いことは全く別の話だと思う
設計がしっかりしているプログラムはソースコードが
公開されていても安全です
むしろ危険が多くのコーダーの目を通るので安全性が高まります
0050名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:43:56.85ID:W9lRybtE
>>49
この話ってソースが公開されてても多くの目でチェックされるとは限らないって話じゃねーの?
0051名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:48:10.84ID:Yfnlbxfm
 


ソースが知れただけで、ほんの短期間で欠陥突かれるようじゃなw

どうせ派遣に作らせたんだろww


 
0052名刺は切らしておりまして
垢版 |
2019/07/24(水) 18:59:35.71ID:OGbjav3/
GitHubに公開されていたって事は「あれ」とか「あそこ」とかにも流れているって事。
まぁ、セブンは詰んでるわ。
0053名刺は切らしておりまして
垢版 |
2019/07/24(水) 19:01:36.14ID:n9QM7iMi
>>11
それな
英語なのにものすごく韓国語っぽい

思わず意味調べちゃったよ
それでもあまり使う気になれなかった
0054名刺は切らしておりまして
垢版 |
2019/07/24(水) 19:05:17.38ID:/sWwuitm
オムニが全てを語る
0056名刺は切らしておりまして
垢版 |
2019/07/24(水) 19:24:41.56ID:iYKhLeY9
ソースが漏れてもまともな物なら安全なんだけどな
責任転嫁も甚だしい
0058名刺は切らしておりまして
垢版 |
2019/07/24(水) 19:40:17.65ID:J2KI/9lA
OSSなの?w
0060名刺は切らしておりまして
垢版 |
2019/07/24(水) 19:54:45.93ID:wHVkupTK
>>51
セブンに開発部隊がいるとは思えないから外注やろな、本体は仕様だけごちゃごちゃ言うだけやろ
0061名刺は切らしておりまして
垢版 |
2019/07/24(水) 19:54:49.12ID:w6ua13EF
GifHub
0063名刺は切らしておりまして
垢版 |
2019/07/24(水) 21:28:47.32ID:Ri0Wf1CC
>>1
>事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。

誰の不手際?この記事書いた本人すら分かっていないんでは?
何か大事だと思って書いてるだけ😂
0064名刺は切らしておりまして
垢版 |
2019/07/24(水) 22:47:05.93ID:3uoMTsK4
鈴木会長とか、最高のタイミングで逃げたよな

今や、鈴木会長がいなくなってダメになったみたいな印象まである
0066名刺は切らしておりまして
垢版 |
2019/07/24(水) 23:26:25.11ID:PR3GcEHZ
次はコーナンがやってきましたよ
どっかのビジネスコンサルタントに騙されてるのか
スマホ決済導入して失敗する企業増えそうだな
次はどこだ
paypay 7pay コーナンpay
paypayだけは旨く生き残ったな
もう、中国人ハッカーに狙われてるだろ
0070名刺は切らしておりまして
垢版 |
2019/07/25(木) 01:51:50.55ID:ldBxWhyu
下請けが悪気なくGitHubを使って共有してたんだろ
多重下請け構造がこういう結果を招いている
0073名刺は切らしておりまして
垢版 |
2019/07/25(木) 07:25:58.68ID:rQElUDES
>>62
これ。
記事を載せてるビジネスインサイダーも、中で頓珍漢なことを書いてる批評家も、SIのことを分かってない。
ベンダー側が必要と提案しても、顧客側が要らないと言ったら、それは要件としては外されるから、システムに盛り込まれない。
Omni7なんて、前の鈴木会長の息子が無理やりぶち上げたプロジェクトで、最初から無理なスケジュール進行で、仕様漏れがいろいろあるんだろ。
それをベンダーの責任とか言われてもな。
0075名刺は切らしておりまして
垢版 |
2019/07/25(木) 08:32:21.08ID:o/LyJw2Q
>>8
スパゲティの原材料
0076名刺は切らしておりまして
垢版 |
2019/07/25(木) 08:49:05.87ID:A+1zq0P4
>>32
セキュリティの基本は「原理を公開していても破られない」だから、ちゃんとしたアルゴリズムなら大丈夫だと思う
ただ、これまでの流れを考えると公開しても大丈夫って考え方で設計されてる気がしない
0078名刺は切らしておりまして
垢版 |
2019/07/25(木) 11:38:57.56ID:Bt4xpBeA
>>29
実際のところ、それが一番安全で手っ取り早いかもね。
0079名刺は切らしておりまして
垢版 |
2019/07/25(木) 12:12:58.43ID:gzUrp9Nk
素人として不思議でならないのは
なんちゃらpayはどういう発想でシステムを作っているというかデザインしているというかってとこ
FeliCaやクレジットカードからQRコードの光学的な読み取りに変えることでどんなスマホでも使えるようになるのがメリットでしょ?
セキュリティーに関してはカード会社やSONYやJR東や今はなきビットワレットがちゃんとしたものを作って長く運用してるじゃん
何でいきなりこんなにザルになるわけ?
0080名刺は切らしておりまして
垢版 |
2019/07/25(木) 12:21:45.01ID:O/CHnF09
>>79
既存のフレームワークやライブラリにライセンス料を払うのをけちったり、技術やノウハウもないのに独自に拘ったり、中抜きの丸投げ企業や、無能なPM PLが、年齢制限でベテラン排除したり、等々。
0081名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:15:33.36ID:ctNoy4yR
お金に関わる所だから慎重にって言いながらもトラブル出してたみずほ銀行だけど
一応、それがいかに不味いか知ってた人達の最期の金融案件なのかもね
0083名刺は切らしておりまして
垢版 |
2019/07/26(金) 07:17:06.87ID:2VhE5C0z
>>79
単純にコストの問題。
そりゃ金掛けりゃセキュリティは厳重にできるわな。
どこをケチるかを分かってなかったのが小売り屋風情の限界やね。
0084名刺は切らしておりまして
垢版 |
2019/07/26(金) 12:26:39.43ID:vG9h4TbT
>>50
まあopensslの件もあるからオープンソースだから安心と言うのはないわな
だからと言ってクローズドソースが安全と言う訳でもない
なので
> ソースコードが公開されていることと
> セキュリティーが低いことは全く別の話だと思う
って話だろ
0085名刺は切らしておりまして
垢版 |
2019/07/26(金) 13:02:00.96ID:DiBiwiVl
品質の低いコードが、認証鍵を含めてオープンソース = サンドバッグ状態
0087名刺は切らしておりまして
垢版 |
2019/08/01(木) 13:22:36.86ID:CL+Ia+4p
おにぎりと個人情報を交換するアプリ
0088名刺は切らしておりまして
垢版 |
2019/08/01(木) 14:01:55.40ID:JF6bhpCI
>コードの一部に開発会社らしき複数のメールアドレスが書かれていること

うーん、ぎりぎりアウトです(´・ω・`)
0089名刺は切らしておりまして
垢版 |
2019/08/01(木) 15:28:21.11ID:9Xr72Hv3
>>14
>Googleのファイルサーバも無料のやつ使うなよ
>権利全部譲渡してる扱いだからな

有料のクラウドサーバーが、どれくらい安善だか知らない。
AWS, AZURE が圧倒的に安善というよりも、契約した設計内容がよいという保証はあるの?
0090名刺は切らしておりまして
垢版 |
2019/08/01(木) 15:32:45.48ID:9Xr72Hv3
>>83
>どこをケチるかを分かってなかったのが小売り屋風情の限界やね。

Over Spec な仕様で、完璧だとか言われても、総合損保でザルだった時の実害保証が
なければ、幾ら HIGH SPEC でも、高いものは買わないと思うよ。だって、実害保証が問
題だから。
0091名刺は切らしておりまして
垢版 |
2019/08/04(日) 08:41:10.32ID:nCg6IbQO
(lll・ω・`)
■ このスレッドは過去ログ倉庫に格納されています