1: 田杉山脈 ★ 2019/07/24(水) 12:38:47.27 _USER
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。
セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
同ソースコードは、その週のうちに削除されている。このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg
ユースケさん自身はソースコードの内容詳細までは解析していない。
しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
https://www.businessinsider.jp/post-195187
引用元: http://egg.5ch.net/test/read.cgi/bizplus/1563939527/セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
同ソースコードは、その週のうちに削除されている。このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg
ユースケさん自身はソースコードの内容詳細までは解析していない。
しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
https://www.businessinsider.jp/post-195187
2: 名刺は切らしておりまして 2019/07/24(水) 12:39:36.32
オープンソースは漏洩とは言わない
4: 名刺は切らしておりまして 2019/07/24(水) 12:46:44.51
セブンのネット通販は垢抜けないと思いながらも利用してた
オムニ7に変わった時、幾つか気になることがあったので、利用しなければ良いだけと思いつつも、あえて脱会した
確か経営者が代替わりしたみたいなのを何かで読んだが、おバカが過ぎるのが頭になったんだろね
オムニ7に変わった時、幾つか気になることがあったので、利用しなければ良いだけと思いつつも、あえて脱会した
確か経営者が代替わりしたみたいなのを何かで読んだが、おバカが過ぎるのが頭になったんだろね
6: 名刺は切らしておりまして 2019/07/24(水) 12:51:01.35
>>4
井阪のことか
クビ宣告から創業家を巻き込んだクーデターで復活したものの…w
井阪のことか
クビ宣告から創業家を巻き込んだクーデターで復活したものの…w
7: 名刺は切らしておりまして 2019/07/24(水) 12:52:49.46
ソースコードをどう管理するかは結局それぞれの会社の問題だからな。
9: 名刺は切らしておりまして 2019/07/24(水) 12:55:01.94
GitHubで公開されているプログラムって、セキュリティがばがばなんすか?
10: 名刺は切らしておりまして 2019/07/24(水) 12:56:29.45
そりゃ ASKAもギフハブに狙われるわ
11: 名刺は切らしておりまして 2019/07/24(水) 12:57:14.21
オムニ7ってネーミングがもう
最初これ見た時とうとうセブンも韓国に乗っ取られたかと思った
意味がどうとかしゃなくて響きって大切って事もわからないような経営者じゃだめなんだよ
最初これ見た時とうとうセブンも韓国に乗っ取られたかと思った
意味がどうとかしゃなくて響きって大切って事もわからないような経営者じゃだめなんだよ
16: 名刺は切らしておりまして 2019/07/24(水) 13:06:04.07
>>11
ロボコップに出てくるオムニ社って悪の会社だったはず
パワードール(だっけか?)が続かなかったのはオムニ共和国という情けない名前が一因
ロボコップに出てくるオムニ社って悪の会社だったはず
パワードール(だっけか?)が続かなかったのはオムニ共和国という情けない名前が一因
14: 名刺は切らしておりまして 2019/07/24(水) 13:00:42.68
Googleのファイルサーバも無料のやつ使うなよ
権利全部譲渡してる扱いだからな
権利全部譲渡してる扱いだからな
17: 名刺は切らしておりまして 2019/07/24(水) 13:07:58.30
月額700円も払えない貧乏人を雇うから
19: 名刺は切らしておりまして 2019/07/24(水) 13:09:52.84
開発会社どこなんだろ。
外国の会社? 中国とか韓国とか、
外国の会社? 中国とか韓国とか、
20: 名刺は切らしておりまして 2019/07/24(水) 13:12:44.71
>>19
松下システムエンジニアリング
松下システムエンジニアリング
22: 名刺は切らしておりまして 2019/07/24(水) 13:31:59.01
違う視点から
GitHub に上がってたオープンソースを勝手に使った可能性だ
複数アカウントを登録すれば、IDのコードが浮き彫りになり
ハッカーの見せ場になる
GitHub に上がってたオープンソースを勝手に使った可能性だ
複数アカウントを登録すれば、IDのコードが浮き彫りになり
ハッカーの見せ場になる
23: 名刺は切らしておりまして 2019/07/24(水) 13:33:09.08
セブンイレブンはIT周りは全然なんだな
ちょっとやらかし過ぎてセブンイレブン関連のWEBサービスやアプリからは距離置くことにした
利用するのは実店舗のみでええわもう
ちょっとやらかし過ぎてセブンイレブン関連のWEBサービスやアプリからは距離置くことにした
利用するのは実店舗のみでええわもう
27: 名刺は切らしておりまして 2019/07/24(水) 14:58:21.54
>>23
nanacoのクオリティー見ても
実際IT絡みは2周くらい遅れてそうだ
nanacoのクオリティー見ても
実際IT絡みは2周くらい遅れてそうだ
30: 名刺は切らしておりまして 2019/07/24(水) 16:51:18.20
>>23
セブンはITオンチなのに自前主義だからタチが悪い
そもそもロクなエンジニア揃えてないし集まらない外部に委託した方が遥かにマシ
セブンはITオンチなのに自前主義だからタチが悪い
そもそもロクなエンジニア揃えてないし集まらない外部に委託した方が遥かにマシ
25: 名刺は切らしておりまして 2019/07/24(水) 13:55:21.07
ビジネス用のgit使わないとかやばすぎ
28: 名刺は切らしておりまして 2019/07/24(水) 15:31:21.94
open source
31: 名刺は切らしておりまして 2019/07/24(水) 17:07:48.88
githubは有害サイトですぞー!国が滅びますぞー!
35: 名刺は切らしておりまして 2019/07/24(水) 17:36:15.69
外注先はNTTDATAだよ
37: 名刺は切らしておりまして 2019/07/24(水) 17:50:17.77
×不手際
○意図的
○意図的
39: 名刺は切らしておりまして 2019/07/24(水) 17:59:26.22
セブンってリアルアナログでは優秀だしデジタル戦略も同じく優秀だと思うけどそれを構築する根幹がザルだったことが露呈されてオワコン化