【7pay不正利用】GitHubでソースコード漏洩?NTTデータMSEが開発元?【オムニ7アプリ】

セブン-イレブンアプリの7pay機能は、
一部の噂では小林強社長の謝罪記者会見後に
ベンダーに対して「1週間で改善しろ!」と無茶な号令がかけられたと言われていましたが、
1週間以上経過した7月23日現在、新規登録・チャージなどはできないまま。

不正使用事件に発展した7payの脆弱性はいまだに改善されていないとみられますが、
ソースコードが漏洩していた可能性があるという、場合によっては一大事になりえるニュース記事がありました。

【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外...

オムニ7ソースコードがGitHubで漏洩が7pay不正利用の原因?

報道によると、セブンイレブンの別のシステム「オムニ7アプリ」で、
ソースコードがGitHub上で公開されていた疑惑がもたれています。

7payとオムニ7アプリは別々のシステムではあるものの、
2つのシステムがどのように連携しているのかは、私たちから見るとブラックボックスです。

7payとオムニ7アプリがもし疎結合ではなくて密結合の場合、
オムニ7アプリのソースの流れを引き継ぐ形で7payが開発されていた可能性は考えられます。

ニュース記事ではGitHubで疑惑のソースコードのキャプチャ画像が紹介されていて、
「OMNI7APP」という名前が付けられていることがわかります。

発見者(首都圏のIT企業につとめるプログラマーのユースケさん?)によると、
7payの外部ID連携の通信解析をしてみたところ、
「OMNI7APP」というAPIサーバーの名前を発券。

GitHubで同名のソースコードがないか検索したところ、
公開状態でアップされているソースコードが見つかった、
ということみたいですね。

オムニ7アプリとみられるGitHubの漏洩ソースコード開発元はNTT DATA MSE?

ただこれだけの手掛かりでは、
7payの不正利用がソースコードの漏えいが原因だったという、
決定的な証拠とは言い難いものがありますが、
話はこれだけで終わりません。

現在はソースコードを取得することはできないものの、
ニュース記事の取材班が削除される前のソースコードを入手。

専門家(国際大学GLOCOM客員研究員の楠正憲氏)に解析を依頼したところ、

「セブンネットショッピングと関係あるソースコードである可能性が高い。」

との調査結果を受け取っています。

繰り返しになりますが、この件が7payの不正利用が原因だと断定するのは結論を急ぎ過ぎではあるものの、
少なくともオムニ7、もしかしたら7payでもずさんな管理が行われていた可能性は考えられます。

ちなみに、GitHubからソースコードの削除をするように申し立てしたのは、
NTT DATA MSEという会社で、NTTデータが60%の株式を持つ筆頭株主なので、
NTTデータの子会社と言っても良いでしょう。

オムニ7アプリのソースコードがGitHubで漏洩疑惑に関するツイッターの反応

タイトルとURLをコピーしました