【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか

1: 田杉山脈 ★ 2019/07/24(水) 12:38:47.27 _USER

7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。

セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。

しかしここへきて、これまでとは異なる、別の問題が浮上してきた。

7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。

事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」

7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。

ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。

外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。

ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。

ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。

同ソースコードは、その週のうちに削除されている。このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
no title

ユースケさん自身はソースコードの内容詳細までは解析していない。

しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。

削除直前の足跡から、このソースコードはGitHub上で2015年5月~7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。

事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
https://www.businessinsider.jp/post-195187

63: 名刺は切らしておりまして 2019/07/24(水) 21:28:47.32

>>1
>事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。

誰の不手際?この記事書いた本人すら分かっていないんでは?
何か大事だと思って書いてるだけ😂

 

65: 名刺は切らしておりまして 2019/07/24(水) 23:24:32.74
>>63
?
何いってんだこの馬鹿
火消ししたかったのか?

 

2: 名刺は切らしておりまして 2019/07/24(水) 12:39:36.32
オープンソースは漏洩とは言わない

 

3: 名刺は切らしておりまして 2019/07/24(水) 12:43:53.92
やるなサンタマリア

 

4: 名刺は切らしておりまして 2019/07/24(水) 12:46:44.51
セブンのネット通販は垢抜けないと思いながらも利用してた
オムニ7に変わった時、幾つか気になることがあったので、利用しなければ良いだけと思いつつも、あえて脱会した
確か経営者が代替わりしたみたいなのを何かで読んだが、おバカが過ぎるのが頭になったんだろね

 

6: 名刺は切らしておりまして 2019/07/24(水) 12:51:01.35
>>4
井阪のことか
クビ宣告から創業家を巻き込んだクーデターで復活したものの…w

 

5: 名刺は切らしておりまして 2019/07/24(水) 12:48:31.27
これはおにぎり換算で
何個分の価値ですか

 

7: 名刺は切らしておりまして 2019/07/24(水) 12:52:49.46
ソースコードをどう管理するかは結局それぞれの会社の問題だからな。

 

8: 名刺は切らしておりまして 2019/07/24(水) 12:54:01.66
ソースコードってなに?
美味しいの?

 

75: 名刺は切らしておりまして 2019/07/25(木) 08:32:21.08
>>8
スパゲティの原材料

 

77: 名刺は切らしておりまして 2019/07/25(木) 09:32:18.35
>>75
旨い(上手い)

 

9: 名刺は切らしておりまして 2019/07/24(水) 12:55:01.94
GitHubで公開されているプログラムって、セキュリティがばがばなんすか?

 

10: 名刺は切らしておりまして 2019/07/24(水) 12:56:29.45
そりゃ ASKAもギフハブに狙われるわ

 

11: 名刺は切らしておりまして 2019/07/24(水) 12:57:14.21
オムニ7ってネーミングがもう
最初これ見た時とうとうセブンも韓国に乗っ取られたかと思った
意味がどうとかしゃなくて響きって大切って事もわからないような経営者じゃだめなんだよ

 

16: 名刺は切らしておりまして 2019/07/24(水) 13:06:04.07
>>11
ロボコップに出てくるオムニ社って悪の会社だったはず
パワードール(だっけか?)が続かなかったのはオムニ共和国という情けない名前が一因

 

43: 名刺は切らしておりまして 2019/07/24(水) 18:15:41.19
>>11
vimのomniはたぶん韓国関係ない

 

53: 名刺は切らしておりまして 2019/07/24(水) 19:01:36.14

>>11
それな
英語なのにものすごく韓国語っぽい

思わず意味調べちゃったよ
それでもあまり使う気になれなかった

 

12: 名刺は切らしておりまして 2019/07/24(水) 12:58:08.41
やはりギフハブは危険な組織だな

 

13: 名刺は切らしておりまして 2019/07/24(水) 12:59:58.58
設計図共有サイト

 

14: 名刺は切らしておりまして 2019/07/24(水) 13:00:42.68
Googleのファイルサーバも無料のやつ使うなよ
権利全部譲渡してる扱いだからな

 

15: 名刺は切らしておりまして 2019/07/24(水) 13:05:58.60
開発会社のエンタープライズアカウントじゃなくて、個人のアカウントでcommitしたみたいだな
本人は気がつかなくて放置?
それともプライベート設定をミスって公開にしちゃったとか?
どっちにしろ開発会社クズ過ぎ

 

17: 名刺は切らしておりまして 2019/07/24(水) 13:07:58.30
月額700円も払えない貧乏人を雇うから

 

18: 名刺は切らしておりまして 2019/07/24(水) 13:08:00.14
オモニの仕業ニダ

 

19: 名刺は切らしておりまして 2019/07/24(水) 13:09:52.84
開発会社どこなんだろ。
外国の会社? 中国とか韓国とか、

 

20: 名刺は切らしておりまして 2019/07/24(水) 13:12:44.71
>>19
松下システムエンジニアリング

 

21: 名刺は切らしておりまして 2019/07/24(水) 13:29:56.47
オモニ7

 

22: 名刺は切らしておりまして 2019/07/24(水) 13:31:59.01

違う視点から

GitHub に上がってたオープンソースを勝手に使った可能性だ
複数アカウントを登録すれば、IDのコードが浮き彫りになり
ハッカーの見せ場になる

 

23: 名刺は切らしておりまして 2019/07/24(水) 13:33:09.08
セブンイレブンはIT周りは全然なんだな
ちょっとやらかし過ぎてセブンイレブン関連のWEBサービスやアプリからは距離置くことにした
利用するのは実店舗のみでええわもう

 

27: 名刺は切らしておりまして 2019/07/24(水) 14:58:21.54
>>23
nanacoのクオリティー見ても
実際IT絡みは2周くらい遅れてそうだ

 

30: 名刺は切らしておりまして 2019/07/24(水) 16:51:18.20
>>23
セブンはITオンチなのに自前主義だからタチが悪い
そもそもロクなエンジニア揃えてないし集まらない外部に委託した方が遥かにマシ

 

24: 名刺は切らしておりまして 2019/07/24(水) 13:42:53.34

別の大手の話だけど、sierの派遣プログラマー時代、4次受けの俺がappstoreのアカウントを貰って色々操作していたからな。

周りには怪しい外国人プログラマーもいたし。

派遣使いまくっているsierはなにがあってもおかしくないな。

 

25: 名刺は切らしておりまして 2019/07/24(水) 13:55:21.07
ビジネス用のgit使わないとかやばすぎ

 

59: 名刺は切らしておりまして 2019/07/24(水) 19:53:03.21
>>25
開発費中抜きされすぎて月額100ドルも払えないんじゃねえの?

 

26: 名刺は切らしておりまして 2019/07/24(水) 14:34:41.12
オムニ7で一度だけお弁当を注文した事があったな
今もメールが来るけど何も利用してない

 

28: 名刺は切らしておりまして 2019/07/24(水) 15:31:21.94
open source

 

29: 名刺は切らしておりまして 2019/07/24(水) 16:50:51.02
やっぱシステムを外国に発注かね。

 

78: 名刺は切らしておりまして 2019/07/25(木) 11:38:57.56
>>29
実際のところ、それが一番安全で手っ取り早いかもね。

 

31: 名刺は切らしておりまして 2019/07/24(水) 17:07:48.88
githubは有害サイトですぞー!国が滅びますぞー!

 

32: 名刺は切らしておりまして 2019/07/24(水) 17:11:52.02
4年も晒してたらすでにいろいろやられてるだろうな。

 

76: 名刺は切らしておりまして 2019/07/25(木) 08:49:05.87
>>32
セキュリティの基本は「原理を公開していても破られない」だから、ちゃんとしたアルゴリズムなら大丈夫だと思う
ただ、これまでの流れを考えると公開しても大丈夫って考え方で設計されてる気がしない

 

33: 名刺は切らしておりまして 2019/07/24(水) 17:13:08.90
今まで聞いたセキュリティ案件の中でも、飛び抜けて間抜けに見える。

 

34: 名刺は切らしておりまして 2019/07/24(水) 17:31:16.79
支那土人はやはり犯罪者ばかりだな(笑)

 

35: 名刺は切らしておりまして 2019/07/24(水) 17:36:15.69
外注先はNTTDATAだよ

 

36: 名刺は切らしておりまして 2019/07/24(水) 17:48:48.58
ソースコードを設計図という風潮は何なんだ

 

37: 名刺は切らしておりまして 2019/07/24(水) 17:50:17.77
×不手際
○意図的

 

38: 名刺は切らしておりまして 2019/07/24(水) 17:51:03.18
dポイントも危ないなw

 

39: 名刺は切らしておりまして 2019/07/24(水) 17:59:26.22
セブンってリアルアナログでは優秀だしデジタル戦略も同じく優秀だと思うけどそれを構築する根幹がザルだったことが露呈されてオワコン化

 

40: 名刺は切らしておりまして 2019/07/24(水) 18:02:14.97
まだ Git Cloneできるの? できるなら、こちらで完璧なbranch書いてやるで

 

41: 名刺は切らしておりまして 2019/07/24(水) 18:03:12.43
結局、下流の方は中国に丸投げだったんじゃないの?
そりゃ、漏れるに決まってる。

 

42: 名刺は切らしておりまして 2019/07/24(水) 18:08:28.66
もうリポジトリもないんだっけ
サーバーサイドのコードほかにも差がし始めるやついるんじゃないの?

 

44: 名刺は切らしておりまして 2019/07/24(水) 18:15:45.57
チャイナが悪いみたいに言われてるが、
「ご自由にお持ちください。」状態であったような

 

45: 名刺は切らしておりまして 2019/07/24(水) 18:17:46.50
絶対わざとだろ 内部犯がシナ人とぐるだろ

 

46: 名刺は切らしておりまして 2019/07/24(水) 18:28:24.30
名前で拒否。俺ならそんなソース使わない。

 

47: 名刺は切らしておりまして 2019/07/24(水) 18:32:42.39
ギフハブか…

 

48: 名刺は切らしておりまして 2019/07/24(水) 18:38:15.80
androidもソース公開されてますけど

 

49: 名刺は切らしておりまして 2019/07/24(水) 18:38:33.38
ソースコードが公開されていることと
セキュリティーが低いことは全く別の話だと思う
設計がしっかりしているプログラムはソースコードが
公開されていても安全です
むしろ危険が多くのコーダーの目を通るので安全性が高まります

 

50: 名刺は切らしておりまして 2019/07/24(水) 18:43:56.85
>>49
この話ってソースが公開されてても多くの目でチェックされるとは限らないって話じゃねーの?

 

84: 名刺は切らしておりまして 2019/07/26(金) 12:26:39.43
>>50
まあopensslの件もあるからオープンソースだから安心と言うのはないわな
だからと言ってクローズドソースが安全と言う訳でもない
なので
> ソースコードが公開されていることと
> セキュリティーが低いことは全く別の話だと思う
って話だろ

 

51: 名刺は切らしておりまして 2019/07/24(水) 18:48:10.84

ソースが知れただけで、ほんの短期間で欠陥突かれるようじゃなw

どうせ派遣に作らせたんだろww

 

 

60: 名刺は切らしておりまして 2019/07/24(水) 19:54:45.93
>>51
セブンに開発部隊がいるとは思えないから外注やろな、本体は仕様だけごちゃごちゃ言うだけやろ

 

62: 名刺は切らしておりまして 2019/07/24(水) 20:17:39.49
>>60
てか明らかに仕様が間違ってたんだよなぁ

 

73: 名刺は切らしておりまして 2019/07/25(木) 07:25:58.68
>>62
これ。
記事を載せてるビジネスインサイダーも、中で頓珍漢なことを書いてる批評家も、SIのことを分かってない。
ベンダー側が必要と提案しても、顧客側が要らないと言ったら、それは要件としては外されるから、システムに盛り込まれない。
Omni7なんて、前の鈴木会長の息子が無理やりぶち上げたプロジェクトで、最初から無理なスケジュール進行で、仕様漏れがいろいろあるんだろ。
それをベンダーの責任とか言われてもな。

 

52: 名刺は切らしておりまして 2019/07/24(水) 18:59:35.71
GitHubに公開されていたって事は「あれ」とか「あそこ」とかにも流れているって事。
まぁ、セブンは詰んでるわ。

 

http://egg..net/test/read.cgi/bizplus/1563939527/