他人のTポイントカードを乗っ取れる脆弱性が放置されている 32
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている(はてな匿名ダイアリー)。
あるAnonymous Coward 曰く、
あるAnonymous Coward 曰く、
- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。
証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画
https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)
最近Tポイントのセッション切れ間隔と再ログイン要求が早くなった? (スコア:1)
この話と関係あるのか知らないけど、
以前なら半年以上再ログインしなくてよかったのに、
最近ウェルシアのアプリでTポイントもらえるくじを引こうとすると、たった数日で再ログインしろと表示されまくってる。
おかげでめんどくさくなってウェルシアとTポイント使える店にも行かなくなった。
この仕様を変えた開発者は企業の収入が減った件で責任取れよな。
Re: (スコア:0)
同じく。
しかも電話をかける認証が必要で、レジでちょっと待ってごめんねってレベルじゃ済まないんだよね。
Re: (スコア:0)
DISCASなんてたくさんレンタルするとその度に認証求めてきて、
何度も認証すると回数制限に引っかかってレンタル出来なくなるというアホ仕様。
(TカードとYahoo連携させてるので、YahooのSMS認証)
Re: (スコア:0)
iPhoneのSafariでストレージが強制クリアされるようになっただけとか。
使ってないから知らんけど。
Tカード関係なくない? (スコア:0)
オスティアリーズの問題じゃないの?
Re: (スコア:0)
オスティアリーズのサービスを使っているから関係おおありでしょう。
Re: (スコア:0)
脆弱性が見つかった時点で関連機能を止めるべきだよね。
といってもオスティアリーズの隠蔽していた脆弱性ってのがググっても出てこんな。
Re: (スコア:0)
元の増田にもTカード関係ないけど耳目を集めるためにTカードの脆弱性ってタイトルにしたって書いてあるじゃん
Re:Tカード関係なくない? (スコア:3, おもしろおかしい)
どこに増田社長の話が出てくるの?
Re: (スコア:0)
https://nlab.itmedia.co.jp/nl/articles/1801/19/news060.html [itmedia.co.jp]
増田とは、はてなが運営しているサービスのひとつである「はてな匿名ダイアリー」そのもの、あるいははてな匿名ダイアリーのユーザーのことを指します。増田という呼び名の由来は、はてな匿名ダイアリーの英語表記である「アノニ“マスダ”イアリー(Anonymous Diary)」から。
Re: (スコア:0)
オー… 無知を晒してしまった。thx.
Re: (スコア:0)
逆に自分はツタヤの社長が増田氏であることを初めて知ったよ。
Re: (スコア:0)
Tカードって購入金額に応じてしょうもない量のポイントを取得できるサービスなんだけど、認証しようとするだけでストーリーの通り有料で電話を掛けないといけない。
つまり状況によってはポイントをためる意味がないほど電話料金を支払わないといけないわけだ。
目的が上記の状況を回避するためTカードの電話による認証を潰すというところにあるのでTカードは関係ありまくりなのだ。
ありえない電話番号? (スコア:0)
まず疑問なのが、記載の080から始まる電話番号は本当に「ありえない電話番号」なの?
それならせめて0が8個ならぶ番号とか、あるいは、Tポイントに登録できる番号は携帯電話に限らないみたいだから、
例えば、警視庁の代表電話番号(警視庁のウェブサイトに行くと最下部に書いてある)とか、
099から始まる番号(090始まりならあっても099は「ありえない」)みたいな、もっと明らかな「ありえない電話番号」でやってみせるべきだ。
1から8までが順番に並んでいない点で、微妙に惜しい番号でもあるし。
本当にその電話番号を持っているという可能性が除外できないと思う。
しかし一方で、そんなウソの脆弱性告発をするメリットも皆無なのは確か。
Re:ありえない電話番号? (スコア:1)
IPAに拒否された理由というのも不思議な感じです。
違法にアカウントを乗っ取られる脆弱性の再現手段が法的にリスクがあるから拒否って矛盾していると言うか。
IPAがこんなケースで報告を受理すらしないって有り得るんでしょうか?
受理だけして一向に進展がないから~って言うなら分かりますが。
Re: (スコア:0)
日本の組織って、こういう個人からの通報は無視する傾向がある気がする。
これがインターネットセキュリティー関連企業からの通報だとすぐ対応するんだろうけど、
個人だと逆にハッカー扱いして訴えるぞみたいな脅してくるケースもあるし。
まだ被害が出てないんだからいいじゃん的な感じなのかな。
Re: (スコア:0)
市外局番が割り振られた当時、沖縄はアメリカの占領下で日本の南端は鹿児島だったからとか
Re: (スコア:0)
失礼。099はあったのね。
結局、一見ありえない電話番号に見えても「ありうる」わけだから、
「ありえない電話番号で登録して認証突破しました!」って言われてもなかなか信じがたいということだ。
あとは000-0000-0000ぐらい?そういう番号は最初から登録できないようになっている可能性もある。
Re: (スコア:0)
ありえない番号自体はすぐ作れるよ
記入例に使うダミー電話番号の探し方 [stabucky.com]
ただ匿名ダイアリーの080-1234-5677は、記事で解説されているありえない番号の条件に当てはまらないんだな
Re:ありえない電話番号? (スコア:2)
現時点であり得ない番号であれば、番号計画を見ておくのが確実かと
https://www.soumu.go.jp/main_sosiki/joho_tsusin/top/tel_number/index.html [soumu.go.jp]
https://www.soumu.go.jp/main_sosiki/joho_tsusin/top/tel_number/number_... [soumu.go.jp]
ちなみに「加入者番号」(≠特番)としてあり得ない番号、かつ、電話しても問題の無い番号だったら↓とかじゃないですかね(いかにも東京や大阪の市外局番に見えますし)
03-177E-FGHJ
06-177E-FGHJ
注意)MA単位で調べないと正確じゃない点に気を付けてください
P.S. 犯人はヤス(序盤の電話番号は117始まりで、市外局番が必要になると177始まりになる使い分けに今年気づいて感心した)
Re: (スコア:0)
試しに電話してみたら、「番号は使われていません」ではなくて、通話中だったぞ。
他にも何人か電話してるんじゃないのか?
迷惑かかるから電話するなよ!
Re:ありえない電話番号? (スコア:1)
何か知らんけど迷惑な人だな。
Re: (スコア:0)
本当にその電話番号を持っているという可能性が除外できないと思う。
こっちに賭けとこうかな。というかここの粗さで信憑性評価が落ちる。
Re:ありえない電話番号? (スコア:1)
// なお 0800- は別の番号帯域
Re: (スコア:0)
0800- はフリーダイヤルですね。0120- が足りなくなったか
Tカードの電話認証 (スコア:0)
ナビダイヤルに掛けさせるって結構抵抗ある人はいると思うんだけど、なんでこんな異質なやり方してんの?
キックバックで稼ぐ目的?
Re: (スコア:0)
動画をみてみるとわかるけど、電話認証でかけるように言われる番号は050番から始まる番号だよ。
かけた先(この050番)が電話に出なくても、かけてきた発信元番号は(非通知でなければ)わかるので、確かに理論上は認証として利用可能に思える。
SMSを送ったりする方法に比べれば、050IP電話は安く番号を持てるサービスもあり、他はかかってきた電話番号を認識する装置があればよいので、安上がりなのかもしれない。
Re: (スコア:0)
Tカード認証ダイヤルって、少し前までは0570 [google.co.jp]だったけど最近は変わってるのかな?
と思ってTポイントアプリで試してみたらフリーダイヤル(0800)だった。
Tカード番号+生年月日でも認証できるので使った事ないけど。
株式会社オスティアリーズ (スコア:0)
現時点でGoogle Mapでは最高の5のみで2つのアカウントから評価されている
Re: (スコア:0)
うちもだがBtoBの中小企業なんてキチガイとの遭遇率が低いからそんなもんだ。
Re: (スコア:0)
ウィキペディアの記事の履歴 [wikipedia.org]もこの記事しか編集してない、関係者しか編集してなさそう
毎回思うけど関係者なのに自社の説明もできないってのはなんなのかなあ