【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
■ このスレッドは過去ログ倉庫に格納されています
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。
セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
同ソースコードは、その週のうちに削除されている。このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg
ユースケさん自身はソースコードの内容詳細までは解析していない。
しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
https://www.businessinsider.jp/post-195187 セブンのネット通販は垢抜けないと思いながらも利用してた
オムニ7に変わった時、幾つか気になることがあったので、利用しなければ良いだけと思いつつも、あえて脱会した
確か経営者が代替わりしたみたいなのを何かで読んだが、おバカが過ぎるのが頭になったんだろね >>4
井阪のことか
クビ宣告から創業家を巻き込んだクーデターで復活したものの…w ソースコードをどう管理するかは結局それぞれの会社の問題だからな。 GitHubで公開されているプログラムって、セキュリティがばがばなんすか? オムニ7ってネーミングがもう
最初これ見た時とうとうセブンも韓国に乗っ取られたかと思った
意味がどうとかしゃなくて響きって大切って事もわからないような経営者じゃだめなんだよ Googleのファイルサーバも無料のやつ使うなよ
権利全部譲渡してる扱いだからな 開発会社のエンタープライズアカウントじゃなくて、個人のアカウントでcommitしたみたいだな
本人は気がつかなくて放置?
それともプライベート設定をミスって公開にしちゃったとか?
どっちにしろ開発会社クズ過ぎ >>11
ロボコップに出てくるオムニ社って悪の会社だったはず
パワードール(だっけか?)が続かなかったのはオムニ共和国という情けない名前が一因 開発会社どこなんだろ。
外国の会社? 中国とか韓国とか、 違う視点から
GitHub に上がってたオープンソースを勝手に使った可能性だ
複数アカウントを登録すれば、IDのコードが浮き彫りになり
ハッカーの見せ場になる セブンイレブンはIT周りは全然なんだな
ちょっとやらかし過ぎてセブンイレブン関連のWEBサービスやアプリからは距離置くことにした
利用するのは実店舗のみでええわもう 別の大手の話だけど、sierの派遣プログラマー時代、4次受けの俺がappstoreのアカウントを貰って色々操作していたからな。
周りには怪しい外国人プログラマーもいたし。
派遣使いまくっているsierはなにがあってもおかしくないな。 オムニ7で一度だけお弁当を注文した事があったな
今もメールが来るけど何も利用してない >>23
nanacoのクオリティー見ても
実際IT絡みは2周くらい遅れてそうだ >>23
セブンはITオンチなのに自前主義だからタチが悪い
そもそもロクなエンジニア揃えてないし集まらない外部に委託した方が遥かにマシ githubは有害サイトですぞー!国が滅びますぞー! 4年も晒してたらすでにいろいろやられてるだろうな。 今まで聞いたセキュリティ案件の中でも、飛び抜けて間抜けに見える。 セブンってリアルアナログでは優秀だしデジタル戦略も同じく優秀だと思うけどそれを構築する根幹がザルだったことが露呈されてオワコン化 まだ Git Cloneできるの? できるなら、こちらで完璧なbranch書いてやるで 結局、下流の方は中国に丸投げだったんじゃないの?
そりゃ、漏れるに決まってる。 もうリポジトリもないんだっけ
サーバーサイドのコードほかにも差がし始めるやついるんじゃないの? チャイナが悪いみたいに言われてるが、
「ご自由にお持ちください。」状態であったような ソースコードが公開されていることと
セキュリティーが低いことは全く別の話だと思う
設計がしっかりしているプログラムはソースコードが
公開されていても安全です
むしろ危険が多くのコーダーの目を通るので安全性が高まります >>49
この話ってソースが公開されてても多くの目でチェックされるとは限らないって話じゃねーの?
ソースが知れただけで、ほんの短期間で欠陥突かれるようじゃなw
どうせ派遣に作らせたんだろww
GitHubに公開されていたって事は「あれ」とか「あそこ」とかにも流れているって事。
まぁ、セブンは詰んでるわ。 >>11
それな
英語なのにものすごく韓国語っぽい
思わず意味調べちゃったよ
それでもあまり使う気になれなかった セブンアプリも演出がウザい感じしたしセブンはnanaco以外関わらないようにしてる ソースが漏れてもまともな物なら安全なんだけどな
責任転嫁も甚だしい >>25
開発費中抜きされすぎて月額100ドルも払えないんじゃねえの? >>51
セブンに開発部隊がいるとは思えないから外注やろな、本体は仕様だけごちゃごちゃ言うだけやろ >>1
>事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
誰の不手際?この記事書いた本人すら分かっていないんでは?
何か大事だと思って書いてるだけ😂 鈴木会長とか、最高のタイミングで逃げたよな
今や、鈴木会長がいなくなってダメになったみたいな印象まである >>63
?
何いってんだこの馬鹿
火消ししたかったのか? 次はコーナンがやってきましたよ
どっかのビジネスコンサルタントに騙されてるのか
スマホ決済導入して失敗する企業増えそうだな
次はどこだ
paypay 7pay コーナンpay
paypayだけは旨く生き残ったな
もう、中国人ハッカーに狙われてるだろ 【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明
https://asahi.5ch.net/test/read.cgi/newsplus/1563928220/ 下請けが悪気なくGitHubを使って共有してたんだろ
多重下請け構造がこういう結果を招いている >>62
これ。
記事を載せてるビジネスインサイダーも、中で頓珍漢なことを書いてる批評家も、SIのことを分かってない。
ベンダー側が必要と提案しても、顧客側が要らないと言ったら、それは要件としては外されるから、システムに盛り込まれない。
Omni7なんて、前の鈴木会長の息子が無理やりぶち上げたプロジェクトで、最初から無理なスケジュール進行で、仕様漏れがいろいろあるんだろ。
それをベンダーの責任とか言われてもな。 お前らがプルリクしないから今回の問題が起きたってことだな >>32
セキュリティの基本は「原理を公開していても破られない」だから、ちゃんとしたアルゴリズムなら大丈夫だと思う
ただ、これまでの流れを考えると公開しても大丈夫って考え方で設計されてる気がしない >>29
実際のところ、それが一番安全で手っ取り早いかもね。 素人として不思議でならないのは
なんちゃらpayはどういう発想でシステムを作っているというかデザインしているというかってとこ
FeliCaやクレジットカードからQRコードの光学的な読み取りに変えることでどんなスマホでも使えるようになるのがメリットでしょ?
セキュリティーに関してはカード会社やSONYやJR東や今はなきビットワレットがちゃんとしたものを作って長く運用してるじゃん
何でいきなりこんなにザルになるわけ? >>79
既存のフレームワークやライブラリにライセンス料を払うのをけちったり、技術やノウハウもないのに独自に拘ったり、中抜きの丸投げ企業や、無能なPM PLが、年齢制限でベテラン排除したり、等々。 お金に関わる所だから慎重にって言いながらもトラブル出してたみずほ銀行だけど
一応、それがいかに不味いか知ってた人達の最期の金融案件なのかもね >>79
Felicaやクレカじゃ広告表示とかできないからな
ユーザーの利便性なんぞ二の次って事 >>79
単純にコストの問題。
そりゃ金掛けりゃセキュリティは厳重にできるわな。
どこをケチるかを分かってなかったのが小売り屋風情の限界やね。 >>50
まあopensslの件もあるからオープンソースだから安心と言うのはないわな
だからと言ってクローズドソースが安全と言う訳でもない
なので
> ソースコードが公開されていることと
> セキュリティーが低いことは全く別の話だと思う
って話だろ 品質の低いコードが、認証鍵を含めてオープンソース = サンドバッグ状態 ソースバレたくらいでアカウント乗っ取れるほうがおかしい。 >コードの一部に開発会社らしき複数のメールアドレスが書かれていること
うーん、ぎりぎりアウトです(´・ω・`) >>14
>Googleのファイルサーバも無料のやつ使うなよ
>権利全部譲渡してる扱いだからな
有料のクラウドサーバーが、どれくらい安善だか知らない。
AWS, AZURE が圧倒的に安善というよりも、契約した設計内容がよいという保証はあるの? >>83
>どこをケチるかを分かってなかったのが小売り屋風情の限界やね。
Over Spec な仕様で、完璧だとか言われても、総合損保でザルだった時の実害保証が
なければ、幾ら HIGH SPEC でも、高いものは買わないと思うよ。だって、実害保証が問
題だから。 ■ このスレッドは過去ログ倉庫に格納されています