【8千回ボタン連打】システムに欠陥 18歳のモバコイン仮想通貨の詐取事件

1 :みつを ★:2019/03/14(木) 19:55:13.56 ID:dQHDVduC9.net
https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html

8千回ボタン連打、システムに欠陥 仮想通貨の詐取事件
荒ちひろ、稲垣千駿
2019年3月14日19時20分

 仮想通貨「モナコイン」を顧客から預かるサービス「Monappy(モナッピー)」(営業停止中)に昨年、サイバー攻撃を仕掛け、運営会社からモナコイン約1500万円相当(当時のレート)を詐取したなどとして、警視庁は14日、宇都宮市の少年(18)を電子計算機使用詐欺と組織的犯罪処罰法違反(犯罪収益の隠匿)の疑いで書類送検し、発表した。容疑を認めているという。

 仮想通貨をめぐっては、昨年1月の「コインチェック」約580億円相当、同9月の「ザイフ」約70億円相当(ともに当時)など、仮想通貨交換業者からの不正流出が相次ぐ。同庁によると、仮想通貨流出事件の立件は全国で初めて。

 サイバー犯罪対策課によると、少年は昨年8〜9月、モナッピーの送金システムの欠陥を悪用して誤作動させ、運営会社が管理していたモナコイン約9万7千モナ(約1500万円相当)を外部の口座に送金させて詐取。大半を海外の仮想通貨交換所の匿名アカウントに移した疑いがある。

 悪用されたのは「ギフトコード」というモナッピーの送金機能。コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
 欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪った。「自分の残高が増えていくのが楽しくて、コインを全部取ってしまった」と供述しているという。
 サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ、ログの解析などから容疑が浮かんだという。(荒ちひろ、稲垣千駿)

4 :名無しさん@1周年:2019/03/14(木) 19:56:52.17 ID:u3c/Ifw30.net

剥奪な

104 :名無しさん@1周年:2019/03/14(木) 20:45:39.10 ID:DJIn0iYX0.net

人気当時〜ハニーあたりどうでもよい存在だったが、
最近高橋名人を認めるというか、ファンになった。
GM三昧のパーソナリティまた願いします。スパンの4年過ぎてますよ、NHKはよせぇや

160 :名無しさん@1周年:2019/03/14(木) 23:38:56.11 ID:1OzFiOef0.net

それだけやってもたった1500万か
1年分の年収が増える程度でも税金は5割持って行かれるから手元に残るのは2割、わりにあわんな

日本の所得税まじ高すぎだわ

168 :名無しさん@1周年:2019/03/15(金) 10:36:52.32 ID:lfjH4oXQ0.net

>>1-99

北朝鮮による仮想通貨を悪用した制裁逃れのマネロン問題発覚

仮想通貨の現状の規制では、匿名性の高い取引所などが
制裁国やテロ組織への送金に関与していないと主張しても
潔白が証明できるほど法整備も進んていない
アメリカはマネロン対策で
メールアドレスだけで取引できる匿名性が高い取引所の
利用を禁止している。日本は利用禁止していない

商業銀行が制裁対象国、マネロン送金に関与した場合
数十億円から数千億円の罰金の支払いが課せられている
しかし、仮想通貨は規制されておらず
マネロンの助長している

28 :名無しさん@1周年:2019/03/14(木) 20:06:05.33 ID:eyYSyf0X0.net

DQのカジノみたいに特定の数を注文すると激安で買えるみたいなもんか

121 :名無しさん@1周年:2019/03/14(木) 20:57:23.04 ID:kNZxGAOj0.net

>コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、
>短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。

連打による多重実行を抑止する対策なんて基本中の基本じゃん
これはシステム作った奴がアカンわ…

71 :名無しさん@1周年:2019/03/14(木) 20:23:03.14 ID:igc1TZPW0.net

リアルタイム送金は穴多いから注意

初歩的なバグだったなあ

74 :名無しさん@1周年:2019/03/14(木) 20:25:20.12 ID:igc1TZPW0.net

送金処理とキャンセルを繰り返して
送金処理だけ残ったってところだな

90 :名無しさん@1周年:2019/03/14(木) 20:38:37.81 ID:IPPV2smp0.net

システムと監視の甘さが拡散する前に分かって、
1500万円程度の被害で抑えられたんだから少年に感謝しろよ。

148 :名無しさん@1周年:2019/03/14(木) 21:29:24.27 ID:xwACxabK0.net

>>146
そういう連中でも評価されるような環境は多いと思うよ
エンジニア不足だから
で年功序列でリーダーとかになっている
当然システムはゴミ

80 :名無しさん@1周年:2019/03/14(木) 20:29:20.36 ID:/FB8EKYE0.net

通信を秘匿化しても金の動き自体は消せないから
その瞬間増大した口座探したら見つけられた感じ?

141 :名無しさん@1周年:2019/03/14(木) 21:15:29.46 ID:eu8xVfsB0.net

>>122
うちの地元だと100発だったわ…
板はベニヤって呼ばれてた…

146 :名無しさん@1周年:2019/03/14(木) 21:20:35.77 ID:ouONBZ+A0.net

自分はおっさんSEなんでちょっと聞きたいんだけど
トランザクションの概念を理解しているSE/プログラマーって減ってるんかな?

31 :名無しさん@1周年:2019/03/14(木) 20:07:04.23 ID:QEQwC+lC0.net

匿名化でも辿れる程度には捜査力がついてきたのか

173 :名無しさん@1周年:2019/03/15(金) 14:50:46.34 ID:bBA80w8y0.net

炎のコマとか

113 :名無しさん@1周年:2019/03/14(木) 20:52:21.41 ID:aqsYTNBa0.net

才能使った割にはしょぼい金額だなw

92 :名無しさん@1周年:2019/03/14(木) 20:39:56.20 ID:ouONBZ+A0.net

>>89
だよな、基本中の基本なのに

172 :名無しさん@1周年:2019/03/15(金) 13:45:14.17 ID:SOmWeapc0.net

モナッピーってなんなんだ?
2ch的な仮想通貨なのか?

105 :名無しさん@1周年:2019/03/14(木) 20:46:42.03 ID:xwACxabK0.net

岡崎市立図書館事件を思い出せ
いかに自称被害者と当局の程度が低く、冤罪被害の温床となっているか

163 :名無しさん@1周年:2019/03/14(木) 23:58:13.81 ID:Wc66CS430.net

>>160
1000万以上稼げるのがシステム的に異常なの。

140 :名無しさん@1周年:2019/03/14(木) 21:15:26.12 ID:ouONBZ+A0.net

>>131
まあそうなんだけど、ちゃんと実装してなかったからこんなことが起きたんでしょ
Webアプリは専門じゃないんで濁したんだけど、システム上機能があるなら実装は必須だと思うわ

94 :名無しさん@1周年:2019/03/14(木) 20:40:37.61 ID:5oxmipS80.net

>>90
全部抜かれてるぞ

129 :名無しさん@1周年:2019/03/14(木) 21:01:18.47 ID:cJt8cYGg0.net

>>8
破壊グラフィックが用意されてなかったら消えるしかないだろ?

75 :名無しさん@1周年:2019/03/14(木) 20:25:23.82 ID:GcGw32r40.net

>>32
ゆうちゃんでアメリカ絡めば特定されるの分かったじゃん

25 :名無しさん@1周年:2019/03/14(木) 20:04:50.49 ID:ORVBoC7B0.net

複数の匿名化ツールって何だろう

86 :名無しさん@1周年:2019/03/14(木) 20:35:46.94 ID:syqlHT4J0.net

>>7
公衆Wi-Fiでアタックすりゃ捕まらなかったのにな。

65 :名無しさん@1周年:2019/03/14(木) 20:19:59.18 ID:SjOl8wqd0.net

反応悪くてイラついてキー連打していたらキーバッファに溜まっていた処理が一気に溢れて連打って経験あるだろ。
それだよ

20 :名無しさん@1周年:2019/03/14(木) 20:01:29.93 ID:Ri1Avc6F0.net

>>2
ゲームおもたん?

133 :名無しさん@1周年:2019/03/14(木) 21:04:29.47 ID:e84P6uic0.net

日本にこだわらないで取引でもクロアチアとか南アフリカ使えよ(´・ω・`)

63 :名無しさん@1周年:2019/03/14(木) 20:19:52.18 ID:0cH4ELkU0.net

間違いなく俺より賢い

35 :名無しさん@1周年:2019/03/14(木) 20:08:37.21 ID:FF7k8cZw0.net

専門知識が無くても ハカー

19 :名無しさん@1周年:2019/03/14(木) 20:01:07.66 ID:70yiYZx70.net

やっぱり、宗くん(野田草履)が正解。
わかんだね。
ビットコイン(3億円相当)をガチホ。

18 :名無しさん@1周年:2019/03/14(木) 20:00:50.04 ID:anT1Ufpe0.net

バネを仕込むか

82 :名無しさん@1周年:2019/03/14(木) 20:32:12.82 ID:Q26mIswP0.net

凄いな18歳オッサンにはなんのこっちゃかサッパリ分からん

84 :名無しさん@1周年:2019/03/14(木) 20:34:27.74 ID:igc1TZPW0.net

ロジック的に想像つくかな

2垢用意して
お互い送金処理とキャンセル処理を繰り返して
秒単位で処理順をオーバーフローさせるとか

まあ違うかもしれんが

152 :名無しさん@1周年:2019/03/14(木) 22:04:21.74 ID:17q15WlG0.net

バグらせたのか

165 :名無しさん@1周年:2019/03/15(金) 10:01:53.48 ID:X8bfIITt0.net

恐らく一度目は匿名でやらず偶然気付いたんだろうな
そこから発覚でしょう

102 :名無しさん@1周年:2019/03/14(木) 20:44:44.99 ID:pT8FWnmA0.net

21世紀でも連打は有効なのか

37 :名無しさん@1周年:2019/03/14(木) 20:09:08.41 ID:Wq//ukYP0.net

どのへんが違法なの?

135 :名無しさん@1周年:2019/03/14(木) 21:06:37.18 ID:igc1TZPW0.net

金融の送金キャンセルでお金が消えるって自体をもっとも嫌うからねえ

リアルタイムでやるならこういうのはありえる
まともなところはやんないけど
送金ラグがあったり1日1回だったり

97 :名無しさん@1周年:2019/03/14(木) 20:42:21.00 ID:/FB8EKYE0.net

1つの送金処理が完了するまでに
送金処理を何度でも開始できる

91 :名無しさん@1周年:2019/03/14(木) 20:39:45.03 ID:syqlHT4J0.net

>>84
データの同期とれてないだけだろ。
秒単位の処理でオーバーフローするってファミコンですら1秒間に256連打できるんだぞw

127 :名無しさん@1周年:2019/03/14(木) 21:00:34.13 ID:/SwSP/7p0.net

1500万程度のモナコインじゃ終わるわけが無いけどな

155 :名無しさん@1周年:2019/03/14(木) 22:19:29.09 ID:/afXT8v90.net

>>151
未だに文字列連結でクエリ作っててビックリする

171 :名無しさん@1周年:2019/03/15(金) 13:33:42.32 ID:u3tDZ8Uh0.net

>>1
すげーと思ったら
運営側が無能だっただけでござった

117 :名無しさん@1周年:2019/03/14(木) 20:54:51.27 ID:9uoKPJoz0.net

>>32
こういうのは一度もサービス使ったことのない人は攻撃しないので、サービス使ったことのある人から特定する
モナコインでこのサービスを使ってコインを受け取るなんて100人もいないだろう
100人程度ならしらみつぶしで捕まえられる

56 :名無しさん@1周年:2019/03/14(木) 20:16:51.54 ID:/afXT8v90.net

>>44
トランザクションで ACID が成立してないって
DB処理の基礎もわかってないアホが設計したのかね

トランザクションでなくクエリ毎のコミットという素人設計とか

42 :名無しさん@1周年:2019/03/14(木) 20:10:37.19 ID:k2VAXr1h0.net

ブロックチェーン技術者って優秀なのにこういう不具合普通に出すんだな

81 :名無しさん@1周年:2019/03/14(木) 20:31:25.77 ID:yyoaD+QB0.net

UIでもDBでも連打の対策してなかったのか

まぁ、PMが段取り取れないとそういうことあるかも

70 :名無しさん@1周年:2019/03/14(木) 20:22:42.97 ID:GX9SXkvF0.net

出来ればハッカー的なカッコいい盗り方で捕まって欲しかった

98 :名無しさん@1周年:2019/03/14(木) 20:43:22.53 ID:igc1TZPW0.net

>>91
送金でそんな情報量ある場合は不審データとして全部キャンセルさせるのが正しいやり方

46 :名無しさん@1周年:2019/03/14(木) 20:13:27.00 ID:c86bhU4W0.net

昔から裏技見つける奴は凄いと思う

69 :名無しさん@1周年:2019/03/14(木) 20:22:08.28 ID:NYcWTBbd0.net

高橋名人が逮捕されたと聞いてやってきました

50 :名無しさん@1周年:2019/03/14(木) 20:13:54.30 ID:+YwZCc860.net

高橋名人はいくら稼いだの?

107 :名無しさん@1周年:2019/03/14(木) 20:47:32.74 ID:rbmthhjo0.net

昔オンラインゲームでも似たようなバグがあったな。
ゲーム内のメール機能で送信ボタン連打するだけで、アイテムデュープ出来てしまう。

13 :名無しさん@1周年:2019/03/14(木) 19:59:43.89 ID:gsle1M/l0.net

>>10
やっとるやつらが基地外ってどういうこと?

5 :名無しさん@1周年:2019/03/14(木) 19:57:03.70 ID:FF7k8cZw0.net

やってみないとわからない 穴はあるもんだ

11 :名無しさん@1周年:2019/03/14(木) 19:59:07.98 ID:ewH/WWGj0.net

連打で逮捕w

156 :名無しさん@1周年:2019/03/14(木) 22:52:55.27 ID:NQN84nxq0.net

>>67
結果を認識した上で故意に誤作動を引き起こす操作を繰り返し行なった、なんかを立証するのかな?

93 :名無しさん@1周年:2019/03/14(木) 20:40:06.73 ID:8T5E4AB50.net

>オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪った
って全額かよwww
全額で1500まんえんwww

101 :名無しさん@1周年:2019/03/14(木) 20:44:24.52 ID:ouONBZ+A0.net

>>97
それを防止するのがトランザクションシステムなんだけど会計系で導入してないのが信じられないんだよ、おっさんSEには

23 :名無しさん@1周年:2019/03/14(木) 20:03:51.57 ID:k67Ly+Xz0.net

たまによくある穴であんま笑ってられないなコレ

17 :名無しさん@1周年:2019/03/14(木) 20:00:35.28 ID:ewH/WWGj0.net

世界よ!これが日本のITだ!
for無限ループで逮捕www
連打で逮捕www

131 :名無しさん@1周年:2019/03/14(木) 21:02:37.72 ID:PseE5SOn0.net

>>120
Webベースだからこそトランザクションなんだろw

119 :名無しさん@1周年:2019/03/14(木) 20:55:57.41 ID:/SwSP/7p0.net

どっちにしろ換金出来ずに詰んだだろうし考えが浅すぎたな

41 :名無しさん@1周年:2019/03/14(木) 20:09:45.26 ID:Z4VS7rzy0.net

16連射も金になるのか。

61 :名無しさん@1周年:2019/03/14(木) 20:18:47.27 ID:igc1TZPW0.net

ラグとパケット詰まりを流用したのか

137 :名無しさん@1周年:2019/03/14(木) 21:09:03.56 ID:9NqhsyZ50.net

こんな金を扱うシステムなら
しっかりとしたものを作らないと
システム屋が責任取らされるんじゃねーの?

まさかシステム屋がわざをバックドア仕掛けておいて・・・
とかないよね?

12 :名無しさん@1周年:2019/03/14(木) 19:59:31.73 ID:70yiYZx70.net

>>8
それ、嘘の都市伝説だぞ。

3 :名無しさん@1周年:2019/03/14(木) 19:56:36.91 ID:vW0cpN6F0.net

参考になったらSNSでシェアお願いします!

レスを投稿する(名前省略可)

この記事を読んだ方へのおすすめ

Translate:

Translate »
ページTOPへ↑