パスワードを忘れた? アカウント作成
13955247 story
お金

不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 93

ストーリー by hylom
既存システムとの連係ものは大変 部門より

不正利用被害報告が相次いだ決済アプリ「7pay」ではセキュリティの甘さが指摘されていたが(過去記事)、その開発現場では複数回の大きな仕様変更があり混乱していたという(Business Insider JAPAN)。

当初7payは単独のアプリとして配信される予定だったが、2018年末に既存の「セブン-イレブンアプリ」の新機能として提供されるよう仕様が変更されたという。この段階でアプリの開発会社も変更され、約半年での開発が強いられたとのこと。また、テストが開始されたのは4月末で、テスト期間は実質1か月ほどしかなかったそうだ。テストのスケジュール自体も2、3回の変更があったという。これにはセブン&アイ・ホールディングスのネットショッピングサービス「オムニ7」との連係が要求されていたこともあるようだ。

  • by simon (1336) on 2019年07月10日 18時29分 (#3649687)

    社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想
    しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。
    サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。

    ここに返信
    • by Anonymous Coward on 2019年07月10日 18時35分 (#3649690)

      内部資料って、「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx」とかでしょ。
      ファイル名見ただけでお腹いっぱいになりそう。
       
      # で、別の最終版があったり...

      • by Anonymous Coward on 2019年07月10日 22時30分 (#3649805)

        先頭に【最新版】や【改訂版】をつけたがる人がいたな・・・
        両方あってどっちが新しいんだよ、と思って確認したら改訂版の方が新しかった

      • by Anonymous Coward

        私のPCではxlsx ファイル開けないので
        「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx.xls」 をください

        • by Anonymous Coward

          流石にOffice 2003はもう使ってないだろう

          • by Anonymous Coward

            って思うじゃん?

            • by Anonymous Coward

              「昔いた担当が作ったテンプレ」とかあるある

          • by Anonymous Coward

            マクロ使ってるシートが互換性の問題でxlsxでもまともに表示されないのは日常茶飯事。2010で互換性チェック通してから送ってください。

            • by Anonymous Coward

              埋め込まれてるファイル名の拡張子が xls なだけだったりするんですよね。
              でも変えられないんですよね。
              潰れればいいのに。

        • by Anonymous Coward

          うちの内部仕様書上げるの勘弁してくださいよ…

      • by Anonymous Coward

        そんな分かりやすい名前のわけが無いでしょ。
        「開発指針.xlsx」とか「なにかのガイドライン.xlsx」ですよ。
        #実際にあった

        • by Anonymous Coward

          知人のPCに「下町」「横内」「西脇」「手越」「洗足」などのフォルダがあったの思い出した

    • by Anonymous Coward

      どっちが出したかですね
      開発した受託会社側なのかセブン内部なのか。
      セブン内部ならまだマシ

    • by Anonymous Coward

      もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、
      乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、
      お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。

      だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に
      攻撃を開始できた、という噂を聞いた。

      内部の協力者がいなくても、イケたんじゃないかな。

      • by Anonymous Coward

        どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。

    • by Anonymous Coward

      セキュリティがガバガバというよりは、いろいろと不満の溜まる環境だったのではないかと。
      よほどの所でないと開発資料の持ち出しができないなんてところはないよ。その気になれば楽勝。
      むしろその程度のセキュリティも回避できない程度の素人が作ってるほうが心配なぐらい。

  • それはよかった (スコア:5, おもしろおかしい)

    by manmos (29892) on 2019年07月10日 18時41分 (#3649694) 日記

    半年で家に帰れたんだね。

    #テストメンバーに至っては一ヶ月でよかった。

    ここに返信
    • by Anonymous Coward

      現在進行形=延長戦中でしょ。

      # 俺たちの戦いはこれからだ、打ち切りなどと誰が決めた!!!

    • by Anonymous Coward

      24時間体制なのに,タイムカードは7-11という

  • 24時間営業で開発すれば (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2019年07月10日 18時18分 (#3649679)
    通常のSIerの開発期間は実質1年半・テスト期間実質3ヶ月に相当するわけだから、短いっちゃ短いけどまあそんなもんじゃねぇの。
    #えっ?通常のSIerも24時間営業だって?
    ここに返信
    • by Anonymous Coward

      24時間で三交代にするなら、普通に3倍の人数を一緒に働かせればいいんじゃね?
      時間をずらすメリットなんて、プロジェクトルームが狭すぎて入りきれないとかない限りは思い付かない。
      入れないなら場所くらいなんとかしろと。

      #一人三勤制という奥義があると、風の噂に聞いたことがあります。

      • by Anonymous Coward on 2019年07月10日 18時58分 (#3649704)
        炎上プロジェクトに要員を追加してもプロジェクトはさらに遅れるだけって偉い人が言ってた。
        ワンオペで最高の生産性を目指しましょう。
      • by Anonymous Coward on 2019年07月11日 10時19分 (#3649978)

        24時間で三交代にするなら、普通に3倍の人数を一緒に働かせればいいんじゃね?
        時間をずらすメリットなんて、プロジェクトルームが狭すぎて入りきれないとかない限りは思い付かない。
        入れないなら場所くらいなんとかしろと。

        #一人三勤制という奥義があると、風の噂に聞いたことがあります。

        私の経験だと、物理的なスペースが確保できなかったケース以外に、高価な機材(私の関わった物だと一ヶ月借りるだけで1台1000万円の特殊なICE)を夜間休ませるのは勿体無いのでというのはあったよ。
        一人三勤ならこれ [m.srad.jp]とか、大分前に退職者が相次いだ末に本当に一人三勤やらせて従業員に訴えられて敗訴して産経新聞の記事になったケースがあります。

  • by Anonymous Coward on 2019年07月10日 18時33分 (#3649688)

    そもそも二段階認証を採用しない方針に問題があったわけで。

    ここに返信
    • by Anonymous Coward on 2019年07月10日 23時16分 (#3649830)

      「2段階認証」や「パスワードリセット」は問題の本質ではない
      https://www.watch.impress.co.jp/docs/series/suzukij/1195163.html [impress.co.jp]

      とかいう話もあるようで

    • by Anonymous Coward on 2019年07月10日 21時59分 (#3649798)

      一応コメントしておくと、今回の不正使用は、他人がパスワードとかリセットできる仕組みを悪用されたのであって、二段階認証は関係無い。二段階認証が(初期は)無くても、パスワードリセットは登録アドレス以外で出来ないようにしておいたら、運用開始2日間でズタボロにやられるなんてことは無かった。

      もちろん、二段階認証は入れるべきだし、それを知らなかった社長ってのはすごい話だが、今回の事件とは直接の関係は無い。(二段階認証の質問をした記者も、結局はITが分かってなかったんじゃないかって思います)

      • by Anonymous Coward

        それも方針の問題だよね

    • by Anonymous Coward

      あの記者会見は唖然としましたね。
      記者の質問に対して、「二段階認証???」って不思議そうな顔で聞き返すのが。

  • by Anonymous Coward on 2019年07月10日 19時01分 (#3649705)

    https://www.itmedia.co.jp/news/articles/1906/17/news050.html [itmedia.co.jp]
    >PayPayは、昨年10月にローンチしたが、開発を始めたのは約3カ月前の7月だった

    こっちも雑な上流設計で派手に事故を起こしてましたが開発期間倍以上あるじゃないですか。

    ここに返信
  • by miishika (12648) on 2019年07月10日 20時28分 (#3649739) 日記
    nanacoのポイント還元率を7payのサービス開始と同日に0.5%に下げたから、
    今更7payの稼働を止められなくて詰んでいると思う。
    1ケ月でも2週間でも併用期間(nanacoのポイント還元率を1%のままで据え置く)があれば手の打ちようもあった。
    ここに返信
    • by nemui4 (20313) on 2019年07月11日 11時45分 (#3650036) 日記

      >nanacoのポイント還元率を7payのサービス開始と同日に0.5%に下げたから、

      それに尻叩かれてnanacoから7payにポイントチャージして使ってました。
      #三日後にはチャージできなくなるとは知らずに。

      近所のドラッグストアのポイント還元率も激下がりするし、この手のサービスも乱立しすぎて限界なんすかね。
      レジ袋完全有料化になったら、マイバッグ持参でのエコポイントも無くなりそう。

  • by UHED507 (39952) on 2019年07月11日 10時09分 (#3649970) 日記

    チョベバだな

    --
    確率なんてクソくらえでしょう?  -UHED UNIT#507@GUNHED-
    ここに返信
  • by Anonymous Coward on 2019年07月10日 18時22分 (#3649682)

    個人情報取り扱い認定業者の資格を10年ぐらい凍結する法制度が必要

    ここに返信
  • by Anonymous Coward on 2019年07月10日 20時18分 (#3649734)

    半年テストしたところで、製造上のバグは全くなくなりましたってだけで、致命的な設計の問題は何も解消されない

    テストしている過程で、設計のバグに気づくはずだ?
    そういうことを言ってる奴は、システム開発の基本から勉強し直した方が良いね

    ここに返信
    • by Anonymous Coward

      仕様に問題を見つけても末端の開発者に仕様変更の権限なんて無いからね。
      権限持ってる人に納得させなければいけないが、トップが「二段階認証???」な人では話にならない。

    • by Anonymous Coward

      W字モデルならテスト検討の早期に仕様の問題点が見つかるんじゃなかね。
      まあに段階認証のような機能が漏れてる以上目玉の数が多くても、気づいた目玉の数が多くても、声を上げる目玉の数が多くても同じだろうけど。

    • by Anonymous Coward

      第三者の侵入テストとか脆弱性診断とかなかったのかね。大手のサービスは形式的であってもやるもんだと思ってた。

  • by Anonymous Coward on 2019年07月10日 20時52分 (#3649756)

    開発期間が半年もあって、テストに一ヶ月も用意されているなんて!!

    規模が違うとはいえ下には下がいるんだぜ。

    ここに返信
    • by Anonymous Coward

      ホントだよ!開発しながらテストしてたよ!
      ユニットテストなら普通じゃーんと思うだろ?
      結合テストもやっちゃうんだよなーこれが。
      バグが出たら?影響範囲をエイヤーと決めてそこだけ再テスト。

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...