2019年7月4日のtwitterセキュリティクラスタ

すでに逮捕者も出た7payの不正アクセスの続き

しつこいですが、7payアプリは削除しましょう!オニギリ無料に釣られてアプリ登録したら、40万円搾取された(^.^) 1個40万円の人生最高価格のおにぎり。あっ、そういえばおにぎりクーポン来ないなぁ
クレジットカード登録したら本当にヤバイよ!
7pay被害者を増やさない為に拡散して下さい! pic.twitter.com/4s0y9pnSKg

7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5

退会が完了した直後にアプリが落ちるのも再現。

@HiromitsuTakagi 現時点で都道府県、生年月日、性別
Android版は必須
iOS版は任意ですね pic.twitter.com/SKCY5WHS6M

パスワードリマインダから送付先メールアドレスのフォーム消えたかとおもったら

さすがにアフォすぎて笑った pic.twitter.com/qlkn7KOMB3

omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww
こ れ は 大 草 原 が 広 が るwwwwwwwwwwwwwww pic.twitter.com/oPm53QTbdl

7iD(オムニ7)のパスワード再設定画面から「送付先メールアドレス」が消えたけど内部的には有効になっていて、開発者ツールでメアドを入れたら登録してあるメールアドレスと「送付先メールアドレス」の両方にメールが届いて草

7pay 昨日の時点でもいろいろ調べてたけど、7payに限った問題ではないので、オムニ7をとにかく早く止めるべき。この状況でサービス中断、メンテを入れるのは普通、常識、真理です、早く正気に戻ってください。とにかく止めて、一刻も早く止めたほうがいい。

とにかくやばいときは躊躇せずにメンテいれるべきだし「あのときメンテを入れておけば」って後悔している事例もたくさん知っている。やばいときはメンテ入れろ、あと、インフルエンザのときは会社休め。

このレベルのインシデント、常識的に考えたら「現場判断で即座にメンテに入れてエスカレーションし判断を求める」もしくは「即座にエスカレーションしてメンテに入れる判断」の二択だよねえ。

ファミペイもwebviewにエラー垂れ流しとか相当にひどいんだけど、7payがボロボロすぎて助けられてるな。

omni7はITリテラシの高い層があまり使ってない上に、おそらくbug bounty programもやってないから、Ethical Hackerにまったく着目してもらえなかったんだろうなー

「bug bounty programをやらないこと」がリスクになっているとも言える。Ethical Hackerが賞金の出るサービスにばかり時間を割くから、そうでないサービスは脆弱性が見過ごされてしまうという格差が発生する。

#7pay
記者「情報が流出する被害が続いているのに全面停止しないのか?」
7「まず取り得る安全策、まずできることは対策しながら、調査をして抜本的に対応したほうがいいことが出てくれば対応する。」
記者「流出が続いてもいいというのか」
7「流出が起きていると認識できていない。」

#7pay
記者「二段階認証を入れなかったのは?」
7「二段階認証? ? ?」

二段階認証のことを知らなかった偉いおじさんのおかげでツイッターのトレンドに二段階認証が浮上。これまで二段階認証を知らなかったコンシューマーへ浸透し社会全体のセキュリティ意識が高まる。

そう、7payの真の目的はこれだったんだ!!(な、なんだってー)

日本のトレンドに「二段階認証」が入ってるの、感慨深い。 pic.twitter.com/V03tZSypBT

セブンペイの会見、何かを言っているが何も言っていないスキルが高すぎて、大組織のトップに立つにはこういう風なスキルが必要なんだなぁと感動する。

7pay 以前は攻撃する価値がなかっただけで omni7 が安全なわけではないだろうに

話聞いてると「金額は保障するんだからいいでしょ」っていう認識なんだなという印象。まあお金もそうだけど危ないのは個人情報じゃない?家族の情報入れる欄もあるみたいだし #7pay

7Payの会見を見て、現時点では退会するのがベストな選択肢だと思った。
経営陣からしたら、悪いのは自分達ではなくて悪用する人達でしょみたいに思ってるのかもな。

7pay、不正検知システムがあるって言ってるけど、客から不正利用されてるって報告が来てから調べたら不正利用があったって、それ検知と言うのか?

他のPayは100億円だのなんだのばらまいて知名度を稼いだのに…他人の金5500万で知名度を稼いだ7payすごいなぁ

「不正利用の被害に遭われた方へ。7payから返金のお知らせです」
とかいう詐欺メールが来て二次被害が出る頃合いですね!!

「脆弱性がスーツを着て記者会見している」という展開になるとは予想外だった

セブンペイの次の一手は2段階認証と称して第2パスワードを設けてそこに生年月日を要求するようになると思う

SMS認証について記者からの質問に

「SMSってツイッターのことですよね、みなさんがツイッターされてるとは限らないですし」

と勘違い回答したセブンペイ社長…
もはや社長辞任した方がいいのでは
#セブンペイ

7payで登録、セブンイレブンアプリで表示可能な住所は都道府県のみですけど、オムニ7の利用者だったらフルの住所が登録されているし、アカチャンホンポがグループにある関係で子供の氏名、生年月日も登録されているし購入履歴も参照できる

セブン,後発でシェア取るのが難しそうだから,QRコード決済そのものを潰すことで勝負を次のステージに移行させようとしている可能性ワンチャン

セブンペイ不正利用、会見では脆弱性診断はしたという旨のことを言っていたけれども、今回のはどちらかというと仕様バグであって機械的なペネトレーションテストでは見つからないタイプの問題だからなあ…。

仕様を考える側に「全体を俯瞰する能力」がないとこういうことがおこるんだよね
もって他山の石としたい

7payの件、まぁ酷いミスであることは間違いないんだけど、このバグを見つけるテストを書けるか、って言われたら、コードを知ってないと書きようがないので、大抵の外部からの脆弱性チェックは通るだろうなあとは思ってる。
生年月日未登録だと2019/1/1に内部的にセットされちゃうとか知らんでしょ。

例のガバガバセキュリティのやつ「なんで指摘する人いなかったの」ってみんな思うじゃないですか。

わたくし全然別のシステムを検証してるとき
・DBのパスワードのハッシュが雑魚すぎ(7分でハックできたレベル)
・ソースコードにマスターパスワードを持つな(ILSpyで簡単にぶっこ抜けた)

次へ。

という内容を報告したら、
「そんなことしたら製品にできないから黙っててくれる」って顧客にガチギレされて、上司と一緒に謝りに行ったことあるから、まあそういうことよ。

7Payの件は後から実装みたらやばみがつらみだからわかるけど、いざ自分が巨大開発チームの一員でこの大穴があくのを防げたのかと言えばわからないので、ただただお腹が痛い

ここまで酷いことやったということは他にもありとあらゆる脆弱性があるだろうから、 omni7 はとにかく一度サービスクローズして徹底的にセキュリティ監査してなんならそのまま再開しないのが正しいと思いますけどね

これら 7pay とファミペイの騒ぎを中国から見てると、AlipayやWeChat Payが大事故を起こさずにインフラに徹しているのは合理的だし、彼らが「10年以上目立った事故を起こしてないSuicaに学んでます!」って言ってたのを思い出して、かなり複雑な気持ちになる。

決済の問題にばかり注目されてしまうと、もともとリスク取ってやる事業なのだから、一定の対策取って被害減ったのが確認出来てる、被害者には補償する、で、話が終わってしまうんですよ。個人情報漏洩の部分が放置されている(ろくに調査せず、被害の発生を認識出来ていない、で黙殺される可能性がある)

「仕様からしておかしかったに違いない」派
「それに気づいた実装者はいるはずだけど上の指示に従っただけだよ」派
「いや、気が付けない実装者しかいなかっただろう」派
「読売新聞を見直した」派

下っ端は捕まえられたけど。
オムニ7の初期から脆弱性に気付いていて今回7payのタイミングで満を持して一斉に行動に移したとすると、犯人グループは相当日本のサービス全体に精通してそうだよね

7pay不正で中国籍男2人逮捕 詐欺未遂容疑、国際組織か(共同通信) headlines.yahoo.co.jp/hl?a=20190704-…

開発会社は多重請けのはずで、音頭を取ってたSIerが技術的な問題をなんも知らない人たちだったんだろう。仕事を投げてるセブンの社長はSIerに言われた通りに金を出すくらいしかしてないだろうから、二段階認証を知らないのも、まぁそうだろうと。しかしSIとゆのは昔からそゆもんだよ。

個人的にはSIer丸投げ案件だと思ってるんだけど、そゆとこが燃えるのは昔からなんだよ。おそらくセブンの担当部署も要件管理しかしない。開発会社で問題があっても、元請けを通して一次請けのSIerに至り、エンドユーザに話がいくこたない。その過程で話が捻じ曲げられ責任の押し付け合いになるだけ。

TLを見ていると、セブンの中に開発部署があるとか、せめて2次請けくらいで開発してるとかゆように勘違いしてる人もいるようだけど、SIをナメちゃいけない。自分が何次請けなのかも分からず、システムのどの部分を作ってるのか分からないとこまで細分化されてるんだよ(実際は知らんが)。

決済やECに対する不正利用は、組織的な経済犯による攻撃が想定されるところ、この策を講じれば安心というものはなく(対策を講じればその裏をかくという形で、攻撃側と防御側が極めて戦略的な相互関係にある)、かつ複数のプレーヤーが絡むエコシステムに穴があれば、そこが効率的に狙われる。

なので、複層的な対策と、業界横断の対策枠組みが必要になる。というのが、おそらく共有されている相場観。後者の枠組みは、馴染みのある業界内での枠組みが従来から整っているものの、その枠をこえた横断的なものがまだまだの段階にある。少し、そうした整備も進みつつあるので貢献したい。

話題沸騰7payリセマラで「無限おにぎり」がご賞味いただけるバグが話題に : やまもといちろう lineblog.me/yamamotoichiro…

5ちゃんねるにほぼ同様の文言

「SMSってTwitterのことですよね」 セブン・ペイ記者会見で「社長が勘違い発言した」とするデマ拡散 nlab.itmedia.co.jp/nl/articles/19… @itm_nlab pic.twitter.com/dLazdfJsme

セブンペイ不正利用、被害は900人5500万円 全てのチャージ・新規登録を一時停止 nikkei.com/article/DGXMZO…

発表に2日間? セブン・ペイ社長「我々の感覚と違う」 t.asahi.com/w3dv

「7pay(セブンペイ)」不正アクセスで被害者続出! “スマホ決済”に潜む危険とは? fnn.jp/posts/00047105… #FNN

「7pay」 中国人逮捕 商品20万円分だまし取ろうとしたか #nhk_news www3.nhk.or.jp/news/html/2019…

7payの不正利用騒動、「7pays war」って言われてるの見かけてめちゃくちゃわろてる
ぼくらのnanaco間戦争……

その他に気になったことはこのあたり。

いよいよ明日!7/5「中小企業と技術の出会いの場~TIRIクロスミーティング2019」
体験型セミナー:スマートフォンを使ってWi-Fiの脅威を体験
展示:サイバーセキュリティの最新情報を提供
【Tcyss協力団体による無料相談窓口開設】お待ちしています!
iri-tokyo.jp/site/tiri-cm/ #都産技研 pic.twitter.com/mohJFmfs2R

「DNS Queries over HTTPS」(DoH)プロトコルを悪用するマルウェアが出現japan.zdnet.com/article/351394… @zdnet_japan
”Godlua Backdoorはプログラミング言語Luaで記述されたマルウェアの一種であり、感染したシステム上でバックドアとしての機能を果たすという。Godlua BackdoorはLinuxサーバー上で動作…”

@zdnet_japan ”「Confluence」の脆弱性(CVE-2019-3396)を悪用…DoHリクエストを用いて取得したドメイン名のTXTレコードから、後続ステージにあるCommand and Control(C&C)サーバーのURLを取得し、そのURLへの接続によってさらなる命令を待ち受けるようになっている
twitter.com/catnap707/stat…

YouTubeがBANする対象に「ハッキングの手順の指導」を加えていて、それがセキュリティの教育や無害なホワイトハッキングの提供にも影響しているという話

理屈はわかる一方でもう自由なプラットフォームではないのだとわかる #めほリンク theverge.com/2019/7/3/20681…

そういや思い出した。
某社でセキュリティ強化のために二段階認証が導入された。
認証のためにスマホを取り出したら、いきなり部長に手首を掴まれて「今は仕事中だから、スマホで遊ぶのはやめような」と言われた。
この件が問題になって「二段階認証が」撤廃された。

個人認証は「IDとパスワードのみ」が7割超、ネットサービス提供事業者アンケート調査結果  internet.watch.impress.co.jp/docs/news/1194… pic.twitter.com/94VmJEq4nQ

「DNS Queries over HTTPS」(DoH)プロトコルを悪用するマルウェアが出現 japan.zdnet.com/article/351394…

OpenID Foundation、「Sign In with Apple」に懸念–「セキュリティとプライバシーにリスク」 japan.zdnet.com/article/351394…

ランサムウェア「Sodin」が日独韓台に感染集中–カスペルスキー japan.zdnet.com/article/351394…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>