わいわいニュース

芸能、社会ネタを中心に、時事問題で楽しんでいただけるレビューサイトを目指します。 美術など趣味の話題や、芸能人も参加するパーティーや海外でのアクティビティ等も、ご紹介して参ります。

      このエントリーをはてなブックマークに追加 mixiチェック


    1 trick ★ :2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net

    狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
    https://www.businessinsider.jp/post-194660
    7pay取材班
    15h BUSINESS

    7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

    一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。

    Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。

    不正アクセス犯はどんな手口で侵入したのかを探る。

    7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。

    プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。

    首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。

    7pay解析の協力者

    タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。

    外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
    書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
    オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった

    (略)

    (出典 assets.media-platform.com)


    (出典 assets.media-platform.com)


    (出典 assets.media-platform.com)


    先ほどの3枚の画像で非常に重要なのは、2枚目だ。

    この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。

    2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた

    つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、

    攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
    このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
    ……という状態にあったのが実情とみられる。


    // ■要約
    // 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」


    【☆【謎】7payの不正使用問題いまだ解決せず】の続きを読む

      このエントリーをはてなブックマークに追加 mixiチェック


    1 スタス ★ :2019/07/16(火) 18:32:51.44 ID:qZ3QjBFf9.net

    小堺一機さん宅に空き巣 現金や高級腕時計など盗まれる 韓国籍の被告再逮捕
    会員限定有料記事 毎日新聞2019年7月16日 18時03分(最終更新 7月16日 18時03分)
    https://mainichi.jp/articles/20190716/k00/00m/040/193000c

     タレントの小堺一機さん(63)の自宅から高級腕時計など31点(時価計約1453万円相当)と現金などを盗んだとして、福岡県警は16日、住居不定、無職、韓国籍のチョン・ウニョン被告(31)=窃盗罪などで起訴=を窃盗容疑などで再逮捕した。「盗み目的で来日し、高級住宅街を狙った」と容疑を認めている。
     再逮捕容疑は4月19日正午~翌20日午後0時45分、東京都渋谷区の小堺さんの自宅に侵入し、現金約22万1000円や約900米…
    この記事は有料記事です


    【☆【速報】タレントの小堺一機さん宅に空き巣 チョンさんを逮捕→誰それ?】の続きを読む

      このエントリーをはてなブックマークに追加 mixiチェック


    1 可愛い奥様 :2019/07/08(月) 21:23:19.71 ID:bCpzIEUA0.net

    前スレ
    【アンチ】小林麻央 麻耶 海老蔵 ★341【Abema底辺お笑い婚&ブログ芸人底辺勧進帳】
    https://matsuri.5ch.net/test/read.cgi/ms/1559718525/
    【アンチ】小林麻央 麻耶 海老蔵 ★340【カーペット舞踊家&中年夫婦ハワイ挙式?】
    https://matsuri.5ch.net/test/read.cgi/ms/1557832670/
    【アンチ】小林麻央 麻耶 海老蔵 ★339【ご登校とTV出演を生温かく見守るスレ】
    https://matsuri.5ch.net/test/read.cgi/ms/1555639353/
    【アンチ】小林麻央 麻耶 海老蔵 ★338【傲慢大根三階さん逃走&嘘つき大泣きヒモ依存】
    https://matsuri.5ch.net/test/read.cgi/ms/1552738313/
    【アンチ】小林麻央 麻耶 海老蔵 ★337【どん十郎 vs 宇宙の親戚ペアクッキング】
    https://matsuri.5ch.net/test/read.cgi/ms/1550239243/
    【アンチ】小林麻央 麻耶 海老蔵 ★336【バカです海老蔵自身&バカです非常識講師夫婦】
    https://matsuri.5ch.net/test/read.cgi/ms/1548516293/
    【アンチ】小林麻央 麻耶 海老蔵 ★335【サルの脳みそ『團十郎白猿』 今後も親子で猿芝居】
    http://matsuri.5ch.net/test/read.cgi/ms/1547466511/
    【アンチ】小林麻央 麻耶 海老蔵 ★334【没イチもヒモ男も セコセコブログ稼ぎ】
    https://matsuri.5ch.net/test/read.cgi/ms/1545568137/
    【アンチ】小林麻央 麻耶 海老蔵 ★333【真珠湾にリベンジ 過剰な旦那一家露悪】
    https://matsuri.5ch.net/test/read.cgi/ms/1544196066/

    ★次スレは >>900 を踏んだ方がスレ立てをお願いします。
    ★立てられない場合は宣言し誰かにお願いしてください。
    ※立てられない人は>>900踏まないでください。
    ★920まで何も宣言がなければ何方か代行でスレ立てしてくだい。
    ★代行スレ立てをする人は、"スレ立て"を宣言した後に新スレ立てをお願いします。
    ★新スレが立つまでの間は雑談を控えめに!!
    ★サ*レタイは立てる人が決めてください。
    ★ヲタはヲタスレを立ててそちらでどうぞ。
    ★荒らしにかまう人も荒らしです。スルー推奨です。


    【☆【アンチ】小林麻央 麻耶 海老蔵 ★342【子の七光り&いつまで続くか復帰ハイ】→私も光りたい】の続きを読む

    このページのトップヘ