2019年7月6〜7日のtwitterセキュリティクラスタ

7Payの問題続き

セブン&アイ、火元の7Payに責任を押しつけてomni7への延焼を防ぐ懸命の消化活動
kabumatome.doorblog.jp/archives/65944…

7payアプリでは「東京都」など都道府県しか表示されないが、内部的なAPIレスポンスではオムニ7に登録しているフルの住所、画面上には無い電話番号も返している。またオムニ7のサイトではログイン履歴を確認できる機能があるが7payアプリのログイン履歴は記録されない(住所電話抜かれても気付けない) pic.twitter.com/KPhZP7gmcD

変に拡散されて意図が伝わらなくても困るので解説わざわざ書くけど、これは「脆弱性が残ってるぞー」みたいな指摘ではなく「止血が出来ていない」ことに対する指摘。7payばかり注目されて、その結果、対応の優先度も間違える(あなたたちがAPIレスポンスを読まないせいです)
twitter.com/bulkneets/stat…

omni7.jp/general/static… 「ログイン履歴の確認はこちら」と書いてあるが、アプリのログイン履歴はオムニ7のサイトの機能では表示されず、確認できない。
単に個人情報閲覧されただけだと利用者からは気付く手段が無く、サービス運営者が不正アクセスの状況を調べなければ全貌が分かりようがない。

個人情報が漏洩しても「適切にパスワードを管理しなかった利用者が悪い」という理屈が通用するのは「サービス側に瑕疵が無い」という前提での話だ。パスワードリセット機能には実際に脆弱性があったし、7pay不正決済ではリセットメール届いてないパスワード使いまわしてないと主張している人もいる。

「7pay(セブンペイ)」に対する不正アクセスの件(第3報)セキュリティ対策の強化を目的とした新組織発足のお知らせ buff.ly/2JexyIs 二段階認証を知らないおじさんが「7pay二段階認証の導入」のセキュリティ対策プロジェクトPJリーダーですか….プロジェクト始まる前から既にヤバい… pic.twitter.com/H7iRqBMqpR

いやあ、二要素認証といえばこの通りなんだけど、求められていることはそういうことじゃないんだなあ。求められているのは二要素(他要素)ということではない。だから別の言い方が必要。といって二段階認証と呼ぶと、単に第2パスワードと誤解されてしまう。さてどうするか。
togetter.com/li/1373579

@HiromitsuTakagi 報告書では、「多段認証」と言ったりしました。重要な処理前に、階段をもう一段登るんだよ、というニュアンスを説明しつつ。

多要素認証という言葉は使わず、
多段認証、二要素認証、の組み合わせにするように、(自分の中で)統一しています。

さぁて来週の7payは
– 決済の止血はできたとしてOmni7とか本当に大丈夫?
– 第三者委員会、火消し部隊で渦中の栗を拾うのは誰?
– 7payの構築ベンダー、Omni7との連携体制に問題は?
– 中国人の出し子たちはいつ、どうやって動員されたの?
– なんちゃって2FAの蔓延。使いやすく安全な実装方法とは

「キャッシュレス決済」を謳っているけど、キャッシュレス推進協議会の「コード決済に関する統一技術仕様ガイドライン」にまるっきり適合していない、静的バーコード方式は、経産省が言う「ポイント還元への参加を認めない」扱いにしてほしいですね。
paymentsjapan.or.jp/wordpress/wp-c…
twitter.com/neoscorporatio… pic.twitter.com/Tdu302Rc5A

とりあえず不正チャージを防ぐ方法はあるよね。7/11までに実現できるような。

それは7/11までには無理。
twitter.com/masanork/statu…
正解は、
「チャージの都度、CVV2認証や3Dセキュアを通す(これは利用開始時のカード登録の処理と同じ)ようにする。」

(ただし、不正チャージが防げただけであり、チャージ後の残金の不正利用は防げていない。それで再開してよいかは別問題。)

「もともと登録時に3Dセキュアは通している」は関係ないし、「リセット」する必要もない。これ、コーナンPay方式ですよ(笑)
twitter.com/masanork/statu…
ちなみに、「チャージパスワードのリセット時にクレジットカード情報も一緒に初期化する」は現存の脆弱性排除策で、また話が別です。 pic.twitter.com/QZHQTG52GV

@HiromitsuTakagi 「チャージパスワードのリセット時にクレジットカード情報も一緒に初期化する」は現存の脆弱性排除策ですがUXを維持しつつ不正チャージを防ぐ方策にもなるのでは?チャージのたびチャージパスワードと3DセキュアのID/パスワード(またはCVV2)を入力するのは店頭で操作するUXとしてどうかと思いますが

ならないですよ。弱いチャージパスワードをつける人が一定数いる(1%以上と推定)ことが解決すべき問題なんだから。(二段階認証とか言われているのはその問題を解決する手段の一つ。)
twitter.com/masanork/statu…
「UXを維持しつつ不正チャージを防ぐ方策にもなるのでは?」

「チャージパスワードのリセット」の問題は、そもそもチャージパスワードをリセットするという発想が愚考(パスワード忘れに囚われすぎ)で、登録したカード情報を全部消すというのが正解。端末変更時もこれでよい。やり直せばいいだけなんだから。
(「d払い」はこれらしい)
twitter.com/HiromitsuTakag…

7/11を目指すための暫定策の話ですよ。店頭で操作しなければいいし。コーナンPay(笑)はそうしてるんだし。
https://t.co/U4hcCWpBlP
「チャージのたびチャージパスワードと3DセキュアのID/パスワード(またはCVV2)を入力するのは店頭で操作するUXとしてどうかと思いますが」

@HiromitsuTakagi 弱いチャージパスワードをつける人は3Dセキュアのパスワードも弱いのをつけたり使い回してるだろうから結局のところ救えないし、自業自得だと思うんですよね。そんな人たちを救うために全利用者のUXを犠牲にするのはどうかと思いますね

3Dセキュアのパスワードが弱い人は、すでに他の方法で餌食になっているし、7payの責任ではない。7payが弱いパスワードを付けさせてしまうのは7payの責任。
twitter.com/masanork/statu…
「弱いチャージパスワードをつける人は3Dセキュアのパスワードも弱いのをつけたり使い回してるだろうから…」

さあ、6日で2段階認証を実装するという地獄の釜の蓋が開いたぞ…
※7/11に沖縄県で14店舗一気に開店して、全国47都道府県ネットが完成するため。

7pay 不正防止へ「2段階認証」導入など対応策 | NHKニュース www3.nhk.or.jp/news/html/2019…

まあ瑕疵担保の範囲内で、たった1週間で多要素認証を実装せよとベンダーに対してゴネる会社なんて、エンジニアに逃げられて地獄の業火に焼かれたらいいのではないかな。何を軽視して今の事態を招来したか全く分かってない、全然反省してないじゃんか

決済アプリの2段階認証について、ITベンダーが依頼元から「リスクを十分に説明しなかったのは善管注意義務違反だ、セキュリティは当たり前品質だ」と追いまくられる悲しい光景が思い浮かぶなど

悲しいというのは同意ですが、SQLインジェクションの例の判決とか見ていると、契約当時に常識的だったセキュリティ施策(例えば管轄官庁からガイドラインが出ている)は、受注者側が最低でも提案はしておかないと、裁判で負ける可能性があると思います twitter.com/nasakawa/statu…

2段階認証を6日で実装なんて簡単じゃん。
2段目を郵送にすりゃいいんだよ。

PDFをダウンロードしたくて金を銀行に振り込むと、数日後にパスワードの書かれた紙が郵送されてくる、FISCという組織が日本にはあってだな・・・。

これ、7pay側は「よくわかんない全部ベンダーのせいタダでやれ7/11までに必ずやれペナルティも払え」とか言い出したらしく、関連PJにいた知人たちから「いい案件ない?明日逃げる」って連絡がとんできたw twitter.com/poyopoyochan/s…

7IDを使ったAPIの認証認可がガバガバでOmni7から個人情報が漏洩してるとなると、個人情報保護法に基づいて個人情報保護委員会への報告が必要になりますが、ちゃんと行われてるんですかね?行われていれば報道されそうな気もしますが、ちょっと心配ですね

セブンイレブン店経営者、7Payを不正利用された被害者が訴える被害の実態 dot.asahi.com/wa/20190707000…

その他に気になったことはこのあたり。

IPAには脆弱性報告したらめちゃくちゃ褒めてくれる制度を用意してほしい

ソフトウェアの脆弱性はCVE番号出るからいいけど、Web脆弱性は報告しても本当に何も無いですからね…。
報告したら「IPAポイント」がもらえて、10ポイント貯めたら情報処理技術者試験が1回無料! とかあるといいな…(無理) twitter.com/nperair/status…

@ozuma5119 ホントにたまにですが、サイトの運営者の方から感謝のコメントをいただけることがあるくらいですよね。そういう時は報告して良かったなと思いますけどw

@tigerszk そうですね〜、ありがとうだけでも言ってもらえると嬉しいですね。
ただ、IPAも何か報告したくなるインセンティブを出して欲しいなとは思いますね。IPAビール1本、とかでも良いのでw

@ozuma5119 まーめっちゃ、おっしゃりたいことはわかりますw ぶっちゃけWebの脆弱性の指摘は報告する側にメリットないですからねー。

そういえばwebサイトの脆弱性、IPAとかJPCERT/CCに報告したことないや。
経路があればそれを、無ければ広報twitterあたりから システム見てる人に伝えてね ってメアドと一緒に教えてた。

脆弱性ハンターのみなさん、Payアプリよりも普通にECサイトの方が…

Incident Command SystemとかIncident Management System呼ばれる体系だったシステムがあるんだけど日本でも普及して欲しい。 / 重大事故の時にどうするか?|miyasaka|note note.mu/mmiya/n/n746eb…

「パスワードの文字種バリデーションの必要性がわからない。ハッシュ化されるなら元の文字種なんて関係ないし、セキュリティを低めるだけじゃないか」とぶちあげたら「セキュリティというか、機種依存文字などが混ざるユーザートラブルを防ぐ意味合いが強い」と説明を受けて降伏しました。奥が深い。

情シスの仕事+割り込みが多すぎ問題。
インフラ担当だった僕の場合はパケットキャプチャをいたるところに仕込んで、問題をワンパンで「切り分け」する仕組みを作りました。
切り分けできればエビデンス付きで担当者にブン投げるだけです。

社内での発言力を増すことができれば状況は改善します。

お行儀のよい日本のベンダーさんではなく、インドとかの現地業者に言うことを聞かせるために作ったので、日本でやれば無双できますw
日本のベンダーさん、世界的にはホント品質高いですよー!

日本のベンダーさん相手にも「いつもありがとうございます!」とマジ感謝しながらエビデンス付きで修正を依頼するスタイル。
結果的には早く直ってきます。

パケットキャプチャを発生時間とIPアドレスで絞り込んで、速攻で手を放す。あらかじめ仕掛けておくからこそできる荒技です。

「popやsmtp authには多段階認証つけられないので総当たりでパスワード当てられてしまう」これは根本的な脆弱性や…パスワードを64文字にするとかしないと

今回のことで,脆弱性や設計に穴がある主要なサービスはほとんど悪い人たちにはバレていて,有効活用できるまでずっと狙われているということがわかったのはよかったな.指摘されているのに放置していたら痛い目を見ると

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>