7payの失敗、もし自分が構築・運用してたら防げていたか？／なお『7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった』というネットユーザからの報告も

丹治吉順 a.k.a.朝P, Tanji Yoshinobu @tanji_y 7pay会見に関する反応をタイムラインで見ているわけだけれど、日本の大企業の中で、テクノロジーを理解している人が（特に役員レベルの意思決定や権限を持つ層で）どれほど冷遇されているか、その結果としていかに無残なことが起きるか──その決定的なモデルケースになったようだ。 2019-07-04 15:29:30 Yuta Kashino @yutakashino （´-`）.｡oO( 7Payの釈明会見，決済会社なのに「二段階云々」発言をみるに，自社のコアの周辺テクノロジーを理解できない脳死のシニアを上に持つというのは，ビジネス継続上の大きなリスクですよね…．理解できない勉強できないシニアを組織から排出する仕組みが必要になっていくかも… ) 2019-07-04 20:46:49

[karikari1255]

自分が責任者ならどう考えても防げるが、権限も何も無い末端開発者なら防げないね。その場合はリリース直後に高木先生に密告して大炎上を狙うかな（他人任せ）。

[otihateten3510]

こう言うので第三者委員会が立ち上がらないのが残念。何で起きたか知りたいよね、ナレッジとして。

[tantakatanZ]

安全確認ネコに釣られただけ

[delimiter]

仕様と納期の権限があれば行けるよ

[kikikaikaikai]

根本的なユースケース定義のバグなので、そこを正とされてスタートした状態の開発者達は割と身動きとれない気がします。出来るのは提案まで 仕様を出す要求元は潰さなきゃいけないと思うけど

[NOV1975]

いや、流石にそれはどうかと。全部が防げるとは思えないが、SMS認証ないのとパスワード再発行はセキュリティ診断の結果に向き合わなかった重大な瑕疵なのではと疑ってるよ。

[houyhnhm]

この手のハックは自分が試すんでまず注意するが。／内製しようが外注しようがお仕事のレベルじゃないよね流石にこれ。i-mode時代じゃないんで、幾らでもやり方出てんだし。

[zeromoon0]

サムネ……

[mayumayu_nimolove]

身分を明かさず言うのは口だけ結果論者。ニートだって技術者のふりして、識者の意見をパクってなんとでも言える。

[honeybe]

意思決定を下す人とそこへの情報経路が正しく機能してないのが問題だと思う。端的に言って組織そのものに問題があるとしか…。 / まぁ https://nlab.itmedia.co.jp/nl/articles/1902/18/news125.html の可能性もあるけど(ぇ

[rryu]

サーボス設計する人が例外ケースも含めて設定できる能力がないと穴が生まれるし、詳細設計段階でサーボス設計を覆すのは難しいので構築・運用の立場で対処するのは無理ゲーすぎる。

[yogasa]

ベンチがアホでも野球できますか？ / 外注の問題にすり替えようとしてるのも

[kamei_rio]

親会社からのマイルストンは延期不可、要件変更やサポート体制強化の予算や権限も無い。人生を捨てる覚悟で増田に怪文書ばらまくぐらいかなー

[mirai_ryodan]

経産省これから強気に出るぞ。

[northlight]

これが技術的問題に見えるならあまりにピュア

[kae1990]

末端だったら気付いても指摘しないんじゃないかな。リスクを取らないのが正解な正社員制度である以上は。

[homarara]

この仕様のまま開発しなきゃならない立場に追い込まれたら、とりあえず身を守る手立てを考えるね。そのプロジェクトから抜けるのが一番だが。

[mutinomuti]

セブンイレブンが経産省のガイドライン策定に参画していて敢えて積極的にそれを遵守しなかったことも追記してあげてください(´･_･`)

[sisya]

セキュリティに完璧はないが、自分が設計をやらせてもらっていたのなら、7payのようなお粗末な穴は絶対開けないと確信できる。そもそも今回の7payが犯したミスはバッドノウハウとしてポピュラーすぎる事例だ。

[tamtam3]

防げるも何も自分が責任者なら勝ち目の薄い７payそのものに反対する。勝ち組に入りつつあったnanacoと食い合うし、出来の悪いオムニ７の上に乗せるとか論外。大体他社の後追いとかセブンイレブンらしくもない

[xlc]

防げるに決まってる。自分が設計者の立場ならこんな設計はしないし、下請けだとしたら責任を押し付けられるくらいなら実装するのを拒否する。無能なSIerは責任を押し付けるのだけは得意なんだぜ。

[rti7743]

この仕様は危険ですと何度か言うだろな。でもこれでいいんだよと言われたら、そうですかといってカネだけもらって終わりかな。項羽に仕えた范増は何度も進言したけど全部無視されて、圧倒的に有利だった項羽は滅んだ

[mrpotas]

末端には無理。無言で転職活動開始。

[moonieguy]

ほならね理論ってやつだよね

[swingwings]

仕様で既存のログインシステムを利用することになっていた＆パスワード再発行周りの実装は別会社なので懸念を唱える声はあったがリリースに間に合わせる為に見なかった事にした的な事を想像してしまう

[teto2645]

自分が携わっていたなら防げるというかそんな事起こりえないわ。当たり前。

[pmint]

これは不正ログインを検知する方法でしかなくて、不正ログイン自体の対策ではないんじゃないの。そもそも「〇〇やっときゃ大丈夫」はセキュリティ上の禁句。実務者はそんなこと言わない。

[lalupin4]

無断で正しくコアを実装して、腐敗防止層で包むことになるだろうけど、割りに合わねえよなー、っていう判断も働くわけで。

[nanoha3]

あの社長説得する労力と天秤だよね

[arisane]

自分が7pay側のマネージャだったら既に本番稼働中の認証基盤のパスワード再発行まで面倒見るかといえば見ないだろうし、末端開発者でも認証基盤との疎通しかしないだろうな。遊びで触って気づくかもしれんけど。

[daibutsuda]

OpenIDとか使うだろうな。

[napsucks]

叩いてはいるが7pqy側を請けていたらおそらく防げないと思った。なぜなら脆弱な設計だったのは認証基盤である7id側だったから。

[rainbow_doll]

Webviewだったら開発者ツールとかパケット解析ツール使うようなヤツなんて想定ユーザの0.01%くらいだろうし…って思うと、なかなかね。こういうハックが現状であれば可能ですよって伝えるのもなんかだるいし

[junpeso]

7pay側は金融を担当するマイクロサービスに過ぎないからね。omni7から認証okと返れば7payのE2Eテストは完璧だろうよ。

[filinion]

2009年、セブンネットショッピングは値段表示のミスやXSS脆弱性で開店直後に大炎上したけど、社長は事前に「サービスの99%を内製した（お陰でコストが1/10になった）」って威張ってたんだよ。

[hondamarlboro]

え？開発側にいて防げないと、被害にあっても文句言えないわけ？自分は使ってないので文句もないけど、ひでーなー、くらいは思うぞ。

[namelaw]

この手の物は構築しない選択を取った方がいい