不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 93
ストーリー by hylom
既存システムとの連係ものは大変 部門より
既存システムとの連係ものは大変 部門より
不正利用被害報告が相次いだ決済アプリ「7pay」ではセキュリティの甘さが指摘されていたが(過去記事)、その開発現場では複数回の大きな仕様変更があり混乱していたという(Business Insider JAPAN)。
当初7payは単独のアプリとして配信される予定だったが、2018年末に既存の「セブン-イレブンアプリ」の新機能として提供されるよう仕様が変更されたという。この段階でアプリの開発会社も変更され、約半年での開発が強いられたとのこと。また、テストが開始されたのは4月末で、テスト期間は実質1か月ほどしかなかったそうだ。テストのスケジュール自体も2、3回の変更があったという。これにはセブン&アイ・ホールディングスのネットショッピングサービス「オムニ7」との連係が要求されていたこともあるようだ。
わりとカジュアルに漏れる内部資料 (スコア:5, 興味深い)
社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想
しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。
サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。
Re:わりとカジュアルに漏れる内部資料 (スコア:2, すばらしい洞察)
内部資料って、「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx」とかでしょ。
ファイル名見ただけでお腹いっぱいになりそう。
# で、別の最終版があったり...
Re:わりとカジュアルに漏れる内部資料 (スコア:1)
先頭に【最新版】や【改訂版】をつけたがる人がいたな・・・
両方あってどっちが新しいんだよ、と思って確認したら改訂版の方が新しかった
Re:わりとカジュアルに漏れる内部資料 (スコア:2)
ドキュメントやフォルダの一覧で
新〇〇
次世代○○
○○改
○○2.0(2.1他)
という名前が並んでるのを見ると微笑ましく思えてしまう。
Re: (スコア:0)
私のPCではxlsx ファイル開けないので
「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx.xls」 をください
Re: (スコア:0)
流石にOffice 2003はもう使ってないだろう
Re: (スコア:0)
って思うじゃん?
Re: (スコア:0)
「昔いた担当が作ったテンプレ」とかあるある
Re: (スコア:0)
マクロ使ってるシートが互換性の問題でxlsxでもまともに表示されないのは日常茶飯事。2010で互換性チェック通してから送ってください。
Re: (スコア:0)
埋め込まれてるファイル名の拡張子が xls なだけだったりするんですよね。
でも変えられないんですよね。
潰れればいいのに。
百度文庫で見た (スコア:0)
うちの内部仕様書上げるの勘弁してくださいよ…
Re: (スコア:0)
そんな分かりやすい名前のわけが無いでしょ。
「開発指針.xlsx」とか「なにかのガイドライン.xlsx」ですよ。
#実際にあった
Re: (スコア:0)
知人のPCに「下町」「横内」「西脇」「手越」「洗足」などのフォルダがあったの思い出した
Re: (スコア:0)
どっちが出したかですね
開発した受託会社側なのかセブン内部なのか。
セブン内部ならまだマシ
Re: (スコア:0)
もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、
乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、
お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。
だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に
攻撃を開始できた、という噂を聞いた。
内部の協力者がいなくても、イケたんじゃないかな。
Re: (スコア:0)
どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。
Re: (スコア:0)
セキュリティがガバガバというよりは、いろいろと不満の溜まる環境だったのではないかと。
よほどの所でないと開発資料の持ち出しができないなんてところはないよ。その気になれば楽勝。
むしろその程度のセキュリティも回避できない程度の素人が作ってるほうが心配なぐらい。
それはよかった (スコア:5, おもしろおかしい)
半年で家に帰れたんだね。
#テストメンバーに至っては一ヶ月でよかった。
Re: (スコア:0)
現在進行形=延長戦中でしょ。
# 俺たちの戦いはこれからだ、打ち切りなどと誰が決めた!!!
Re: (スコア:0)
24時間体制なのに,タイムカードは7-11という
24時間営業で開発すれば (スコア:2, おもしろおかしい)
#えっ?通常のSIerも24時間営業だって?
Re: (スコア:0)
24時間で三交代にするなら、普通に3倍の人数を一緒に働かせればいいんじゃね?
時間をずらすメリットなんて、プロジェクトルームが狭すぎて入りきれないとかない限りは思い付かない。
入れないなら場所くらいなんとかしろと。
#一人三勤制という奥義があると、風の噂に聞いたことがあります。
Re:24時間営業で開発すれば (スコア:1)
ワンオペで最高の生産性を目指しましょう。
Re:24時間営業で開発すれば (スコア:4, すばらしい洞察)
無理難題は発注先に押し付ければ片付いてきたのだよ、セブン-イレブンのビジネスモデルでは。
Re:24時間営業で開発すれば (スコア:1)
24時間で三交代にするなら、普通に3倍の人数を一緒に働かせればいいんじゃね?
時間をずらすメリットなんて、プロジェクトルームが狭すぎて入りきれないとかない限りは思い付かない。
入れないなら場所くらいなんとかしろと。
#一人三勤制という奥義があると、風の噂に聞いたことがあります。
私の経験だと、物理的なスペースが確保できなかったケース以外に、高価な機材(私の関わった物だと一ヶ月借りるだけで1台1000万円の特殊なICE)を夜間休ませるのは勿体無いのでというのはあったよ。
一人三勤ならこれ [m.srad.jp]とか、大分前に退職者が相次いだ末に本当に一人三勤やらせて従業員に訴えられて敗訴して産経新聞の記事になったケースがあります。
開発期間やテスト期間の問題じゃない (スコア:1)
そもそも二段階認証を採用しない方針に問題があったわけで。
Re:開発期間やテスト期間の問題じゃない (スコア:5, 参考になる)
「2段階認証」や「パスワードリセット」は問題の本質ではない
https://www.watch.impress.co.jp/docs/series/suzukij/1195163.html [impress.co.jp]
とかいう話もあるようで
Re:開発期間やテスト期間の問題じゃない (スコア:1)
一応コメントしておくと、今回の不正使用は、他人がパスワードとかリセットできる仕組みを悪用されたのであって、二段階認証は関係無い。二段階認証が(初期は)無くても、パスワードリセットは登録アドレス以外で出来ないようにしておいたら、運用開始2日間でズタボロにやられるなんてことは無かった。
もちろん、二段階認証は入れるべきだし、それを知らなかった社長ってのはすごい話だが、今回の事件とは直接の関係は無い。(二段階認証の質問をした記者も、結局はITが分かってなかったんじゃないかって思います)
Re: (スコア:0)
それも方針の問題だよね
Re: (スコア:0)
あの記者会見は唖然としましたね。
記者の質問に対して、「二段階認証???」って不思議そうな顔で聞き返すのが。
PayPayの開発期間の倍以上 (スコア:1)
https://www.itmedia.co.jp/news/articles/1906/17/news050.html [itmedia.co.jp]
>PayPayは、昨年10月にローンチしたが、開発を始めたのは約3カ月前の7月だった
こっちも雑な上流設計で派手に事故を起こしてましたが開発期間倍以上あるじゃないですか。
Re:PayPayの開発期間の倍以上 (スコア:4, 興味深い)
インドの Paytm と連携してローカライズやっただけならそんなもんでしょう。
Re: (スコア:0)
加えて最上流の力量(IT修羅場の経験・勘所)がかなり違ったのでは?
ローカライズで立ち上げるとする判断も含め。
Re:PayPayの開発期間の倍以上 (スコア:3, すばらしい洞察)
古くからある大手は、実開発する時間より、実開発に関わらない人が延々と会議や書類作る時間が長くなるからな
Re:PayPayの開発期間の倍以上 (スコア:2, おもしろおかしい)
そんなことはありません。開発にかかわる人間もちゃんと会議に駆り出されて、
偉い人の代わりに質疑応答を行い。議事録を作成し、会議後議事録の承認を貰うのに
微妙なニュアンスの言い回し修正を何度もやってやっと承認を貰ったら
明日の会議の資料作りをし、それから翌日の会議が始まるまでの時間に開発を行います。
Re:PayPayの開発期間の倍以上 (スコア:2)
「どこもかしこも『消費税増税に伴なうキャッシュレス優遇』に間に合わせる為に、慌てて作ったのでは無いのか??」疑惑
自ら退路を断つ (スコア:1)
今更7payの稼働を止められなくて詰んでいると思う。
1ケ月でも2週間でも併用期間(nanacoのポイント還元率を1%のままで据え置く)があれば手の打ちようもあった。
Re:自ら退路を断つ (スコア:1)
>nanacoのポイント還元率を7payのサービス開始と同日に0.5%に下げたから、
それに尻叩かれてnanacoから7payにポイントチャージして使ってました。
#三日後にはチャージできなくなるとは知らずに。
近所のドラッグストアのポイント還元率も激下がりするし、この手のサービスも乱立しすぎて限界なんすかね。
レジ袋完全有料化になったら、マイバッグ持参でのエコポイントも無くなりそう。
オムニ7 (スコア:1)
チョベバだな
個人情報 (スコア:0)
個人情報取り扱い認定業者の資格を10年ぐらい凍結する法制度が必要
今回の場合はテスト期間なんて関係ない (スコア:0)
半年テストしたところで、製造上のバグは全くなくなりましたってだけで、致命的な設計の問題は何も解消されない
テストしている過程で、設計のバグに気づくはずだ?
そういうことを言ってる奴は、システム開発の基本から勉強し直した方が良いね
Re: (スコア:0)
仕様に問題を見つけても末端の開発者に仕様変更の権限なんて無いからね。
権限持ってる人に納得させなければいけないが、トップが「二段階認証???」な人では話にならない。
Re: (スコア:0)
W字モデルならテスト検討の早期に仕様の問題点が見つかるんじゃなかね。
まあに段階認証のような機能が漏れてる以上目玉の数が多くても、気づいた目玉の数が多くても、声を上げる目玉の数が多くても同じだろうけど。
Re: (スコア:0)
第三者の侵入テストとか脆弱性診断とかなかったのかね。大手のサービスは形式的であってもやるもんだと思ってた。
むしろ贅沢 (スコア:0)
開発期間が半年もあって、テストに一ヶ月も用意されているなんて!!
規模が違うとはいえ下には下がいるんだぜ。
Re: (スコア:0)
ホントだよ!開発しながらテストしてたよ!
ユニットテストなら普通じゃーんと思うだろ?
結合テストもやっちゃうんだよなーこれが。
バグが出たら?影響範囲をエイヤーと決めてそこだけ再テスト。
Re: (スコア:0)
中国の決済サービスの現状を何も知らないやつがよくここまで妄想を書き込めるなぁ
Re:初めからオチが見えてた (スコア:1)
現状はどうなんだろう
Re:初めからオチが見えてた (スコア:2)
そりゃ、「今も昔も、思春期の頃は爺婆がヨイショしてるモノは格好悪いと思いがち」と「今、爺婆が中国・韓国をどう思ってるか」を考え合わせれば……
Re: (スコア:0)
中国のQR決済ってアレだろ?
店舗に貼ってある決済QRコードを上張りされて売り上げ横取りされる奴