ここから本文です

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由

7/16(火) 5:01配信

BUSINESS INSIDER JAPAN

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

【全画像をみる】狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。

Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。

不正アクセス犯はどんな手口で侵入したのかを探る。

7payが急遽「外部ID」を遮断しなければならなかった理由

7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。

プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。

首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。

タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた

書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった

オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

タロウさんは、iPhoneにインストールした7payアプリと、スマホのWiFi通信に割り込んで書き換えるProxyツール「Fiddler」を使い、実際に自身のダミーIDへの侵入テストを試みて成功している。また、その侵入テストの様子は信用に足る形で編集部でも確認した。

※2019年7月16日 11時50分 追記:
ユーザーIDについてはFacebookとTwitterに関しては数字の文字列、そのほかの接続先に関しては英数字が含まれるケースがあります。読者からの指摘をうけ、正確性を期して、追記・一部更新いたします。

1/3ページ

最終更新:7/17(水) 10:31
BUSINESS INSIDER JAPAN

こんな記事も読まれています

あなたにおすすめの記事