2019年7月16日のtwitterセキュリティクラスタ

やはりまだまだパイパス手法がいろいろあった7payです

セブンペイの不正使用事案のセキュリティホールが分かってきたようだ。セブンとしては、これで再発防止策を出して再開…という流れに持って行きたいところだろうな。

QT 入金認証 他人が変更可能…セブンペイ チャット通じ : 経済 : 読売新聞オンライン yomiuri.co.jp/economy/201907…

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 j.mp/2lobCRI |Business Insider

omni7が巨大な負債化していて誰もをつけたくなかった、という感じに取れるな。
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由|BUSINESS INSIDER businessinsider.jp/post-194660

7Payの脆弱性に関する詳細な記事。これはあまりにもな感じですね… 外部IDを使ってないケースでのハックの報告もあるみたいなので、まだとんでもないのが出てくる可能性も… businessinsider.jp/post-194660

概念的には、オムニ7サーバーは図のような「ユーザーの会員情報にアクセスするためのトークンを発行するページ」を公開していたようなもの。OAuth や OpenID Connect の仕様本体や実装不具合とは全く関係のない脆弱性。OAuth や OIDC に対する風評被害が心配。

businessinsider.jp/post-194660 pic.twitter.com/PXukfKbBSI

LINEは新規登録時にパスワード設定必須になったのか。これはパスワードレスに逆行では。かつての引き継ぎ時にパスワード設定を要する方式は、自分で決めるワンタイムパスワードのようで、その方が未来的だった。
official-blog.line.me/ja/archives/53…
「変更点
・新規登録時にパスワードの登録が必須になります。」

これを見ると、任意の電話番号(の保有者)に引き継げて、パスワードのみが頼りなのね。SMS認証は単に他人の電話番号で使われないためだけに行われてて、二段階認証になっていないと言える。LINEは「アカウントを引き継ぐ」スイッチによるロックで対処しているということか。
guide.line.me/ja/migration/m…

そういえば元々、LINEが電話番号を使うのは複数アカウント防止的な目的のもので、電話番号をユーザIDとし、他人の電話番号で新規登録させないための確認としてSMS認証が行われていたわけで、二段階認証の趣旨ではなかったのだった。

その点、PayPayとFamiPayは(ログイン時に)登録された電話番号にSMSが飛ぶので異なる。これらはまさしくログインの二段階認証(パスワード確認&登録電話番号到達性確認)。LINEはそうではないのだ。登録時の手順が似ているから同じように思ってしまうが、似て非なるものと。

むむ?故障・紛失時の引き継ぎ方法では「引き継ぐスイッチ」によるロックを無視するということか。この場合には登録電話番号到達性確認&パスワード確認の二段階認証を行うということか。ということは、むしろ「引き継ぐスイッチ」の方が例外的で、電話番号変更のロックか。
guide.line.me/ja/migration/m…

ここまで整理:
・LINEにはログアウトがなく、PayPay・FamiPayにはある。
・PayPay・FamiPayのログインは、LINEでは引き継ぎに相当。
・端末を変更する手順は同じで、登録電話番号到達性確認&パスワード確認
・LINEは電話番号を変更する引き継ぎが可能で「引き継ぎスイッチ」でロックされている。

こうなると疑問なのは、PayPay・FamiPayで電話番号を変更する場合はどうするのか。

PayPayでは、かつては変更不可だったのが変更可能になったらしいが、ログイン中に番号を変更設定するようだ。ということは、番号変更で端末も変更すると旧端末が手元にないとできない。
usedoor.jp/howto/web/apps…

端末を維持したまま電話番号だけ変わるときはそれで問題ないが、両方とも変わってしまう状況には対応できていない。
LINEでは、その状況が事前に来るとわかっている場合には「引き継ぎスイッチ」で対処できる。ただしパスワードが弱いと36時間だけリスクにさらされる。

他のやり方としては、その状況が事前に来るとわかっている場合に、引き継ぎコードを発行してメモさせて、新しい端末・電話番号でのログインの際に入力させる方法が考えられる。その方が、弱いパスワードのリスクがなくて良いのではないか。

FamiPayがそのような設計になっていた。引き継ぎ前の環境で「電話番号変更」画面から「電話番号変更コード」を入手してメモし、新しい端末で「電話番号変更の方はこちら」から進んだ画面で「電話番号変更コード」と共に新旧の電話番号を入力する。これが一番素直な設計だろう。 pic.twitter.com/Ccrd4TuMY3

しかし、このような「変更コード」をメモしておけ方式は、技術者にはそのコードの意図に察しがつき次に何をするか予見できるが、一般的なLINEユーザには眠くなってしまう方法かもしれず、その点「引き継ぎスイッチ」によるロック解除方式の方がわかりやすいのかもしれない。
twitter.com/HiromitsuTakag…

FamiPayに見られる引き継ぎコード方式は、電話番号を変更する場合だけでなく(電話番号同じで)端末を変更する場合にも同様に用いる設計もあり得る。ログアウト機能を廃して、端末を変更するときしかログインしないようにし、引き継ぎコードを必須にする。しかしこの方式は…
https://t.co/NRXoFvKmBg

…しかしこの方式は、端末の故障・紛失に対応できない。電話番号が変わることは事前にわかっていて事前の手続きが可能だが、故障・紛失は突然来るので事前の手続きができない。

というわけで、要するに、
・故障・紛失への対応として電話番号到達確認が現実的かつ有効。
・電話番号変更への対応として事前手続き方式が現実的かつ有効。
ということか。

一部訂正。PayPayは複数端末で同時ログインして利用できるらしいので、これに当たらず。
twitter.com/HiromitsuTakag…

ビットポイントから30億の仮想通貨流出で会見が行われています。

取引システムに対し各種セキュリティ対策を行っていたものの、ウォレットサーバーが不正アクセスを受けた可能性が高い、秘密鍵を窃取・不正使用された。 twitter.com/bitpress/statu…

次の施策を行っている
全種全量のコールドウォレットへの移動
お客様への本事案発生公表・サービス一時停止
仮想通貨の送付を行わないよう注意喚起
コールドウォレットからの不正流出は確認されていないが、コールドウォレットの有高を常に監視中。

原因究明対策等

外部専門家の協力をいただきながら
システムログ調査
脆弱性調査
追跡
被害拡大
JVCEA各会員への注意喚起
不正流出先追跡
リップル財団、交換所への協力要請

当社におけるサービス再開に合わせて請求に寄る払い戻しなど可及的速やかに対応をとっていきたい。
不測の事態が生じない限り財務状況に(途切れた)

本事案に関わる流出相当分の仮想通貨調達は事業継続に支障ない
原因究明、拡大防止策、再発防止策の検討、取引の安全、財産保全を確実にすることを前提に可及的速やかにサービス再開を目指す。

海外グループ企業の流出は詳細を調査中
信用回復に努めてまいる。

誠に申し訳ございませんでした。

質疑
「今まで他の取引所とどう技術的な治験を共有してきており、これからどうするのか」
良い質問だと思う、交換所、セキュリティはいちばん重要な点だと思う。これまでも他の交換業者と情報共有を行ってきたが流出を招いたことを申し訳なく思う。
今後もっと連携はとっていくべきだと思う

「御社システムアップデート中ではないかと、CTOも変わって、その状況でこういう事が起きている、何を強化しようとしていて、間隙をつかれたことはないのか。流出は13%だったのは顧客資産か確認させてください」

UI/UXを中心として取引システムの変更を行っていました。と入っても不正流出の対象となったものはホットウォレットに関するもので、現段階で変更箇所ではなく、新開発体制の影響はないと捉えている。原因は究明中なので、要因はまた分かり次第開示等させていただく。

次の点はその通り、預かり資産のうち13%が流出の被害対象。
20億6千万円が預かり全体の13%と考えていただければ問題ないかと思います。

「お客さんへの対応について何店か。サービス再開に合わせて対応を取るとあるが、サービス再開はいつ頃めどか。払い戻しは仮想通貨化現金か。対称となるお客さんは何人か。通知方法は」

再開時期
現段階でいちばん大事なのはセキュリティ確保。1日でも早く再開したいと考えるが、現段階ではまだ未定とさせていただければと存じます。
2番め、どう返すか。仮想通貨で払い戻し、日本円ではなく仮想通貨。
具体的にいつからか、これは先程と同様、サービスの安全性が確保された段階で発信


被害者数、現段階でビットポイントの会員数は11万人。
それで、今回、ホットウォレットの大半が流出なので、11万人の方が対象となると考えている。

「ホットウォレットの大半、全額ではない?流出した通貨がどこまで追えているか」
時系列に基づき7/11 9:11リップルが不正送金されたことを自動検知、1分後に開発メンバーが対応開始ほっとウォレットからコールドウォレットへの移送を開始、2億4千万円分の仮想通貨をコールドウォレットに振替出来た

どこにあるかは把握させていただいているが、アドレスが送金された場合に、じゅきんしないように国内外の取引所にお願いしている

「御社は去年金融庁から業務改善命令を受けた、それが先月末に解消になった。それについての受け止めと、基本的なことだが、ホットウォレットの中にリスクがあったのか、御社ならでは、別の企業との違いで差があったか」

昨年6/22に当社が金融庁から業務改善命令を頂き、ちょうど先月6/28に定期報告解除されております。解除された2週間後にこうした事態が生じたことは申し訳ない。

ホットウォレットをどう管理しているかという点だが、当社としては考えられる対応をしていた。ホットウォレットの秘密鍵を、そのまま、かりに流出しても使えないような形で暗号化処理しておりました。暗号化処理していたものを何らかの理由で解読され使われていることが確認されている。

「御社HPにも結構堅牢にホットウォレットを管理されていると歌われてた。マルチシグのように管理されていたと思うがそれが流出したのは内部犯の可能性もあるかと思うがどう考えているか」
現段階では究明中、この場においては、原因調査中と回答させていただければ

「2点、現物補償が決まった決めては?いままで現金のケースもあったが、理由を知りたい。国際協力は、ハッキングを国際協力を止めた事例があるが、どのくらいの時点で協力を要請したか、どういった国の取引所に要請したか」

仮想通貨での払い戻し理由は、不正流出が仮想通貨なので、仮想通貨で払い戻しをするべきではないかと考えた

どういう協力要請をしているのかは、この場で回答することで被害拡大に繋がる可能性もあるので詳しくは差し控えたい。国内外の主要な取引所に、このアドレスから来て求めてほしいと要請

流出したものが返ってくるかは、残念ながら明確な回答は差し控えさせていただければ。

「現物での返金ということで、今取引できない状態なので、数十パーセント単位で値動きする、1週間、2週間、2ヶ月後では半分になっている可能性もある、そのあたりを保証する可能性はあるか」
現段階では回答を差し控えさせていただきます。

法的な観点を含むので現段階では差し控えさせていただく

「そこが一番皆さん気になる、いつかえってくるのかいくら返ってくるのかわからないのが一番不安では」

いくら返ってくるのか、現時点で申し上げられるのは、流出時点でお客様の仮想通貨、法定通貨全量を確保しているので、サービス再開時に要請があれば当然変換させていただく。

「最初の流出から通知まで遅いのではないか、もう少し早く停止すればよかったのではないか、もう少し早く情報を出すべきではないか、適切と考えているか」

pm9:11の段階で流出の可能性があるアラートが上がった。先ほど別の方に回答したが、その段階でまずはホットにあるものをコールドにすることを最優先にしていた。12日午前3時に緊急対策会議を行い、送受金サービスを停止しております。

「一番聞きたかったのは、この時間は適切だったと考えるか」
結果として30億円の流出につながっており、その観点では申し訳ない。一方で、おしらせ塔の話があったが、原因が、ホットウォレットの秘密鍵流出であり、サービスを止めても流出したと思われ、移送を優先すべきだったと思う

「暗号化した秘密鍵を解かれたということだった。今後安全にひいつ鍵を完全に取り扱えると思うか、それとも何らかの安全性のリスクは有ると考えられるか。」
難しい回答と思う。今回ビットポイントから不正送金があった。その代表が全く問題ないとは言えない。

あくまでビットポイントからの流出であり、他にも交換業者はいらっしゃる。あくまでビットポイントから流出したとお考えいただければと思う。

「経緯の中で、改めていつの時点からいつの時点まで続いているのか」
21:11リップルの送金エラーから、どこまで不正流出があったか、仮想通貨のホットウォレットのキーが流出していて、我々は止めることができない。ホットウォレットを空にしたが、これから入ってきたものも流出する可能性がある

メモが入った件

先程の対象人数、口座開設数は11万人
不正流出の対象はだいたい5万人とお考えいただければ幸い
(….どういう計算をするんだろう?)

みてる:30億円相当の仮想通貨が不正流出 ビットポイントが午後3時から緊急会見(2019年7月16日) – YouTube youtube.com/watch?v=VaJd2q…

ビットポイントの不正流出について、ここまでの対応をコインチェック、Zaifと比較しておきます。わりと迅速にやるべきことをやっている印象ですね pic.twitter.com/YMu3jNIyB7

@takagifx ホットウォレットが13%だそう
この段階での会見など一定の評価はできる。
twitter.com/technical_fibo…
私が去年ビットフライヤー@YuzoKano 口座から盗まれた際の対応は最悪でホットウォレットほぼ100%

【重要】
株式会社ビットポイントジャパンにおいて、7月11日より仮想通貨の不正流出が判明しており、同社は仮想通貨の入出金を含むサービスを全面的に停止しております。
ビットポイントジャパンの口座に対しては仮想通貨の送付を絶対に行わないよう、ご注意ください。

【ビットポイント社長 流出謝罪】
yahoo.jp/2G5jsO

ビットポイントジャパンが仮想通貨を不正アクセスにより流出させた問題で、小田玄紀社長が記者会見し、謝罪。流出額は約30億2000万円で、顧客から預かった分は全額補償するとしている。

「被害者に仮想通貨で全額返却、原因は究明中」30億円分流出のビットポイントが会見 tech.nikkeibp.co.jp/atcl/nxt/news/…

ビットポイントの30億流出は金額がでかくてピンと来にくいけど7payの100倍って考えるとでかい事件だよなあ。
いまさらだけどコインチェックの500億ハッキングとか大事件じゃん。

その他に気になったことはこのあたり。

Chromeから XSSAuditor のDeprecated予定 “Intent to Deprecate and Remove: XSSAuditor – Google グループ” groups.google.com/a/chromium.org… #Chrome #XSS

三井住友銀行のSmishingが観測されたそうですが、誘導先ドメイン(smoco[.]jp)の登録メールアドレス(youxiangyan(at)gmail[.]com)は東京五輪のSmishingの誘導先(sc9[.]me)と同じでした。
piyolog(piyolog.hatenadiary.jp/entry/2019/07/…)でも言及済みです。
(JPドメインの登録情報がヒドいw)
twitter.com/ay_yayuuka/sta… pic.twitter.com/RkhnkFANyU

LINEログイン(外部ID連携)で、アプリからサーバーに、ログインセッションを安全に引き継ぐ方法をまとめました。詳しくは、以下のページを参照してください。
developers.line.biz/ja/docs/line-l…

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか?
gigaz.in/2jUJDsJ

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>