2019年4月16日のtwitterセキュリティクラスタ

割と賛否両論あるチートで漫画読み放題にして逮捕の件

「マンガワン」のチートエンジニア逮捕事件はマジでやりすぎだと思う。

これが犯罪だとすると、Androidアプリは内部データを書き換えただけで逮捕される事になる。root化もほぼ逮捕の対象になる。

こんなの小学生でも出来るよ。

被害届出したらエンジニア速攻逮捕される日本とか頭おかしすぎでしょ

@straydrop411 今回の場合、明らかに

解析して穴を見つけて、
自分に有利なデータ改竄を実行

してるので、訴えたらアウトでいいんじゃないでしょうか?明らかに悪意があるので。たまたまいじってたらこうなったというものでは無いような。

この件は詐欺罪に切り替えるべきと思うのよね。
ローカルデータいじって、それでサーバが偶然意図しない動きして利益もたらしたら逮捕ってのはキツイよなあ。

ていうか何よりもマンガワンのシステム設計に引いたわ… twitter.com/straydrop411/s…

変な書き方しちゃった、本件は意図してローカルデータいじってるんだけど、これで有罪になって、今後の話として偶然の人もアウトになるとキツイなあってことを言いたかったのよ。

マンガワンのチートの件は結果だけ見れば「本来有料のはずのコンテンツを無料で見た」わけで万引きに極めて近いんよね。金銭的な被害がある。手段の難易度がどうあれ万引きは万引きなわけで、じゃあ悪いでしょ逮捕でしょ、というのが言い分だと思う。

マンガワンのやつは、悪質性の話ではないと思うのだ。対象外っぽい法律を拡大解釈して罰するのが良くないという話なのだ。新しいタイプの問題が出てきたら新しい法律を追加したほうがいいと思うのだ。コインハイブだって、予告なしにいきなり拡大解釈逮捕で揉めた案件なのだ。根っこは同じだと思うのだ

マンガワンの件、実装がイケてなかったのが原因ぽいけど、それを悪用したユーザを逮捕するのはおかしいとか、アプリの問題だと言う人がいて残念。良くない実装やバグがあるのと、それを悪用するのは別問題。バグがあるから悪用していいわけではない。

マンガワンの件については、申し訳ないが、近頃話題のウイルス罪の濫用みたいな形では語れない。特にサーバー処理がかかわる部分についての不正変更はただでさえ (人力で行われるものですら) 容易に違法になりうるのに明確な損害を与えてたら真っ先に目をつけられるだろ JKと。

@a4lg 変造CAS (いわゆる BlackCAS) を刺したのもその罪だったりするので、プログラム的処理はローカルに閉じてる(サーバー処理が関わらない)から大丈夫とかゆー判断もしない方が安全だったり。

@kzmogi 個人的に言いたかったのは「特に」のところなので、茂木氏の指摘は否定しません。

マンガワンの件、具体的な金銭的損害の方面から裁くのは良いと思うんだけど、どうにも警察側の「よーわからんハッカー的なやつは不正指令電磁的記録でしょっ引いちまえ」的な雑さが見えていかんよなあ

【マンガワン】容疑者はPCに当該のapkを展開して「ローカルの」設定値を変更していたのは間違いなさそうだけど、閲覧時間判定はローカルのapkで行われていたのか、それともサーバーへ設定値が送られて判定されたのか、どちらなんだろうか。
それによっても判断変わるのでは。 piyolog.hatenadiary.jp/entry/2019/04/…

その他に気になったことはこのあたり。

最近のIoT系を狙った攻撃は他のマルウェアや余計なファイルを削除してからダウンロードする傾向のように見えました! #ハニーポット観察
【ハニーポット簡易分析】Honeytrap簡易分析(243-244日目:4/13-4/14) -…
sec-chick.hatenablog.com/entry/2019/04/…

佐川急便の偽サイトでお騒がせ中の人たちは、3月中旬から「あんしんスキャン」の偽アプリをばらまくドコモの偽サイトを開いています。14日深夜更新で、iOS端末を偽ラクマサイトに転送する新作が出たようなので見学してきました。 pic.twitter.com/o2lDNXcFgT

Android端末には、これまで通り偽アプリanshinscan.apk(アプリ名:Anshin Scan)を投下し、iOS端末はラクマ(フリル)に似せたドメインの別サイトへ転送します。転送先では、ラクマでの販売に必要な電話番号を確認するナンチャッテ本人確認をやらせる展開でした。 pic.twitter.com/OVKGDryUDc

ちなみに姉妹品の偽アプリをAndroidにインストールした場合には、連絡先の窃取、iTunes/App Storeへのキャリア決済登録、ラクマのSMS認証を勝手にしようとするそうなのでお気を付けください。 twitter.com/papa_anniekey/…

15日付で公式さんから注意喚起が出ています。おそらくこの件でしょう。>ドコモを装ったメールによる不正アプリのインストール誘導にご注意ください nttdocomo.co.jp/info/notice/pa… pic.twitter.com/R7KygsTG7A

15日付けで“ドコモを装った迷惑メールの実例”に本件のメール“「お客様の端末が不正利用された」との緊急連絡を装ったパターン」”が追加されています。>ドコモを装ったメールにご注意ください! nttdocomo.co.jp/info/spam_mail… pic.twitter.com/YnRGcPqQnN

こちらの方のTWが「www.nttdocomo(4桁の番号) .co .jp」というリンクをクリックさせようとする、「緊急お知らせ(XX-00000000000)」という件名(XXは2文字の英字、0000は数桁の数字)でばらまかれている実際のメールですね。 twitter.com/shiro_kuro11/s…

弊学キャンパス内にeduroamを名乗るニセAPが発見されたって御触れが来て、興味深い。所属先のID@フルドメインとパスワードを収集されちゃうよね。接続時に証明書を出させればいいが、自分ちのキャンパスならともかく、出先のeduroam APの証明書を目視確認する人って多くない気がする。

技術書典に「Secure旅団」として出してきた話 – Got Some \W+ech? ken5scal.hatenablog.com/entry/2019/04/…

04/15(月)のログです。
Tomcatの脆弱性(CVE-2017-12617)を狙ったと思われる通信を初めて観測しました
#ハニーポット
WOWHoneypot観察(30日目) – 23log
sec23.hatenablog.com/entry/2019/04/…

『Webセキュリティのミライ』を拝読。
IPUSIRONさんのお母様の事やお父様の介護で涙してしまいました。
同人誌で泣くのは初めてです。
検察の酷い仕打ち、過酷な状況下で #ハッキングラボ を作って下さった事に感謝します。

家宅捜索の対処法、ハッカー基金(仮)の提案、大切な事が詰まった一冊です。 pic.twitter.com/KfBmpF0YQq

大麻買おうとしてお茶漬けの素掴まされたってツイート見かけて、赤外線カメラつけたドローンで大麻育ててる家見つけて、そこへ空き巣に入るのが流行ってるって話を思い出した。両者とも元手はほとんど掛からず、警察が出てくる心配もない。 pic.twitter.com/U7IK0n5eLc

Adblock Plusと無印のuBlock(≠origin)の$rewriteフィルターにて任意コード実行が可能。フィルターリストは自動で更新されるので攻撃が後から確認が難しい。ユーザ側が可能な対処はAdblock Plus側が修正するのを待つかuBlock Origin等へ移行すること。 twitter.com/HNTweets/statu…

ブラウザの機能拡張でできる事の解説。広告ブロックの機能拡張はこの記事のLevel 3の権限を持ってるので、信用できない機能拡張を使うのは危険。信用できる機能拡張でも、知らない間に買収されて改変される危険性あり。
qiita.com/tksugimoto/ite…

一部の広告ブロックの機能拡張で任意のスクリプトを挿入できる問題。そもそも機能拡張自体ができることが多すぎてリスクが高いです。iOSのコンテンツブロッカーではこんな事は出来ないように制限されています。
ちなみに280blockerのフィルタは$rewrite使ってません。 twitter.com/jingbay/status…

英ストラトフォード・シティでは何らかのサイバー攻撃が発生し、メールシステムとオンラインフォームが停止。市庁舎に用がある場合は、電話もしくは直接来訪するよう住民に呼びかけている。詳細は後日明らかになるらしい。
Cyber-attack hits Stratford city hall: Officials lfpress.com/news/local-new…

サポートが終了したものを使ってませんか?より危険度が増しますよ:Webサイトのプラグインに由来するサイト感染を防ぐ方法 | カスペルスキー公式ブログ blog.kaspersky.co.jp/dangerous-plug…

[ITmedia エンタープライズ]半径300メートルのIT:端末選びに失敗する前に読んでほしい、家族用の「iPad Air」でセキュリティのドツボにはまった話 bit.ly/2Imp5E4

[ITmedia NEWS]架空世界で「認証」を知る:押井守監督作品で考える「VRオンラインゲームの個人認証」 bit.ly/2ImnSg0

[ITmedia エンタープライズ]HotmailやMSNに不正アクセス、ユーザーのメールの内容見られた可能性も bit.ly/2DhRyGK

月例パッチで「Windows 7/8.1」などが起動不能に–一部ウイルス対策ソフト利用者の間で発生 japan.zdnet.com/article/351357…

ハッカーが約2カ月で10億件に迫るユーザー情報をダークウェブで公開の恐れ japan.zdnet.com/article/351358…

体内に電子機器を埋め込む「ボディハッキング」とは何か?
テクノロジーを自らの身体に受け入れるカウンターカルチャーの担い手たち

hagamag.com/series/s0057/3…

ケロッピー前田『クレイジーカルチャー最前線』2019.4.16

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>