7payの開発元は「NTT DATA MSE」か?GitHub上にソース漏洩

2019年7月24日

5ちゃんねるでの反応

1: 2019/07/24(水) 09:30:20.66
7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか

(略)
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。

7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。

事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

「オムニ7アプリ」のソースコードがGitHub上で公開されていた?

「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」

7上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。

ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。

外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。

ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。

ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。

(略)
削除直前の足跡から、このソースコードはGitHub上で2015年5月~7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。

事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。

別のソースコードを日本の企業が削除した痕跡

オムニ7アプリ
オムニ7アプリ。現在もAppStoreなどで配信中だ。
撮影:7pay取材班
ソースコード漏洩の懸念については、別の気になる動きもあった。

ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。

以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。またソースコードBに関連するアカウントには、ソースコードAのときと同様に“iからはじまる7文字のアカウント”も含まれる。

omni7_2
編集部が7月19日時点で保存したスクリーンショット。コミット者の名前として“iからはじまる7文字のアカウント”の人物も確認できる(モザイク処理をしています)。開発の初期段階のバージョンなのか、フォルダー構造などは異なる。
7pay取材班
ソースコードBにはその後、興味深い動きが起こる。

GitHub上で日本企業が、アメリカのデジタルミレニアム著作権法(DMCA)にからんだ申し立てをし、運営から受理され、その後削除にいたったのだ。そのログも公開されている。日付は現地時間の7月18日。

7pay_sourcecode-1

申し立て内容の要点をまとめると、

このソースコードの権利者は「Seven & i Net Media Co.,Ltd.」である
オリジナルのソースコードは7月11日に削除。しかし、そこからフォーク(複製)されたソースコードを発見した(ソースコードBのこと)
フォークされた「関連するソースコード」の権利者が我々であることは、以下「omniMbaas~~~」で始まる一連の4つのソースコードの権利表記で証明できる
DMCAテイクダウンの申請者はNTT DATA MSE社
というものになる。
https://www.businessinsider.jp/post-195187
no title

読み込み中
OpenClipart-Vectors / Pixabay

引用元: ・【大公開】7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明

5: 2019/07/24(水) 09:31:25.99
everypay だな
7: 2019/07/24(水) 09:32:44.97
> 解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。

俺でもできそう

78: 2019/07/24(水) 10:03:24.07
>>7
AWSのAPIキーを書いたコードをコミットしちゃうアホが大勢いて、Botで検索してキーパクって、
AWSをただ乗りする形でビットコイン発掘用のEC2インスタンス立てまくる事案が多発した。
AWS側で対策取られたけど・・・
8: 2019/07/24(水) 09:32:52.09
元パナソニックの子会社だな
254: 2019/07/24(水) 11:29:51.54
>>8
松下システムエンジニアリングか
11: 2019/07/24(水) 09:33:13.89
ソースコード流出してもセキュリティ的に影響ないように作れるはずなんだがな
35: 2019/07/24(水) 09:44:07.53
>>11
可能か不可能で言うと可能だけど、
ソースコード公開した上でセキュリティ万全とかゴミ会社に出来ることではない
ソースコード公開した上で世界中の技術者に何年も叩いてもらってようやく出来ること
12: 2019/07/24(水) 09:33:14.91
間違えて開発者が個人リポジトリにpushしちゃったとか?
137: 2019/07/24(水) 10:29:19.77
>>12
間違えて、じゃ無いな
git gitもてはやされてるし、gitだろって喜んで使ってたはず

gitとgithubを勘違い(ツールとプラットフォーム)
且つgithub enterpriseを知らない無能開発者は数多い
githubオチターーーとか大騒ぎして、顧客に納品できない補填しろ騒いでた馬鹿大勢いたでしょ

21: 2019/07/24(水) 09:35:40.21
NTTは工作機関だからな
23: 2019/07/24(水) 09:37:14.88
>>21
光の契約情報も漏れてるぜ、俺は契約してないから来ないけど、契約してる所は、プロバイダから電話来まくり、契約してない所は来ないと言う事が起きてる
229: 2019/07/24(水) 11:17:14.36
>>23
NTTは営業をほとんど外注になげてるから、その外注が名簿たらい回しにしてるんだろうな
24: 2019/07/24(水) 09:38:21.79
ギフハフのコードを別会社がパクった可能性は?
44: 2019/07/24(水) 09:48:01.29
>>24
その場合ソースコードの権利者はSeven & i Net Media Co.,Ltd.にならないので
DMCAの虚偽申し立てとソースコード権利者への著作権侵害で
さらに問題が増える
41: 2019/07/24(水) 09:46:08.76
ギフハブって何者なんだ…
42: 2019/07/24(水) 09:47:10.85
とりあえずこうやって公開しておけば犯罪をする人は広範囲に広がる
特定は難しくなるという下地を作っておいてからの犯行か
秒読み段階だな
57: 2019/07/24(水) 09:53:22.85
ヤフー知恵袋でもセキュリティ開発の相談してそう
61: 2019/07/24(水) 09:57:43.02
そりゃオープンで穴がないってのが一番いいんだけどさあw
64: 2019/07/24(水) 09:58:00.14
俺の使ってる銀行のビジネス用ネットバンクがNTT DATAでdirectX迄使ってて不安要素しか無くなってきたがな
73: 2019/07/24(水) 10:01:28.98
>7月11日に削除
いい気分
245: 2019/07/24(水) 11:25:39.22
>>73
なにもその日にに油注がんでもwww
75: 2019/07/24(水) 10:02:15.83
>設計図にあたるソースコード

だよな、コードは設計図だよな
Excel方眼紙に事細かにフローチャート書いた詳細設計書なんていらないよな

84: 2019/07/24(水) 10:05:57.26
俺はMSに買収されたからGitHub使うのやめたね。
AWSで自分用にGitBucketで鯖立てた。
今までのようにGitHubからよそのコードパクってこれるしバックアップも楽。
88: 2019/07/24(水) 10:08:34.50
またの組織の仕業か
no title
99: 2019/07/24(水) 10:14:09.19
またASKAさんの慧眼ぶりが実証されてしまったのか
110: 2019/07/24(水) 10:19:03.00
>>1
>オリジナルのソースコードは7月11日に削除

もはやギャグだな

112: 2019/07/24(水) 10:19:10.30
どこの素人集団だよ
124: 2019/07/24(水) 10:25:04.14
>>112
NTT DATA
125: 2019/07/24(水) 10:25:14.97
まだおかしいところあるから、一回全部止めろとあれほど言ったのにw

セブン&アイもみずほ銀行パターンで10年は引きずるなwww

142: 2019/07/24(水) 10:32:37.29
いやいや冗談だろ、これ
仮にも最大手企業のクラウドサービスに対する認識がこのレベルなワケ?
150: 2019/07/24(水) 10:37:05.40
>>142
企業としてやってたわけじゃなくて、
プロジェクト内の末端のクソバカ(一人か複数人かは知らん)が勝手にやってたんだろう
で、NTTデータの正社員かどうかは怪しいところ
あの出来上がったものの稚拙さを見るにどこかへ丸投げだろ
166: 2019/07/24(水) 10:43:22.23
LINE payと楽天payだけがまだやらかしてないな
178: 2019/07/24(水) 10:47:39.09
無能NTT

日本の大卒にプログラミングさせんなよ

185: 2019/07/24(水) 10:50:19.33
>>178
プログラミングさえしてない、プの字さえ知らない連中ばっかよ。
外注だから、今頃責任転換で忙しいやろうねw
206: 2019/07/24(水) 11:06:02.30
GitHubはマスコットのタコネコがかわいいだけの会社
こういうのあるから未だうちは自鯖Subversion使ってるわ
208: 2019/07/24(水) 11:07:09.38
>>206
gitlabどうぞ
226: 2019/07/24(水) 11:14:23.08
日本はIT後進だ!
とか騒ぐレベルのさらに上をいってるからな
ゆとりバカにプログラムやらせる、本を読むことができないので、ググってコピペで良いじゃんとか抜かしてコピペコード貼り付け
For文すら理解できてないので、シンタックスエラーがでないで動けばラッキー
230: 2019/07/24(水) 11:17:31.64
元請と発注元がアホなので下請けを責めきれない・・・
250: 2019/07/24(水) 11:27:56.80
オープンソースキャッシュレス決済
これが流行る
252: 2019/07/24(水) 11:29:27.60
>>250
ビットコインか
288: 2019/07/24(水) 11:49:03.72
>>1
オープンソースなら有志の目に晒されて
ソースの品質やセキュリティ機能はむしろ上がるから!(白目)
294: 2019/07/24(水) 11:54:24.42
沿革   NTTデータMSE

1979年 – 「株式会社ナショナルシステムエンジニアリング(NSE)」設立
1981年 – 社名を「松下システムエンジニアリング株式会社(MSE)」に変更
2003年 – 社名を「パナソニックMSE株式会社(PMSE)」に変更
2008年 – NTTデータの資本参加により、現在の社名に変更
2013年 – 本社を新横浜へ移転