国内ニュース

【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明

1: サーバル ★ 2019/07/24(水) 09:30:20.66 ID:cr5imX9N9

【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか

(略)
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。

7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。

事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

「オムニ7アプリ」のソースコードがGitHub上で公開されていた?

「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」

7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。

ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。

外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。

ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。

ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。

(略)
削除直前の足跡から、このソースコードはGitHub上で2015年5月~7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。

事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。

別のソースコードを日本の企業が削除した痕跡

オムニ7アプリ
オムニ7アプリ。現在もAppStoreなどで配信中だ。
撮影:7pay取材班
ソースコード漏洩の懸念については、別の気になる動きもあった。

ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。

以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。またソースコードBに関連するアカウントには、ソースコードAのときと同様に“iからはじまる7文字のアカウント”も含まれる。

omni7_2
編集部が7月19日時点で保存したスクリーンショット。コミット者の名前として“iからはじまる7文字のアカウント”の人物も確認できる(モザイク処理をしています)。開発の初期段階のバージョンなのか、フォルダー構造などは異なる。
7pay取材班
ソースコードBにはその後、興味深い動きが起こる。

GitHub上で日本企業が、アメリカのデジタルミレニアム著作権法(DMCA)にからんだ申し立てをし、運営から受理され、その後削除にいたったのだ。そのログも公開されている。日付は現地時間の7月18日。

7pay_sourcecode-1

申し立て内容の要点をまとめると、

このソースコードの権利者は「Seven & i Net Media Co.,Ltd.」である
オリジナルのソースコードは7月11日に削除。しかし、そこからフォーク(複製)されたソースコードを発見した(ソースコードBのこと)
フォークされた「関連するソースコード」の権利者が我々であることは、以下「omniMbaas~~~」で始まる一連の4つのソースコードの権利表記で証明できる
DMCAテイクダウンの申請者はNTT DATA MSE社
というものになる。
https://www.businessinsider.jp/post-195187
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w640.jpg

 

スポンサーリンク
スポンサーリンク

ネットの声

33: 名無しさん@1周年 2019/07/24(水) 09:43:55.53 ID:2FHeRymg0
>>1
オムニ(笑)

 

4: 名無しさん@1周年 2019/07/24(水) 09:31:12.73 ID:1ZWi0QBa0
作ったのNTT DATAかよ

 

7: 名無しさん@1周年 2019/07/24(水) 09:32:44.97 ID:eUNbx60c0
> 解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。

俺でもできそう

 

78: 名無しさん@1周年 2019/07/24(水) 10:03:24.07 ID:5o+IdAO/0
>>7
AWSのAPIキーを書いたコードをコミットしちゃうアホが大勢いて、Botで検索してキーパクって、
AWSをただ乗りする形でビットコイン発掘用のEC2インスタンス立てまくる事案が多発した。
AWS側で対策取られたけど・・・

 

10: 名無しさん@1周年 2019/07/24(水) 09:33:09.13 ID:wZv7YuKy0
損害賠償やばそう

 

11: 名無しさん@1周年 2019/07/24(水) 09:33:13.89 ID:1ZWi0QBa0
ソースコード流出してもセキュリティ的に影響ないように作れるはずなんだがな

 

35: 名無しさん@1周年 2019/07/24(水) 09:44:07.53 ID:FpNe/lFW0
>>11
可能か不可能で言うと可能だけど、
ソースコード公開した上でセキュリティ万全とかゴミ会社に出来ることではない
ソースコード公開した上で世界中の技術者に何年も叩いてもらってようやく出来ること

 

12: 名無しさん@1周年 2019/07/24(水) 09:33:14.91 ID:Itkk0E/80
間違えて開発者が個人リポジトリにpushしちゃったとか?

 

13: 名無しさん@1周年 2019/07/24(水) 09:33:33.60 ID:jEPjF1xm0
犯罪中国人のカモwww

 

17: 名無しさん@1周年 2019/07/24(水) 09:34:39.89 ID:lKkz4jJ00
ソースの秘匿で担保できるセキュリティーなんて大したことないけど。

 

43: 名無しさん@1周年 2019/07/24(水) 09:47:50.71 ID:FwroDJRD0
>>17
クライアント側アプリのソースコードか
サーバー側アプリのソースコードかにもよる

サーバー側アプリのソースコードで
暗号処理の秘密キーをソースにハードコードしてたらアウトだよ

 

20: 名無しさん@1周年 2019/07/24(水) 09:35:21.71 ID:Xlb9sEsM0
クライアントビジネスをGitHub Open? バカか。 それとも、アマチュアにも発注していたのか?
 

 

22: 名無しさん@1周年 2019/07/24(水) 09:37:04.31 ID:bdCzPddj0
<丶`∀´>オモニ?

 

29: 名無しさん@1周年 2019/07/24(水) 09:40:42.95 ID:Ih/C85wa0
これって誰でも改変し放題でお金取り放題の可能性もあるってこと?

 

51: 名無しさん@1周年 2019/07/24(水) 09:51:30.65 ID:s71vNu+30
>>29
仕組みは丸見えってことだけど、普通に考えたらザルということではない

だけど、孫請けに丸投げしているように瀟洒な管理だから、まあザルといっても良いだろうね

 

 

36: 名無しさん@1周年 2019/07/24(水) 09:44:40.16 ID:rS/dBTko0
漏洩と言うか設定ミスやそれらを参考にしたのかもね
最近ソースを外部で管理して、社外と一緒に開発などもあるから

別にGitHub自体が悪い訳でもないし
この手の記事出るとGitHubに問題あるとして使用中止にする上層部もあるからね

 

47: 名無しさん@1周年 2019/07/24(水) 09:48:45.16 ID:FpNe/lFW0
>>36
単に公開範囲の管理の問題なんだが
そういう会社もあるかもなw

 

38: 名無しさん@1周年 2019/07/24(水) 09:45:29.57 ID:KPJjt6Kb0
といいつつ、パナだなあるいみ

 

40: 名無しさん@1周年 2019/07/24(水) 09:45:48.97 ID:qyLZ9XeN0
開発陣は自前でリポジトリを用意できなかったのか?

 

53: 名無しさん@1周年 2019/07/24(水) 09:52:18.61 ID:FwroDJRD0
>>40
好意的に考えれば

GitBucketを建てる前に、GitHubで使い方の勉強をしていて
本番コードの前のプロトコードを GitHub に置いたとかかも

分散開発を行うために VLAN でクローズド環境を作らず
GitHub を使ってたとかだったら目も当てられない

 

52: 名無しさん@1周年 2019/07/24(水) 09:51:56.72 ID:UEnuvs450
NTTD関連会社なんて、中国人入り放題だろ
きっと開発中の段階で、システムの脆弱性とかリークされまくりだと思うよ

まぁ今回の事件はNTTD以前にセブン側の意向で品質より納期優先になったんだとは思うけど。

 

54: 名無しさん@1周年 2019/07/24(水) 09:52:20.76 ID:VcmCErU70
相当お粗末なアプリなんだろうなって印象だったから
これ聞いても驚きがない

 

61: 名無しさん@1周年 2019/07/24(水) 09:57:43.02 ID:DbZdeLWO0
そりゃオープンで穴がないってのが一番いいんだけどさあw

 

64: 名無しさん@1周年 2019/07/24(水) 09:58:00.14 ID:M7OaeGIf0
俺の使ってる銀行のビジネス用ネットバンクがNTT DATAでdirectX迄使ってて不安要素しか無くなってきたがな

 

66: 名無しさん@1周年 2019/07/24(水) 09:58:12.20 ID:rS/dBTko0
PAY系はとりあえず手数料基準を公開して貰いたいな
最悪それらの手数料分が商品に上乗せされるんだし

 

73: 名無しさん@1周年 2019/07/24(水) 10:01:28.98 ID:UZyJQ8Km0
>7月11日に削除
いい気分

 

74: 名無しさん@1周年 2019/07/24(水) 10:02:03.58 ID:g5AyT2O20
NTT内の中国エージェントがソースコードを流出させたか

 

77: 名無しさん@1周年 2019/07/24(水) 10:03:21.63 ID:ITjU+7yO0
いったいなんだったんだ?7pay!

 

引用元: http://asahi.5ch.net/test/read.cgi/newsplus/1563928220/

コメント

スポンサーリンク
スポンサーリンク