【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか

■ このスレッドは過去ログ倉庫に格納されています
0001田杉山脈 ★2019/07/24(水) 12:38:47.27ID:CAP_USER
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。

セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。

しかしここへきて、これまでとは異なる、別の問題が浮上してきた。

7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。

事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」

7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。

ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。

外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。

ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。

ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。

同ソースコードは、その週のうちに削除されている。このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg

ユースケさん自身はソースコードの内容詳細までは解析していない。

しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。

削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。

事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
https://www.businessinsider.jp/post-195187

0043名刺は切らしておりまして2019/07/24(水) 18:15:41.19ID:CUlVGRBV
>>11
vimのomniはたぶん韓国関係ない

0044名刺は切らしておりまして2019/07/24(水) 18:15:45.57ID:OFGzHOHy
チャイナが悪いみたいに言われてるが、
「ご自由にお持ちください。」状態であったような

0045名刺は切らしておりまして2019/07/24(水) 18:17:46.50ID:rTuaYppn
絶対わざとだろ 内部犯がシナ人とぐるだろ

0046名刺は切らしておりまして2019/07/24(水) 18:28:24.30ID:XNWwWSp1
名前で拒否。俺ならそんなソース使わない。

0047名刺は切らしておりまして2019/07/24(水) 18:32:42.39ID:3rEqQVO1
ギフハブか...

0048名刺は切らしておりまして2019/07/24(水) 18:38:15.80ID:C3eh09fl
androidもソース公開されてますけど

0049名刺は切らしておりまして2019/07/24(水) 18:38:33.38ID:2ljPzeW6
ソースコードが公開されていることと
セキュリティーが低いことは全く別の話だと思う
設計がしっかりしているプログラムはソースコードが
公開されていても安全です
むしろ危険が多くのコーダーの目を通るので安全性が高まります

0050名刺は切らしておりまして2019/07/24(水) 18:43:56.85ID:W9lRybtE
>>49
この話ってソースが公開されてても多くの目でチェックされるとは限らないって話じゃねーの?

0051名刺は切らしておりまして2019/07/24(水) 18:48:10.84ID:Yfnlbxfm
 


ソースが知れただけで、ほんの短期間で欠陥突かれるようじゃなw

どうせ派遣に作らせたんだろww


 

0052名刺は切らしておりまして2019/07/24(水) 18:59:35.71ID:OGbjav3/
GitHubに公開されていたって事は「あれ」とか「あそこ」とかにも流れているって事。
まぁ、セブンは詰んでるわ。

0053名刺は切らしておりまして2019/07/24(水) 19:01:36.14ID:n9QM7iMi
>>11
それな
英語なのにものすごく韓国語っぽい

思わず意味調べちゃったよ
それでもあまり使う気になれなかった

0054名刺は切らしておりまして2019/07/24(水) 19:05:17.38ID:/sWwuitm
オムニが全てを語る

0055名刺は切らしておりまして2019/07/24(水) 19:14:14.19ID:zfStulzM
セブンアプリも演出がウザい感じしたしセブンはnanaco以外関わらないようにしてる

0056名刺は切らしておりまして2019/07/24(水) 19:24:41.56ID:iYKhLeY9
ソースが漏れてもまともな物なら安全なんだけどな
責任転嫁も甚だしい

0057名刺は切らしておりまして2019/07/24(水) 19:35:39.76ID:RoxTuMEb
やっぱギフハブが暗躍してるんじゃん。。わ

0058名刺は切らしておりまして2019/07/24(水) 19:40:17.65ID:J2KI/9lA
OSSなの?w

0059名刺は切らしておりまして2019/07/24(水) 19:53:03.21ID:aZP3ypUd
>>25
開発費中抜きされすぎて月額100ドルも払えないんじゃねえの?

0060名刺は切らしておりまして2019/07/24(水) 19:54:45.93ID:wHVkupTK
>>51
セブンに開発部隊がいるとは思えないから外注やろな、本体は仕様だけごちゃごちゃ言うだけやろ

0061名刺は切らしておりまして2019/07/24(水) 19:54:49.12ID:w6ua13EF
GifHub

0062名刺は切らしておりまして2019/07/24(水) 20:17:39.49ID:W9lRybtE
>>60
てか明らかに仕様が間違ってたんだよなぁ

0063名刺は切らしておりまして2019/07/24(水) 21:28:47.32ID:Ri0Wf1CC
>>1
>事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。

誰の不手際?この記事書いた本人すら分かっていないんでは?
何か大事だと思って書いてるだけ😂

0064名刺は切らしておりまして2019/07/24(水) 22:47:05.93ID:3uoMTsK4
鈴木会長とか、最高のタイミングで逃げたよな

今や、鈴木会長がいなくなってダメになったみたいな印象まである

0065名刺は切らしておりまして2019/07/24(水) 23:24:32.74ID:Rhj8Gny9
>>63
?
何いってんだこの馬鹿
火消ししたかったのか?

0066名刺は切らしておりまして2019/07/24(水) 23:26:25.11ID:PR3GcEHZ
次はコーナンがやってきましたよ
どっかのビジネスコンサルタントに騙されてるのか
スマホ決済導入して失敗する企業増えそうだな
次はどこだ
paypay 7pay コーナンpay
paypayだけは旨く生き残ったな
もう、中国人ハッカーに狙われてるだろ

0067名刺は切らしておりまして2019/07/25(木) 00:02:06.20ID:l3rCceZf
素人開発がオープンソースをそのまま使っただけだろ

0068名刺は切らしておりまして2019/07/25(木) 00:58:24.23ID:uul+vBi4
【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明
https://asahi.5ch.net/test/read.cgi/newsplus/1563928220/

0069名刺は切らしておりまして2019/07/25(木) 01:38:12.56ID:j20pqFgs
大後悔時代の始まりである

0070名刺は切らしておりまして2019/07/25(木) 01:51:50.55ID:ldBxWhyu
下請けが悪気なくGitHubを使って共有してたんだろ
多重下請け構造がこういう結果を招いている

0071名刺は切らしておりまして2019/07/25(木) 03:05:25.13ID:CGUotIEM
オープンソースとセキュリティは別の話だよな

0072名刺は切らしておりまして2019/07/25(木) 04:16:02.33ID:UnnGkwbL
無能

0073名刺は切らしておりまして2019/07/25(木) 07:25:58.68ID:rQElUDES
>>62
これ。
記事を載せてるビジネスインサイダーも、中で頓珍漢なことを書いてる批評家も、SIのことを分かってない。
ベンダー側が必要と提案しても、顧客側が要らないと言ったら、それは要件としては外されるから、システムに盛り込まれない。
Omni7なんて、前の鈴木会長の息子が無理やりぶち上げたプロジェクトで、最初から無理なスケジュール進行で、仕様漏れがいろいろあるんだろ。
それをベンダーの責任とか言われてもな。

0074名刺は切らしておりまして2019/07/25(木) 07:43:35.00ID:V2YkzXWI
お前らがプルリクしないから今回の問題が起きたってことだな

0075名刺は切らしておりまして2019/07/25(木) 08:32:21.08ID:o/LyJw2Q
>>8
スパゲティの原材料

0076名刺は切らしておりまして2019/07/25(木) 08:49:05.87ID:A+1zq0P4
>>32
セキュリティの基本は「原理を公開していても破られない」だから、ちゃんとしたアルゴリズムなら大丈夫だと思う
ただ、これまでの流れを考えると公開しても大丈夫って考え方で設計されてる気がしない

0077名刺は切らしておりまして2019/07/25(木) 09:32:18.35ID:BjhAtnk1
>>75
旨い(上手い)

0078名刺は切らしておりまして2019/07/25(木) 11:38:57.56ID:Bt4xpBeA
>>29
実際のところ、それが一番安全で手っ取り早いかもね。

0079名刺は切らしておりまして2019/07/25(木) 12:12:58.43ID:gzUrp9Nk
素人として不思議でならないのは
なんちゃらpayはどういう発想でシステムを作っているというかデザインしているというかってとこ
FeliCaやクレジットカードからQRコードの光学的な読み取りに変えることでどんなスマホでも使えるようになるのがメリットでしょ?
セキュリティーに関してはカード会社やSONYやJR東や今はなきビットワレットがちゃんとしたものを作って長く運用してるじゃん
何でいきなりこんなにザルになるわけ?

0080名刺は切らしておりまして2019/07/25(木) 12:21:45.01ID:O/CHnF09
>>79
既存のフレームワークやライブラリにライセンス料を払うのをけちったり、技術やノウハウもないのに独自に拘ったり、中抜きの丸投げ企業や、無能なPM PLが、年齢制限でベテラン排除したり、等々。

0081名刺は切らしておりまして2019/07/25(木) 13:15:33.36ID:ctNoy4yR
お金に関わる所だから慎重にって言いながらもトラブル出してたみずほ銀行だけど
一応、それがいかに不味いか知ってた人達の最期の金融案件なのかもね

0082名刺は切らしておりまして2019/07/25(木) 15:11:08.17ID:5IYxWyjK
>>79
Felicaやクレカじゃ広告表示とかできないからな
ユーザーの利便性なんぞ二の次って事

0083名刺は切らしておりまして2019/07/26(金) 07:17:06.87ID:2VhE5C0z
>>79
単純にコストの問題。
そりゃ金掛けりゃセキュリティは厳重にできるわな。
どこをケチるかを分かってなかったのが小売り屋風情の限界やね。

0084名刺は切らしておりまして2019/07/26(金) 12:26:39.43ID:vG9h4TbT
>>50
まあopensslの件もあるからオープンソースだから安心と言うのはないわな
だからと言ってクローズドソースが安全と言う訳でもない
なので
> ソースコードが公開されていることと
> セキュリティーが低いことは全く別の話だと思う
って話だろ

0085名刺は切らしておりまして2019/07/26(金) 13:02:00.96ID:DiBiwiVl
品質の低いコードが、認証鍵を含めてオープンソース = サンドバッグ状態

0086名刺は切らしておりまして2019/07/27(土) 08:19:22.89ID:7RXGV5it
ソースバレたくらいでアカウント乗っ取れるほうがおかしい。

0087名刺は切らしておりまして2019/08/01(木) 13:22:36.86ID:CL+Ia+4p
おにぎりと個人情報を交換するアプリ

0088名刺は切らしておりまして2019/08/01(木) 14:01:55.40ID:JF6bhpCI
>コードの一部に開発会社らしき複数のメールアドレスが書かれていること

うーん、ぎりぎりアウトです(´・ω・`)

0089名刺は切らしておりまして2019/08/01(木) 15:28:21.11ID:9Xr72Hv3
>>14
>Googleのファイルサーバも無料のやつ使うなよ
>権利全部譲渡してる扱いだからな

有料のクラウドサーバーが、どれくらい安善だか知らない。
AWS, AZURE が圧倒的に安善というよりも、契約した設計内容がよいという保証はあるの?

0090名刺は切らしておりまして2019/08/01(木) 15:32:45.48ID:9Xr72Hv3
>>83
>どこをケチるかを分かってなかったのが小売り屋風情の限界やね。

Over Spec な仕様で、完璧だとか言われても、総合損保でザルだった時の実害保証が
なければ、幾ら HIGH SPEC でも、高いものは買わないと思うよ。だって、実害保証が問
題だから。

0091名刺は切らしておりまして2019/08/04(日) 08:41:10.32ID:nCg6IbQO
(lll・ω・`)

0092名刺は切らしておりまして2019/08/04(日) 08:42:38.82ID:p86jP3Dn
ギフハブは実在したのか

0093名刺は切らしておりまして2019/08/17(土) 23:11:30.49ID:L+7Lgsua
オモニ特性のソースニダ

■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★
Donguri System Team