【仮想通貨】栃木の少年、ボタン8000回連打して「モナコイン」500万円相当を詐取・・・システムに欠陥
■ このスレッドは過去ログ倉庫に格納されています
仮想通貨「モナコイン」を顧客から預かるサービス「Monappy(モナッピー)」(営業停止中)に昨年、サイバー攻撃を仕掛け、運営会社からモナコイン約1500万円相当(当時のレート)を詐取したなどとして、警視庁は14日、宇都宮市の少年(18)を電子計算機使用詐欺と組織的犯罪処罰法違反(犯罪収益の隠匿)の疑いで書類送検し、発表した。容疑を認めているという。
仮想通貨をめぐっては、昨年1月に「コインチェック」で約580億円相当、同9月に「ザイフ」で約70億円相当(ともに当時)など、取扱業者からの不正流出が相次ぐ。同庁によると、仮想通貨流出事件の摘発は全国で初めて。
サイバー犯罪対策課によると、少年は昨年8〜9月、モナッピーの送金システムの欠陥を悪用して誤作動させ、運営会社が管理していたモナコイン約9万7千モナ(約1500万円相当)を外部の口座に送金させて詐取。大半を海外の仮想通貨交換所の匿名アカウントに移した疑いがある。
悪用されたのは「ギフトコード」というモナッピーの送金機能。コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪ったとされる。「自分の残高が増えていくのが楽しくて、コインを全部取ってしまった」と供述しているという。
サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ、ログの解析などから容疑が浮かんだという。(荒ちひろ、稲垣千駿)
https://www.asahi.com/articles/ASM3G4TR0M3GUTIL026.html >MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
>この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、
>取引をロールバックする仕様となっていました
この設計がまずおかしい
APサーバとの通信がタイムアウトしたことでDB側で認定できるのは、あくまでもAPとの通信の失敗であって、取引の失敗ではないだろう
まともな設計者に任せていたとは思えないな 今の時代だと、BNFのジェイコム株を安値でゲットしたのも
システムの欠陥を利用した犯罪扱いされるのか?? これは、気持ちわかるな
例えば自販機がおかしくなって、1本分のお金で2本出てきたら、貰うだろ 報道では高度な技術を持った
少年のはずだが違うのか まあ設計がおかしいけどこの少年の人生は終わったなw >>313
この会社は営業停止してんだから「仕様」じゃなかったのは明らか
そんなことも分からないとか 設計がおかしくても犯罪をして良い理由にはならんからなw >>242
ネット内通貨なんか、幾らでも運営が増やせるから無問題
ゲーム内通貨みたいなもんやからな >>228
この手のゆるい輩が日本のアホ丸出しのネットセキュリティの根幹だな >>328
それを8000回繰り返すかどうかは別の問題 >>317
ベルト違反や駐車違反でなんどもポリにお小遣いあげてる人は欄が足りなくなっちゃうね 未だに中世オカルト論「法解釈」によって人を逮捕する人治国家国家、東大イスラム国。 やったことは結果的に犯罪だけれども、なんか手動ってかわいいな
自作出来なくても、転がってるツール色々あるだろうに >>328
1本で2本出てきた程度ならまだ許せるけど、
自販機の中身を根こそぎ盗るのは流石に警察出てくるな、ってわかるだろw >>337
うわー、恥ずかしいからヨソでそう言ってドヤ顔するなよw これどうなんどうやればバレずにすんだんだ?海外のアカウントに移したのは正解なんだろ selenium使えよ。
簡単に連打するプログラムが作れる。 >>331
いやだから、AP <-> DB のタイムアウトでロールバックするのは仕様だよwww
まさにそれを意図して、そうあるぺきものだとして、実装したんだろうが(笑) >>343
ルパンと万引きおばさんくらいの差があるから 捕まってしまうと匿名化ツールとやらの使用は故意に不具合を利用する意思があったという証拠になってしまうのう >>296
通報したってハッキングされたとか通報されるから同じ結果だよ >>352
うわー、恥ずかしいから後からネタです宣言はよそでするなよ >>319
自己レス
ビットコインじゃなくてコインチェックのNEMか >>340
連打ツールを作ったり探したりするより、手動でやったほうが早い場合もある
運営会社だって異常な動きを感知すればサービス停止するだろうし
ツール作ってる間に穴を塞がれたら、と考えると手動は合理的
まあツールを探したり作ったりしていれば、その間に冷静になって罪を重ねなかったかもしれないが 18歳でそこまでやってるのは将来見込みあるな
きっともっと大きなハッキングやるぞこれ 肉体言語でシステムの中枢まで侵入したんだな
凄い少年だ 仮想通貨はどれだけ優れた技術であったとしてもそれに関係する技術者がしょうもないのが現実だろう
結局技術がないから見かけだけ豪華で中身は空っぽ
チップは高品質だが雑にはんだ付けされた基盤みたいなものだ 気持ち悪い馴れ合い2ch系仮想通貨やってるやつホンマアホだろ >自らが取得していた133回分のコードで、642回分の送金に成功。
>運営会社からモナコイン約1500万円相当(当時のレート)を詐取した
自分の400万円くらいを1900万円くらいにふやしたってこと? 匿名ツール・海外送金の時点で言い逃れできない
バグ利用程度の知識じゃどう考えても換金できる未来は見えないが >>847
日本三大絶対悪、警察・東大・電通にとって、仮想通貨は絶対に潰したい存在だからな。
デマでもなんでもいい。悪い印象を植え付けたい。
マイニング等で独自の資金源を得て、政権批判されたら困るから必死だよ。
「ループURL貼って補導」「Coinhive逮捕」に、“JavaScriptの父”ブレンダン・アイク氏も苦言 - ITmedia NEWS
JavaScriptのループ機能を使った“ブラクラ”のURLを書き込んだ3人が摘発され物議。昨年には、JavaScriptを使った仮想通貨採掘プログラム「Coinhive」設置者が逮捕された。これらの事件について“JavaScriptの父”ブレンダン・アイク氏が意見を述べ注目を集めている。
[岡田有花,ITmedia]
2019年03月07日 10時40分 公開
https://www.itmedia.co.jp/news/articles/1903/07/news071.html
高木浩光@自宅の日記
■ 緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない
http://takagi-hiromitsu.jp/diary/20180519.html 自分だけ儲けようとしないで5ちゃんに書き込めばよかったんだよ。
そうしたらお前らみんなやるだろ。
もうグチャグチャになって捕まるやつも出るだろうが、捕まらないで逃げ切れるやつもいただろうな。 いろんなとこからドラフト1位指名。即戦力じゃん。うらやましい。賢いんやろなー 実はこの仕様知っててばれない程度にこっそり抜いてたやつ居るんじゃね? 匿名化ツールってFirefoxのアドオンのVPNか?
tor使えば追跡不可能だったのに。 >>313 冗談の分からんバカにいちいち解説しなくていいよ 海外旅行に行って海外の旅行先のネットカフェからやれば良いのに。 わざわざ手動で8000回連打するとか馬鹿。
プログラミングで簡単に作れるのに。 モナコインの名前の由来は何なんだ
山本やAAのモナ―を思い出すからお遊びで作られた仮想通貨だと思ってた 高橋名人だったら秒間16連打できるから500秒でできるな。 空売りして値下がりしたところで現物返せば何の問題もないだろ ボロいシステムなんだなw
自分がゲーセンに入り浸ってた昭和の頃だったら攻略してたと思う
ありとあらゆるゲームを攻略してたし、パチンコもそれで海とかは波攻略してた、過去形 一昔前ならよくあった連打不具合だけど、
今時のアプリなら普通にtoken制御にデータの排他制御してるだけで防げた事例に思えるがやってなかったんだろうなあ。 そんな欠陥があれば誰だってやる
少年は明らかに勝利を手にしたのだ
優先して守らなくても良いものばかり守っている国 > サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ
悪いことやってるっていう自覚はあるんだな >>362
500円の自社でしか使えない金券でお茶を濁したペテン禿最強でしょwwwwww
馬鹿正直に清算した東証や丸紅は日本人としては正しいけど、この腐った売国奴自民党支配の日本ではチョンコに負ける。 >>383
むしろ手動じゃ無理だから
作ったスクリプトを手動で起動させたんじゃね? >>375
現金化してなけりゃ実際にカネが動いたわけじゃないから黙認じゃないかな。
事業停止で現金化できなくなったろうし。 まあ8000回連打して1千5百万が手に入るなら頑張るよな
犯罪なんだけどw システム作る側も侵入する側も途上国レベル
これが技術大国ニッポン >>396
悪い事と言うよりヤクザに捕まったら怖い感覚だろ
公共の場で自分の電話番号を隠すことと同じ心理 ジャップってもしかしてなんの技術もないんじゃねーのか 少年も頑張って連打したんだろうから1割くらいくれてやれ(´・ω・) DBMSが原始性を担保しているトランザクションと、対象業務としての "取引" の区別がついてない設計
てめえで制作したアプリケーションの原始性は、てめえの責任で保障しなければならないだろうが
DBMS側の知ったことじゃない
ちょっと考えればわかりそうなことなんだが 毎回システムの穴を突くのは合法とか言うのが春休み厨 >>406
そもそも穴のある欠陥システムを売る方が悪い >>87
しかも間違って振り込まれたのを銀行が使っても犯罪にならないという 監視と称し 足立区 UR竹ノ塚第二団地27号棟404号室"等"を借り
TVを見て昼寝に興じる警視庁公安部が 地域防犯パトロール を大募集です
マスコミの取材も大歓迎です。ご連絡 をお待ちしております。 何言ってんのか全然わかんないけどシステム側の不備なら悪くないじゃん
むしろ慰謝料で1500万くらいくれてやれよ 匿名化ツール使ってよく補足できたな
何使ってたんだろ
さすが警視庁はサイバー犯罪捜査らしい捜査やったな
それに比べ兵庫県警ときたら・・・(笑) 連打で発生する不具合とか、テストで見つかるレベルだし、
そもそもシステム作った奴のレベルが低そうだね。
しかしこれが囮捜査だってなら恐ろしい世の中だわw ■ このスレッドは過去ログ倉庫に格納されています