IT小僧のブラック時事放談

7pay不正利用の影に「オムニ7アプリ」のソースコード流失の可能性? 4年近くGitHubで公開状態だった!

更新日:

AdSence 自動サイズ

トミカリミテッドヴィンテージ ネオ 1/64 LV-N195a いすゞ エルフ パネルバン (セブンーイレブン) (メーカー初回受注限定生産) 完成品

「7payをご利用なさっているお客様および関係者の皆様に、多大なるご心配、ご迷惑をおかけしたことを深くお詫び申し上げます」
2019年7月4日午後、都内で緊急記者会見を開いた7payの小林強社長は、QRコード決済サービス「7pay」で発生した不正利用について陳謝し、深々と頭を下げた。

記者会見で

「二段階認証など意味がわからず、自分で7payを使ったことがない」

と思えるぐらい 無知な会見で評判を落としてしまった。

日本企業のトップがITに無知であることが、また世間にさらけ出されてしまったわけですが、

「もっとやばい ことが起こっていたらしい」

今回のIT小僧のブラック時事放談では、
セブン・ペイ不正利用の影に ソースコード流失の可能性があったのか? 「オムニ7アプリ」GitHubで公開状態だった!
という恐ろしい事態が、日経XTECHで記事が掲載されていたので解説と意見を物申します。

最後まで読んでいただけたら幸いです。

スポンサーリンク

AdSence 336x280

7pay事件おさらい

2019年7月1日

7pay開始
セブン&アイのスマートフォンアプリ「セブン-イレブンアプリ」に決済機能を追加する形でスタート

利用者はアプリで利用登録を終えると、店頭のPOS(販売時点情報管理)レジやセブン銀行のATMのほか、「nanacoポイント」や事前に登録したクレジットカードなどからチャージできる。

2019年7月2日

利用者から「身の覚えのない取引があったようだ」と問い合わせ
セブン&アイは社内調査開始

2019年7月3日

不正利用が発覚

セブン&アイは海外からのアクセスを遮断し、クレジットカードなどからのチャージを一時停止

2019年7月4日午後

午後、店頭のPOSレジやセブン銀行のATMなどを含む全てのチャージを

都内で緊急記者会見を開いたセブン・ペイの小林強社長は、QRコード決済サービス「7pay」で発生した不正利用について陳謝し、深々と頭を下げた。

2019年7月5日 午後5時 時点

不正利用の被害者の数を1574人、被害額を約3240万円と認定した。
今後の調査で、被害を受けた人の数や金額が膨らむ可能性

7payは、事実上退場

事実上 7payは、pay決済からの退場だと思います。
今後、修正版を出しても使わないだろ!
他にもあるし、しかも セブンイレブンでは、PayPayのキャンペーンやってるし・・・

原因

専門家ならば比較的簡単に「他人になりすます」ことができたことが原因
脆弱性というよりも

「仕様の抜け」

それも

「専門家ならば誰でもわかる単純なミス」

元、金融系のエンジニアからすれば、

「こんな仕様でOK出した責任者は、クビだな」

というレベル

そもそも

7payの社長が、まともに自社のサービスを使ったことがない時点で退場必須

キャッシュレスを推進している経済産業省もかなりのオカンムリ状態だったとか

GitHub上で公開されていたシステム

日経XTECHの記事を見ていたら とんでもないことが書かれてあった。

「オムニ7」アプリのソースコードが流出、7payに続き新たな問題発覚

セブン&アイ・ホールディングスが提供するスマートフォンアプリ「オムニ7アプリ」のものとみられるソースコードが2019年7月中旬までGitHubで公開状態にあったことが分かった。誰でも見られる状態で事実上の流出と言える。現在は公開を停止している。
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/02636/?i_cid=nbpnxt_ranking

「オムニ7アプリ」というのは、セブン&アイのグループ共通IDである「7iD(旧オムニ7会員ID)」でログインして使う。
同社グループの各種EC(電子商取引)サービスです。

なんとこのアプリのソースコードが、GitHubというサービスに公開されていた。

GitHubは、ソフトウェア開発のプラットフォームであり、ソースコードをホスティングする。コードのバージョン管理システムにはGitを使用する。Ruby on RailsおよびErlangで記述されており、アメリカのカリフォルニア州サンフランシスコ市に拠点を置くGitHub社によって保守されている。

ウィキペディより

えええ! おカネを扱うサービスのアプリのソースコードを誰でも読める場所に置いておくとは、常識を疑う。

日経 xTECHによると

  1. 当該ソースコードは2015年夏までに作成された、開発初期と思われる。
  2. 2019年7月上旬時点でソースコードがダウンロード可能
  3. 著作権侵害コンテンツの削除をサイト管理者に申請したらしい
  4. 申請を出したのは、NTTデータグループのNTTデータMSE
  5. 日経 xTECHの取材に対してNTTデータは申請の事実を認めたが、MSEがなぜ申請したかについては回答なし。
  6. 現在は、公開さえrていない
  7. ソースコードを公開設定にした経緯については、セブン&アイ、NTTデータとも「回答しない」

何者かが、「オムニ7アプリ」というセブンイレブンのアプリのソースを公開したわけです。
ソースコードには、アプリの認証部分も含まれていたかもしれないので、これがわかるとハッキングが簡単にできるようになります。

たとえ、認証部分がなかったとしても個人情報や金銭をあつかうアプリの中身が全てわかってしまうソースコードを誰でもダウンロードできる公開の場に置くとは、IT屋として失格どころか、犯罪にも等しい。

しかも、2015年~2019年7月までという長期間、NTTデータを含む関係者が気がついていなかった。
今回の7payの問題で慌てて消したと疑われても仕方がない。

しかも、コンテンツ削除に関してコメントなし、公開した経緯についても説明無し

これでいいんでしょうか?

まとめ

日経XTECHでこの記事を見かけたときは、驚きを隠せなかった。

IT企業で仕事をしていると「守秘義務が多い」わけで

IT小僧が、銀行の仕事をしていたときは、入り口で携帯電話を没収、退出するときは、身体検査と持ち物検査をされたものです。
内部で仕事をしたものを一切持ち出せないし、開発に入る前に契約書で守秘義務を守るようにサインさせられました。

今更、犯人探しとか野暮なことですが、経緯については説明してほしいですね。

だんまりを決め込むんであとでバレたらもっと信用なくすのに」と思うのですが、いかがでしょうか?

日経XTECHの記事は、こちらで読めます。
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/02636/?i_cid=nbpnxt_ranking

NTTデータMSEによる著作権侵害申請のページ
https://github.com/github/dmca/blob/master/2019/07/2019-07-18-Seven.md

どちらにしろ、こんなズサンな状態では、 7payは、終了とみていいでしょう。

復活するとしたら、おにぎり一個というレベルではなく
「PayPay規模の大キャンペーン」でもやらない限り、アプリは、スマートフォンから消されると思います。

スポンサーリンク

AdSence 336x280

AdSence 336x280

AdSence 336x280

-IT小僧のブラック時事放談
-,

Copyright© IT小僧の時事放談 , 2019 All Rights Reserved Powered by AFFINGER4.