パスワードを忘れた? アカウント作成
13862086 story
お金

「連打」で不正に引き出せる不具合を使って仮想通貨「モナコイン」を詐取した少年が書類送検される 52

ストーリー by hylom
大人ならもう少しうまくやってたかも 部門より

昨年9月、仮想通貨「モナコイン」を扱うウォレットサービス「Monappy」にて、不正にモナコインが引き出される事件が発生した(Monappyのサービスを運営するIndieSquareによる告知)。この事件は、モナコインを受け取れる「ギフトコード」機能の不具合を利用したものとされていたが、この不具合を利用して不正に約1500万円分の仮想通貨「モナコイン」を詐取した栃木県宇都宮市の18歳少年が電子計算機使用詐欺などの容疑で書類送検された(読売新聞時事通信)。

NOBAX 曰く、

少年は栃木県内の学校でコンピューター技術を学んでおり、サイバー関連の知識は豊富だったようです。

ギフトコードはモナコインのPRイベントで入手したもので、サイト上で「受け取りボタン」を何度もクリックすると送金システムが誤作動することを発見。匿名化サイトや自分で開発したソフトなどを使って、ホットウォレットから計1500万円相当のモナコインを引き出し、他の仮想通貨業者に送金しました。

その後、昨年8月末、保管サイトの管理者や利用者らに対し、「俺がモナコインを奪った」などとメッセージを送信したほか、ネット掲示板に英文で「私はモナッピー(保管サイト)の攻撃者だ」「通常とは違うモナコインの入手方法を見つけた」などと書き込んでいました。

余計なことをしなければ捕まらなかったのだろうけど、ついついやってしまうんですね。犯人検挙には褒め殺しが有効かもしれません。

問題の不具合は、本来は1つのギフトコードで1回しかモナコインを受け取れないはずが、特定の条件下では複数回モナコインを受け取れてしまうというもの。少年は56個のギフトカードを使い、合計で約6200回の送金を行ったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ひどい脆弱性だ (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2019年03月15日 20時51分 (#3581886)

    ちゃんと「ボタンを二回クリックしないでください。」と書いとかないからこうなる。

    • by miyuri (33181) on 2019年03月15日 21時41分 (#3581901) 日記

      キーボードやタッチパネルを使うので。

      親コメント
    • by Anonymous Coward

      ちゃんと「ボタンを二回クリックしないでください。」と書いとかないからこうなる。

      大事なことなのでちゃんと二度いわないと

    • by Anonymous Coward

      ちゃんと「ボタンを二回クリックしないでください。」と書いとかないからこうなる。

      たまにそういう注意書きありますね
      2回以上連続で押されても大丈夫なようにしろよとか思いますけど

      • by Anonymous Coward

        マナーか何かの問題だと思っている(注意書きをしてもダブルクリックするやつは人でなし、ウチは悪くないくらいに思っている)んじゃないかなって思う。
        で実際に悪人が来て被害にあうと。

    • で、熱湯風呂に入ると。

  • by KAMUI (3084) on 2019年03月15日 18時57分 (#3581810) 日記
    それを詐取するのも犯罪だって意識が低かったりしたのかね?
  • by Anonymous Coward on 2019年03月15日 19時51分 (#3581848)

    仮想通貨に関する議論の際によくみた、ブロックチェーンは完璧、システム周りの脆弱性は仮想通貨の信頼性に関係はない
    っていうのを聞くけど、こういう事例を見る限りどんなにブロックチェーンが優れたものでも意味ないよなあって思ってします

    • by Anonymous Coward on 2019年03月15日 19時55分 (#3581851)

      そりゃまぁ純金が永遠不変の化学的性質を備えていようと、
      ドル札の後ろ盾が世界最強国家であろうと、
      別に盗まれないわけじゃないですからねぇ
      意味ないですよ

      親コメント
      • by Anonymous Coward

        どっちかというと、「仕様上はまずまずセキュアでも、実装でバグを作っちゃったらどうしようもない」という話じゃないかなと。いや、この連打云々の問題がモナコインの仕様に関わるものならまた話は違ってきますけど。

        • by Anonymous Coward on 2019年03月15日 21時00分 (#3581891)

          この件で言えば、モナコインの実装にも問題なかったでしょう
          その外側でウォレットに出し入れする取引所のシステムがダメだったという案件です
          これがもし51%アタックとかならモナコインの欠陥ということになるのですが

          オープンな仮想通貨のいいところは、取引所に置いとくのが心配なら、
          自分でウォレットを選ぶ、あるいは実装する自由さえあるところです。
          ドル札を自分ちの庭に埋めるか、銀行に預けるかを選べるようにね。

          どちらが安全かは知ったことじゃありませんが、
          その一点だけはどこかの企業が発行するなんとかポイントの類とは
          大きく異なっていると言えるでしょう

          親コメント
    • by Anonymous Coward

      いっこミスあれば意味無くなるなんて、さぞや完璧人生なんだろうなあ

    • by Anonymous Coward
      仮想通貨以前にデジタル画像に対する信仰と変わらないでしょう?

      『写真はデジタルにして取り込んでいるから退色しないんですよ』
      『そのデジタル画像をデジタルなDVD-Rに書き込めば二重に安心できますよ』
      • by Anonymous Coward

        デジタル画像が退色しないのは信仰なんですか?
        知りませんでしたので、是非デジタル画像が退色する仕組みをご教示願えないでしょうか。

        • by Anonymous Coward

          データが破損して一部分がノイズ表示しかされなくなることは珍しくない話
          特に古いメディアほどよくありがち

          • by Anonymous Coward

            それ退色じゃないですよね
            ありうるとして色差プレーンだけデータがすっとぶとかだろうけど、
            そうそう都合良く「メディアの劣化」で壊れるよりは全く読めなくなりそう

            • by Anonymous Coward

              だから、銀塩写真なら劣化しても退色程度で済むけど、デジタル媒体だといきなり全く読めなくなっちまう事があるからもっと気をつけろよ、っていう話でしょ。

              • by Anonymous Coward

                デジタルではフォーマットとメディアの話を一緒くたにしないということですね。
                #銀塩写真ではまとまってるから仕方ない部分もあるけど。

  • モナコインじゃなくてモバコインに見えてしまった。
    #鬼!悪魔!ち〇ろ!

  • by Anonymous Coward on 2019年03月15日 19時29分 (#3581833)

    おれも18歳の頃だったら犯行声明出しちゃうかもなー。

  • by Anonymous Coward on 2019年03月15日 19時39分 (#3581839)

    仮想通貨のシステムは結構ザルなんだねぇ。
    「3分間に540回連打した」Tor ってそんなにレスポンス良かったっけ。

    ---
    「約10万円分を使って、スマートフォンや新幹線のチケットを購入」
    1,500 万円もあれば、結構なものを購入できるな。
    俺みたいなおじさんだと、あれやこれやのウハウハを色々考えるけど、18 歳少年ならその程度の豪遊なのか。

    • by Anonymous Coward on 2019年03月16日 14時10分 (#3582147)

      俺みたいなおじさんだと、あれやこれやのウハウハを色々考えるけど、18 歳少年ならその程度の豪遊なのか。

      おじさんって、頭が悪いんですねw

      ポイントは、「仮想」通貨をどう現金化するか、という話でしょ。
      新幹線のチケットは、換金率の高さと換金のし易さから、クレジットカードのショッピング枠を現金化する手段として最もメジャーな方法ですよ。
      クレジットカードの場合、新幹線のチケット購入は目をつけられ易く、数回の購入で使用停止になる可能性が高いようです。
      でも、そういうカード会社のチェックが無い仮想通貨では、したい放題。

      親コメント
      • by Anonymous Coward

        スマートフォンや新幹線のチケットは「豪遊」ではなく「換金」が目的ってことですよね。
        まあ、ショッピング枠の現金化とか、必要ない人は一生縁がないものだから仕方ないかと。

        クレジットカードの場合、新幹線のチケット購入は目をつけられ易く、数回の購入で使用停止になる可能性が高いようです。

        これは知りませんでした。つまり、それほどメジャーな手段ってことなんですね。

    • by Anonymous Coward

      資金洗浄の観点ではスマートフォンや新幹線のチケットはリスクも高いけど悪くないと思うけどね。

  • by Anonymous Coward on 2019年03月15日 19時45分 (#3581843)

    ちゃんと脆弱性を突いてるのは確かなんだけど
    力技過ぎてちょっと残念な気分

  • by Anonymous Coward on 2019年03月15日 19時48分 (#3581845)

    https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html [asahi.com]
    欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。

    これ単にモナコイン側にトランザクション処理が実装されてなかったレベルの話なの?
    ウソだろ?

    • by Anonymous Coward on 2019年03月15日 20時20分 (#3581865)

      https://medium.com/@IndieSquare/monappy%E3%81%AB%E3%81%8A%E3%81%91%E3%... [medium.com]
      MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
      ~略~
      通信を受け取ったmonacoindの応答に時間がかかり、サイト(Monappy)側ではタイムアウトとなって(ギフトコードの処理が)ロールバックされたあとにmonacoind側では送金が行われていました。

      あほやな

      # 格好内は私が書いた

      親コメント
      • by Anonymous Coward

        仮想通貨の安全性とかの次元の話でも何でもなく、MonappyのシステムがCGI時代の掲示板並みの実装だっただけだね。

        • by Anonymous Coward

          > CGI時代の掲示板並み

          いや、時代関係なく、開発がショボいだけでしょ。

          エラー時の処理が実装されていないわ、そのケースのテストもしていないって事だから。
          普通、タイムアウト時のテストケースなんて、漏れるわけないんだけどね。

          #と言っても、試験結果報告書でokになっていても、再確認したらngってパターンもあるからな。(「君は何を確認したんだよ。」って言いたくなることが多々あって泣けてくる)

          • by Anonymous Coward

            テストケースがどうとか試験結果報告書がどうとか、そういうちゃんとした作りどころか
            最低限のデバッグもろくにしてなかったんじゃないのかなってレベル

          • by Anonymous Coward

            タイムアウトの処理自体あって、それが送金サーバーのダウンを想定されたもので、
            それで送金されずに、残高減ってしまわないエラー処理は入っているわけで、
            連打ぐらいで遅延が発生して、それがタイムアウトにまでなるということを想定してなかったということです。

    • by Anonymous Coward

      モナコイン側の穴ではなくモナッピー側の穴てはないか?

    • by Anonymous Coward

      これ単にモナコイン側にトランザクション処理が実装されてなかったレベルの話なの?
      ウソだろ?

      B・N・F氏が「大富豪の無職男」「ジェイコム男」として名を上げた、株の誤注文「1円61万株売 [wikipedia.org]」の時も裏社会との関連や組織ぐるみのインサイダー的な疑惑が検証されていましたが、今回のモナコインの件も、担当者が敢えてそうした可能性があるわけです。

  • by Anonymous Coward on 2019年03月15日 19時51分 (#3581849)

    昔のショボいソシャゲーでも
    連打でガチャを連続で引けたり、アイテムを二重取りできたが
    そんな感じか

    • by Anonymous Coward on 2019年03月15日 20時38分 (#3581878)

      残念ながら、今でも同様の不具合抱えたままリリースされちゃうゲームがぽつぽつあるんですよね…
      そこから今回の事件の発想得た感じの可能性も?

      親コメント
      • by Anonymous Coward on 2019年03月18日 9時19分 (#3582735)

        つまり高速に連打すると弾が出なくなる頭脳戦艦ガル方式ならよかったというわけですね。

        親コメント
      • by Anonymous Coward

        このボタン応答おっせーなぁ、とイライラして連打したら、なんか2回受け取れちゃった。
        というような証言をしているそうなので、他から着想を得たわけではなく初回は悪意もなかったぽいですね。

  • by Anonymous Coward on 2019年03月15日 22時47分 (#3581938)

    単にクリックするソフトを作っただけだ!不当逮捕だ!

    • 今回の犯人は不具合を認識した上で不正に利益を得る事を狙って行っているようなのでその限りではありませんけど、単純にサービスを利用して反応の遅さにイライラしてボタンを連打するだけで捕まり兼ねないという事例では?

      不具合報告してそれなりの報奨金支払われるような正規の窓口がないと、不具合見つけても報告するインセンティブもないですし、逆に下手に報告して逮捕されかねないなら利用者は恐怖する他ないでしょう。

      あと、プログラムは書いた通りにしか動かないので、もしトランザクションが仕込まれてないなら、これは詐取と言うより窃取と言うべきじゃないでしょうか?

      僕なんてお金や人命に関わるコードは書きたくないなと思ってるんですけど、この手のサービス向けにコードを書く人って、余程の技術とそれに裏打ちされた度胸を備えているか、余程の身の程知らずかの両極端では?と思ってしまいます。

      --
      uxi
      親コメント
    • by Anonymous Coward

      そうですよね
      脆弱性を残したままリリースしたほうが処罰されるべきです
      #それはそれで技術者が萎縮する
      ##皮肉で書いてますからね。念のため

      • by Anonymous Coward

        そうですよね
        脆弱性を残したままリリースしたほうが処罰されるべきです

        でも冗談抜きで本当にそうしないとノーガード戦法が正義でまかり通ってしまう
        企業は脆弱性何それ?そんなのに金賭けて利益出るの?
        言い訳ばかりしないで作ったあなたが一番悪いんだからあなたの責任だろ?ってへーきで言う。

        • by Anonymous Coward

          刑事罰は微妙なところですが,
          民事責任として,攻撃者への損害賠償請求権を
          相当程度割り引くとか必要かもしれませんね。

    • by Anonymous Coward

      ラピッドリリースが流行ってから、横柄なゴミが増えましたな

    • by Anonymous Coward

      ITmedia辺りはほんとにそういう論調でいろいろ記事書かせそう

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...