「連打」で不正に引き出せる不具合を使って仮想通貨「モナコイン」を詐取した少年が書類送検される 52
ストーリー by hylom
大人ならもう少しうまくやってたかも 部門より
大人ならもう少しうまくやってたかも 部門より
昨年9月、仮想通貨「モナコイン」を扱うウォレットサービス「Monappy」にて、不正にモナコインが引き出される事件が発生した(Monappyのサービスを運営するIndieSquareによる告知)。この事件は、モナコインを受け取れる「ギフトコード」機能の不具合を利用したものとされていたが、この不具合を利用して不正に約1500万円分の仮想通貨「モナコイン」を詐取した栃木県宇都宮市の18歳少年が電子計算機使用詐欺などの容疑で書類送検された(読売新聞、時事通信)。
NOBAX 曰く、
少年は栃木県内の学校でコンピューター技術を学んでおり、サイバー関連の知識は豊富だったようです。
ギフトコードはモナコインのPRイベントで入手したもので、サイト上で「受け取りボタン」を何度もクリックすると送金システムが誤作動することを発見。匿名化サイトや自分で開発したソフトなどを使って、ホットウォレットから計1500万円相当のモナコインを引き出し、他の仮想通貨業者に送金しました。
その後、昨年8月末、保管サイトの管理者や利用者らに対し、「俺がモナコインを奪った」などとメッセージを送信したほか、ネット掲示板に英文で「私はモナッピー(保管サイト)の攻撃者だ」「通常とは違うモナコインの入手方法を見つけた」などと書き込んでいました。
余計なことをしなければ捕まらなかったのだろうけど、ついついやってしまうんですね。犯人検挙には褒め殺しが有効かもしれません。
問題の不具合は、本来は1つのギフトコードで1回しかモナコインを受け取れないはずが、特定の条件下では複数回モナコインを受け取れてしまうというもの。少年は56個のギフトカードを使い、合計で約6200回の送金を行ったという。
ひどい脆弱性だ (スコア:3, おもしろおかしい)
ちゃんと「ボタンを二回クリックしないでください。」と書いとかないからこうなる。
Re:ひどい脆弱性だ (スコア:2)
キーボードやタッチパネルを使うので。
Re: (スコア:0)
ちゃんと「ボタンを二回クリックしないでください。」と書いとかないからこうなる。
大事なことなのでちゃんと二度いわないと
Re: (スコア:0)
ちゃんと「ボタンを二回クリックしないでください。」と書いとかないからこうなる。
たまにそういう注意書きありますね
2回以上連続で押されても大丈夫なようにしろよとか思いますけど
Re: (スコア:0)
マナーか何かの問題だと思っている(注意書きをしてもダブルクリックするやつは人でなし、ウチは悪くないくらいに思っている)んじゃないかなって思う。
で実際に悪人が来て被害にあうと。
「二回押すなよ!絶対押すなよ!」こうですか? (スコア:0)
で、熱湯風呂に入ると。
「仮想」通貨だから (スコア:1)
仮想通貨が好きな人が唱えるお題目 (スコア:1)
仮想通貨に関する議論の際によくみた、ブロックチェーンは完璧、システム周りの脆弱性は仮想通貨の信頼性に関係はない
っていうのを聞くけど、こういう事例を見る限りどんなにブロックチェーンが優れたものでも意味ないよなあって思ってします
Re:仮想通貨が好きな人が唱えるお題目 (スコア:1)
そりゃまぁ純金が永遠不変の化学的性質を備えていようと、
ドル札の後ろ盾が世界最強国家であろうと、
別に盗まれないわけじゃないですからねぇ
意味ないですよ
Re: (スコア:0)
どっちかというと、「仕様上はまずまずセキュアでも、実装でバグを作っちゃったらどうしようもない」という話じゃないかなと。いや、この連打云々の問題がモナコインの仕様に関わるものならまた話は違ってきますけど。
Re:仮想通貨が好きな人が唱えるお題目 (スコア:3, 興味深い)
この件で言えば、モナコインの実装にも問題なかったでしょう
その外側でウォレットに出し入れする取引所のシステムがダメだったという案件です
これがもし51%アタックとかならモナコインの欠陥ということになるのですが
オープンな仮想通貨のいいところは、取引所に置いとくのが心配なら、
自分でウォレットを選ぶ、あるいは実装する自由さえあるところです。
ドル札を自分ちの庭に埋めるか、銀行に預けるかを選べるようにね。
どちらが安全かは知ったことじゃありませんが、
その一点だけはどこかの企業が発行するなんとかポイントの類とは
大きく異なっていると言えるでしょう
Re:仮想通貨が好きな人が唱えるお題目 (スコア:1)
monacoinも51%攻撃受けて流出していますから欠陥コインですね
https://www.itmedia.co.jp/news/articles/1806/04/news122.html [itmedia.co.jp]
Re: (スコア:0)
欠陥のない決済システムなんて存在しないからなぁ
仮想通貨がそうじゃなかったらビックリだわ
Re: (スコア:0)
いっこミスあれば意味無くなるなんて、さぞや完璧人生なんだろうなあ
Re:仮想通貨が好きな人が唱えるお題目 (スコア:2, すばらしい洞察)
同じ一個のミスでもどこでどれだけ致命的なことやらかすかで変わるからねえ。
Re:仮想通貨が好きな人が唱えるお題目 (スコア:1)
元コメは「財布に穴があったら落とすから硬貨なんて意味ないよなあって思ってします」のレベルだからな
Re:仮想通貨が好きな人が唱えるお題目 (スコア:1)
「穴の開いた財布を使わされることが多いから、いくら硬貨に信頼性があっても意味ないよ」でしょう
Re: (スコア:0)
『写真はデジタルにして取り込んでいるから退色しないんですよ』
『そのデジタル画像をデジタルなDVD-Rに書き込めば二重に安心できますよ』
Re: (スコア:0)
デジタル画像が退色しないのは信仰なんですか?
知りませんでしたので、是非デジタル画像が退色する仕組みをご教示願えないでしょうか。
Re: (スコア:0)
データが破損して一部分がノイズ表示しかされなくなることは珍しくない話
特に古いメディアほどよくありがち
Re: (スコア:0)
それ退色じゃないですよね
ありうるとして色差プレーンだけデータがすっとぶとかだろうけど、
そうそう都合良く「メディアの劣化」で壊れるよりは全く読めなくなりそう
Re: (スコア:0)
だから、銀塩写真なら劣化しても退色程度で済むけど、デジタル媒体だといきなり全く読めなくなっちまう事があるからもっと気をつけろよ、っていう話でしょ。
Re: (スコア:0)
デジタルではフォーマットとメディアの話を一緒くたにしないということですね。
#銀塩写真ではまとまってるから仕方ない部分もあるけど。
仮想通貨「モバコイン」を詐取したアシスタントが (スコア:1)
モナコインじゃなくてモバコインに見えてしまった。
#鬼!悪魔!ち〇ろ!
雉も鳴かずば撃たれまい (スコア:0)
おれも18歳の頃だったら犯行声明出しちゃうかもなー。
そんな仮想通貨があったのか (スコア:0)
仮想通貨のシステムは結構ザルなんだねぇ。
「3分間に540回連打した」Tor ってそんなにレスポンス良かったっけ。
---
「約10万円分を使って、スマートフォンや新幹線のチケットを購入」
1,500 万円もあれば、結構なものを購入できるな。
俺みたいなおじさんだと、あれやこれやのウハウハを色々考えるけど、18 歳少年ならその程度の豪遊なのか。
Re:そんな仮想通貨があったのか (スコア:1)
おじさんって、頭が悪いんですねw
ポイントは、「仮想」通貨をどう現金化するか、という話でしょ。
新幹線のチケットは、換金率の高さと換金のし易さから、クレジットカードのショッピング枠を現金化する手段として最もメジャーな方法ですよ。
クレジットカードの場合、新幹線のチケット購入は目をつけられ易く、数回の購入で使用停止になる可能性が高いようです。
でも、そういうカード会社のチェックが無い仮想通貨では、したい放題。
Re: (スコア:0)
スマートフォンや新幹線のチケットは「豪遊」ではなく「換金」が目的ってことですよね。
まあ、ショッピング枠の現金化とか、必要ない人は一生縁がないものだから仕方ないかと。
クレジットカードの場合、新幹線のチケット購入は目をつけられ易く、数回の購入で使用停止になる可能性が高いようです。
これは知りませんでした。つまり、それほどメジャーな手段ってことなんですね。
Re: (スコア:0)
資金洗浄の観点ではスマートフォンや新幹線のチケットはリスクも高いけど悪くないと思うけどね。
残念な気分 (スコア:0)
ちゃんと脆弱性を突いてるのは確かなんだけど
力技過ぎてちょっと残念な気分
Re:残念な気分 (スコア:5, すばらしい洞察)
いやこれは力技でやられちゃう脆弱性のほうが「残念」なんだよ
トランザクション (スコア:0)
https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html [asahi.com]
欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。
これ単にモナコイン側にトランザクション処理が実装されてなかったレベルの話なの?
ウソだろ?
Re:トランザクション (スコア:4, 参考になる)
https://medium.com/@IndieSquare/monappy%E3%81%AB%E3%81%8A%E3%81%91%E3%... [medium.com]
MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
~略~
通信を受け取ったmonacoindの応答に時間がかかり、サイト(Monappy)側ではタイムアウトとなって(ギフトコードの処理が)ロールバックされたあとにmonacoind側では送金が行われていました。
あほやな
# 格好内は私が書いた
Re: (スコア:0)
仮想通貨の安全性とかの次元の話でも何でもなく、MonappyのシステムがCGI時代の掲示板並みの実装だっただけだね。
Re: (スコア:0)
> CGI時代の掲示板並み
いや、時代関係なく、開発がショボいだけでしょ。
エラー時の処理が実装されていないわ、そのケースのテストもしていないって事だから。
普通、タイムアウト時のテストケースなんて、漏れるわけないんだけどね。
#と言っても、試験結果報告書でokになっていても、再確認したらngってパターンもあるからな。(「君は何を確認したんだよ。」って言いたくなることが多々あって泣けてくる)
Re: (スコア:0)
テストケースがどうとか試験結果報告書がどうとか、そういうちゃんとした作りどころか
最低限のデバッグもろくにしてなかったんじゃないのかなってレベル
Re: (スコア:0)
タイムアウトの処理自体あって、それが送金サーバーのダウンを想定されたもので、
それで送金されずに、残高減ってしまわないエラー処理は入っているわけで、
連打ぐらいで遅延が発生して、それがタイムアウトにまでなるということを想定してなかったということです。
Re: (スコア:0)
モナコイン側の穴ではなくモナッピー側の穴てはないか?
Re: (スコア:0)
B・N・F氏が「大富豪の無職男」「ジェイコム男」として名を上げた、株の誤注文「1円61万株売 [wikipedia.org]」の時も裏社会との関連や組織ぐるみのインサイダー的な疑惑が検証されていましたが、今回のモナコインの件も、担当者が敢えてそうした可能性があるわけです。
ショボ (スコア:0)
昔のショボいソシャゲーでも
連打でガチャを連続で引けたり、アイテムを二重取りできたが
そんな感じか
Re:ショボ (スコア:1)
残念ながら、今でも同様の不具合抱えたままリリースされちゃうゲームがぽつぽつあるんですよね…
そこから今回の事件の発想得た感じの可能性も?
Re:ショボ (スコア:1)
つまり高速に連打すると弾が出なくなる頭脳戦艦ガル方式ならよかったというわけですね。
Re: (スコア:0)
このボタン応答おっせーなぁ、とイライラして連打したら、なんか2回受け取れちゃった。
というような証言をしているそうなので、他から着想を得たわけではなく初回は悪意もなかったぽいですね。
こんなことで捕まったらIT技術者が萎縮するだろ!! (スコア:0)
単にクリックするソフトを作っただけだ!不当逮捕だ!
萎縮するのはサービス利用者では? (スコア:2)
今回の犯人は不具合を認識した上で不正に利益を得る事を狙って行っているようなのでその限りではありませんけど、単純にサービスを利用して反応の遅さにイライラしてボタンを連打するだけで捕まり兼ねないという事例では?
不具合報告してそれなりの報奨金支払われるような正規の窓口がないと、不具合見つけても報告するインセンティブもないですし、逆に下手に報告して逮捕されかねないなら利用者は恐怖する他ないでしょう。
あと、プログラムは書いた通りにしか動かないので、もしトランザクションが仕込まれてないなら、これは詐取と言うより窃取と言うべきじゃないでしょうか?
僕なんてお金や人命に関わるコードは書きたくないなと思ってるんですけど、この手のサービス向けにコードを書く人って、余程の技術とそれに裏打ちされた度胸を備えているか、余程の身の程知らずかの両極端では?と思ってしまいます。
uxi
Re: (スコア:0)
そうですよね
脆弱性を残したままリリースしたほうが処罰されるべきです
#それはそれで技術者が萎縮する
##皮肉で書いてますからね。念のため
Re: (スコア:0)
そうですよね
脆弱性を残したままリリースしたほうが処罰されるべきです
でも冗談抜きで本当にそうしないとノーガード戦法が正義でまかり通ってしまう
企業は脆弱性何それ?そんなのに金賭けて利益出るの?
言い訳ばかりしないで作ったあなたが一番悪いんだからあなたの責任だろ?ってへーきで言う。
Re: (スコア:0)
刑事罰は微妙なところですが,
民事責任として,攻撃者への損害賠償請求権を
相当程度割り引くとか必要かもしれませんね。
Re: (スコア:0)
ラピッドリリースが流行ってから、横柄なゴミが増えましたな
Re: (スコア:0)
ITmedia辺りはほんとにそういう論調でいろいろ記事書かせそう