■他人のTカードを乗っ取れる脆弱性が隠蔽されている話

3行でまとめると

• モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
• 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
• ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

CCC以外にも使われている株式会社オスティアリーズの「着信認証」が脆弱性を以前から認識していながら隠しているのが悪いと思うが、CCCからは一切回答をいただけなかったため、このタイトルにした

証拠動画

080-1234-5677というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

想定問答

• IPAには連絡しなかったの？

→ IPAに連絡しても「自分の別アカウントを『乗っ取る』PoCをすること自体が法的リスクが〜」と以前言われて報告を受理してもらえなかったので、使えないと判断した

• 幇助にならないの？

→ 具体的な方法は記載していないのでならない

• 動画編集でもしてるんじゃないの?

→ そうかもね

• こんな日記書いてなにがしたいの?

→ 特定の(どこの馬の骨とも知らない、見た目だけそれっぽい)SaaSにセキュリティのすべてを依存しないことの啓蒙

Permalink | 記事への反応(2) | 14:24

ツイートシェア