【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明 (732)

1【2CHラブリー】2019/07/24(水) 09:30:20.66ID:cr5imX9N9
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか

(略)
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。

7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。

事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

「オムニ7アプリ」のソースコードがGitHub上で公開されていた?

「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」

7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。

ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。

外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。

ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。

ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。

(略)
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。

事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。

別のソースコードを日本の企業が削除した痕跡

オムニ7アプリ
オムニ7アプリ。現在もAppStoreなどで配信中だ。
撮影:7pay取材班
ソースコード漏洩の懸念については、別の気になる動きもあった。

ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。

以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。またソースコードBに関連するアカウントには、ソースコードAのときと同様に“iからはじまる7文字のアカウント”も含まれる。

omni7_2
編集部が7月19日時点で保存したスクリーンショット。コミット者の名前として“iからはじまる7文字のアカウント”の人物も確認できる(モザイク処理をしています)。開発の初期段階のバージョンなのか、フォルダー構造などは異なる。
7pay取材班
ソースコードBにはその後、興味深い動きが起こる。

GitHub上で日本企業が、アメリカのデジタルミレニアム著作権法(DMCA)にからんだ申し立てをし、運営から受理され、その後削除にいたったのだ。そのログも公開されている。日付は現地時間の7月18日。

7pay_sourcecode-1

申し立て内容の要点をまとめると、

このソースコードの権利者は「Seven & i Net Media Co.,Ltd.」である
オリジナルのソースコードは7月11日に削除。しかし、そこからフォーク(複製)されたソースコードを発見した(ソースコードBのこと)
フォークされた「関連するソースコード」の権利者が我々であることは、以下「omniMbaas〜〜〜」で始まる一連の4つのソースコードの権利表記で証明できる
DMCAテイクダウンの申請者はNTT DATA MSE社
というものになる。



7【2CHラブリー】2019/07/24(水) 09:32:44.97ID:eUNbx60c0
> 解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。

俺でもできそう

24【2CHラブリー】2019/07/24(水) 09:38:21.79ID:peooJxZ40
ギフハフのコードを別会社がパクった可能性は?
44【2CHラブリー】2019/07/24(水) 09:48:01.29ID:z0PD2FUJ0
>>24
その場合ソースコードの権利者はSeven & i Net Media Co.,Ltd.にならないので
DMCAの虚偽申し立てとソースコード権利者への著作権侵害で
さらに問題が増える
49【2CHラブリー】2019/07/24(水) 09:50:28.63ID:GKv43Y9V0
リポジトリのprivate指定漏れはまあよくあるし、あっても大抵問題にされずこっそり連絡するだけだからなあ
93【2CHラブリー】2019/07/24(水) 10:09:31.19ID:8iFMLHkm0
>>74
中国人エンジニアは給料の安い日本IT企業では働かない
3次受けより下の素人が操作を間違えただけだと推測
122【2CHラブリー】2019/07/24(水) 10:24:17.14ID:1ZwYVilj0
>>93
操作間違えってなんだよw
テキトーなこと書いてんじゃねえぞアホ
127【2CHラブリー】2019/07/24(水) 10:25:22.34ID:2QVGKfHY0
>>121
馬鹿ウヨはオムニをオモニか何かだと思ってるのか?
140【2CHラブリー】2019/07/24(水) 10:32:09.57ID:BDf7vPjc0
>>127
ちっせえ店じゃねえんだから商標つけるときに類似語くらい調べるだろ
168【2CHラブリー】2019/07/24(水) 10:44:20.06ID:s8jum/LL0
例のギフハフ記事を書いた無知って今アレをどう思ってんだろな?
所詮ゴシップ誌なんてそんな誇り持って記事書いてるやつほとんど居ねえしウケりゃどうでもいいかw
186【2CHラブリー】2019/07/24(水) 10:50:56.91ID:soPUGG/a0
NTT DATA パナソニック
195【2CHラブリー】2019/07/24(水) 10:57:20.98ID:xmHi72420
飛鳥は正しかったというわけだな



141【2CHラブリー】2019/07/24(水) 10:32:33.49ID:g6em5rVi0
なんたらpayはクレカとか電子マネーが参入できていないところで普及してほしいんだけどな
すでに電子マネーが使えるところで使えても規格が乱立したようにしかみえない
221【2CHラブリー】2019/07/24(水) 11:13:21.74ID:FpNe/lFW0
>>141
すでに電子マネー導入してた店舗がさらに別の決済に手を出しただけで
店舗のすそ野はほとんど広がってない感

乱立が酷くなっただけやね

216【2CHラブリー】2019/07/24(水) 11:11:08.33ID:kDdD6k7v0
ソフトバンクが社運かけてるコード決済を潰すため
NTTが仕組んだ壮絶な自爆テロ
222【2CHラブリー】2019/07/24(水) 11:13:26.43ID:2QVGKfHY0
>>216
残念ながら間違い
7Payとオムニ7は別物で、オムニ7(ネット通販システム)はもっと以前からリリースされてる
そのオムニ7からしてソースコード流出してたわガバガバだなというニュースだぞ
239【2CHラブリー】2019/07/24(水) 11:20:57.74ID:lS8x/Wk30
NTTデータなんとかは腐るほどあるからな
280【2CHラブリー】2019/07/24(水) 11:45:38.53ID:cgo8yeKE0
NTT DATAってこんな事をやらかすの?
323【2CHラブリー】2019/07/24(水) 12:06:22.23ID:3/jrihI/0
ギフハブやんけ!
321【2CHラブリー】2019/07/24(水) 12:05:47.26ID:ll8VoBmq0
世間はNTTデータをもう少し厳しい目で見たほうがいい
実質ただの派遣会社だ
329【2CHラブリー】2019/07/24(水) 12:07:41.31ID:bkzJ4X/W0
>>321
知り合いの息子そこに就職したって喜んでたな
俺は内心もやもやしたけど
346【2CHラブリー】2019/07/24(水) 12:12:34.31ID:v8k8CyiQ0
まぁ7payは使わないよ
700%還元とかなら考える
404【2CHラブリー】2019/07/24(水) 12:45:46.45ID:6Sig0E8J0
ギフハブは悪の組織ということではなかったかな?
466【2CHラブリー】2019/07/24(水) 14:05:24.50ID:GqmSTjc+0
きのうNTT東日本からセールス電きた ババアだった
「なんどももうかけないでと言ってるのになぜかける」
「そういう苦情は116に言ってください」
あたま沸いてるとしか思えない返事
NTTはかんぜんに反社
493【2CHラブリー】2019/07/24(水) 14:50:54.50ID:u2KdfUJD0
まさかのオープンソースw
495【2CHラブリー】2019/07/24(水) 14:56:15.15ID:GOS1JRzi0
ソースコードは建物や金庫の設計図みたいなものだから
キーが直接書いてなくても侵入経路の穴がバレちゃうんだよ
552【2CHラブリー】2019/07/24(水) 18:22:57.70ID:U4AWaBus0
7payのNTTデータです。
562【2CHラブリー】2019/07/24(水) 18:53:00.59ID:nGGSJlLc0
ゴミシステム作るので有名なあのNTTデータ?
583【2CHラブリー】2019/07/24(水) 20:10:06.19ID:0X6t4KAo0
svnではあかんのか
585【2CHラブリー】2019/07/24(水) 20:11:43.83ID:2aIPinUH0
ギフハブは実在



634【2CHラブリー】2019/07/25(木) 02:34:26.79ID:m7HcVIuf0
セブンで買った電子タバコは
一個300円で買い取りしてたんだね
20個で6千だけど
他人のIDとパスワードでタバコ買うだけの簡単なお仕事だもん
バイトとしては悪くないよね
647【2CHラブリー】2019/07/25(木) 09:20:11.50ID:ulI8qgSG0
別に刑事事件じゃないけどな
692【2CHラブリー】2019/07/25(木) 18:25:01.81ID:PE8JA+Y20
FeliCa最強!
689【2CHラブリー】2019/07/25(木) 18:17:58.77ID:06dchDBD0
今大手は、ゼロからの受注開発をするのじゃなくて、
半パッケージ化されたシステムを売って、
それをその会社に合うようにカスタマイズだ改造して
運用保守サポートを受注することで
売上をあげてるからな。
公開されてる汎用システムがベースでも
なにもおかしくない。
693【2CHラブリー】2019/07/25(木) 18:26:15.01ID:ahds0whf0
>>689
この記事だとそれ以前の開発途中のソースまで見つかってるとあるし、公開されたソースをベースにしたのではなく漏洩の可能性のが高いんじゃないか?
725【2CHラブリー】2019/07/26(金) 00:05:45.18ID:UXnRRioO0
公開されてたらしいコード見ないとなんともいえんな
コメントでクリティカルなこと書いてない限り流出してもな〜って思う
攻撃する手がかりにはなるけどセキュリティはそれじゃ普通は完結させないしさ
759【2CHラブリー】2019/07/26(金) 17:18:23.10ID:yvXc7wHL0
NTTデータ大暴落だな

http://asahi.5ch.net/test/read.cgi/newsplus/1563928220

関連まとめ

ニュース速報+の関連記事

  • 【与党】10万円給付 存在感示す公明、自民はガバナンスの危機 迷走に野党は批判 (44)

  • 【緊急速報】北海道警察と検察庁が事件を隠蔽!?なんと『宮様スキー大会“破裂音”事件』は『自作の実銃』だった!!隠蔽指示者は誰だ! (67)

  • 【バービーLGBT】人形界に革新!バービー人形制作会社が「性的中立」な人形を販売! (346)

  • 【ハゲ】多様性のビッグバンか、マテル社から髪のないバービー人形が発売される (667)

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です