2019年8月3〜4日のtwitterセキュリティクラスタ

7Payって、結局何が悪かったんだ?

会議終わった…ここから残業や…。

ここで一つ。
「無理矢理実装させれば7Payみたいになりますよ?」という最強の印籠を手に入れたと思っているSEの皆さま。私が弊社某支社長(経営理事)に問われた一言をお聞きください。

「7Payって、結局何が悪かったんだ?」

私はアゴが外れかけました。

いや、「7Payって、結局何が悪かったんだ?」って真っ当な疑問でしょ。僕も知りたいですよ。外部が(僕も含めて)色々言っているけど、いずれも推測、もっと言えば憶測にすぎません。 https://t.co/LEKEGzAQEc

@ockeghem よくよく考えると公式から事件の詳細や原因が公開される事なくサービス終了してしまいましたね、「臭いものには蓋をする」ことわざ通りの流れを見ることになるとは

いや、セキュリティ問題なのに根本的な問題を発表するようなことはできないでしょう。
脆弱性を自ら公開するようなものでしょう。
IPAの人なん? twitter.com/ockeghem/statu…

未だにこれが典型的な反応かと思いますが、セキュリティの根本原因を報告している例はいくらでもあります。どれを紹介するか迷うほどですが、日本テレビの第三者委員会の報告書。必読です
daisanshaiinkai.com/cms/wp-content… twitter.com/nanashino_ojis…

何がすごいかって、これ、「ゼロデイ攻撃だったが、他の脆弱性施策が機能していれば防げたはずだ」とばっさり。よく書いたなとも思いますし、それを公開したした日テレも懐が深い。各組織の責任についても言及しています

@ockeghem ケータイキットの件ですな。委託者に落ち度がなかったとはいえない、個人情報の削除の問題などなど、要素をきっちり出して、更に対策と今後の方向性など提示しているところが評価できますね。

7payはいくつもの深刻な脆弱性が既報だけど、駄目なことだらけ過ぎて何が原因と一つに絞れない点もさることながら、これまで問題になったことが既報だけでは説明がつかないところも非常に不気味で、まだ他にも脆弱性があると考えざるを得ないところが気持ち悪いんだよね https://t.co/a4ULlJmIWc

どのみち規制当局にはちゃんとした報告書を出すんだろうし、業界全体のためにも第三者委員会の報告書くらいは公表しようよ、と。先般の記者会見にしてもセブンが何か隠してるんじゃないか?という質疑での追求が多くて、このまま7payさえ畳めば逃げ切れるって話じゃないのでは

その他に気になったことはこのあたり。

OAuth2.0のGoogle連携ソーシャルログイン。クライアントはスマホ。リクエスト取得して診断してもらってた。

最終日にOAuth2.0の診断について相談されて確認してたら、認可コードが送信されずにメアドのみ送信してたので任意ユーザーでログインできた…おぃ…

危うく7payの二の舞になるとこだった…

気づいてると思うけど、AuthZ Code云々に加え、内部のユーザーとの紐付けをメアドでやってる可能性があるとこにも注目せざるを得ない。Gmailは変わらんやろと思うかも知れないが他のIDはそうとも限らないので、外部IDとの連携は基本的に「ユーザー識別子」を利用しましょう。

twitter.com/kazkiti_ctf/st…

@kazkiti_ctf メアド限定にしている理由が気になりますが、Gmailのリサイクル(リユースっていうんだっけか)の可能性まで意識してそのような設計になっているのであれば個々で問題にはならないかもしれません。

@ritou ありがとうございます!
何かを気付かれているような気がするので教えて頂きたいのですが、なんらかの特殊条件下ではuseridにメアドを使うと問題が発生するということでしょうか?

@kazkiti_ctf 一般的な外部ID連携の場合、TwitterやFacebookのような外部メアドを受け入れるサービスでは任意のタイミングで別のユーザーに紐付け可能です。gmailやYmailなどのように自社がメールサービスを提供しているところでもリユースの可能性を考慮すると、永続的な識別子としては不適切でしょう。

もしかして、世の中には外部ID連携において属性として受け取ったメアドをキーにするという設計が普通に存在するのか?

Capital One情報漏洩に関する記事。
SSRF脆弱性の悪用によりEC2インスタンスからのみ接続可能なメタデータ(169.254.169.254)が不正にアクセスされ、IAMロールの認証情報が取得されたと推測できます。当初設定不備と報じられたのは独自構築のApache mod_securityのことらしい。
krebsonsecurity.com/2019/08/what-w…

リアルECUを召喚して本物のCAN通信の雰囲気を知る shutingrz.com/post/summon-re…

書いた。召喚に成功した。

善玉ハッカーの仕事とは 顧客のシステムに侵入、穴探る t.asahi.com/w8oe

素晴らしい→“大切なのは「原理原則から学ぶ。そうすれば、芽吹くのは遅くても伸びるのが速くなる」。教えてくれたのは、博士号をくれた指導教官だった。専門外でも一流になれば証明できる。” / “善玉ハッカーの仕事とは 顧客のシステムに侵入、穴探る:朝日新聞デジタル” htn.to/2PpfTZ12fk

実質4日しかフル稼働しなかった7pay、サービス終了が決まっても火種は燻ったまま

──一連の騒動の幕引きを図ることができるのか……
newsweekjapan.jp/stories/world/…
#7pay #キャッシュレス #スマホ決済

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>