パスワードを忘れた? アカウント作成
9090354 story
iOS

脱獄済みiOSデバイス+不正アプリで電子書籍を不正閲覧していた男らが逮捕される 69

ストーリー by hylom
完全にアウトです 部門より
あるAnonymous Coward 曰く、

紀伊國屋書店が運営している電子書籍サイト「Kinoppy」から、料金を支払わずに不正に電子書籍コンテンツをダウンロードしたとして2人の男性が逮捕された。jailbreak(脱獄)したiOSデバイス向けの不正アプリを使い、Kinoppyのサーバー側に支払いを行ったとの虚偽の情報を送信することで認証を成功させるという手法が使われたという(日経新聞毎日新聞)。

逮捕された2人以外にも、同様の手法で不正ダウンロードを行ったIDが確認されているとのことで、これ以外にも逮捕者が発生する可能性がある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by lamvision (16580) on 2013年06月05日 12時08分 (#2394802)

    不正パケットを送って云々てのは結構聞きましたが、
    まさかあからさまに詐欺手法として使うとはびっくり。
    実名でやってた人がいてなおびっくり。

    これって小額で実際に払ったのも含ませていればばれなかった気もする

    • by nemui4 (20313) on 2013年06月05日 12時16分 (#2394812) 日記

      いわゆるセキュリティホールを突かれたってことなんすかね。
      #ホコタテで対決させたら面白そう

      実名に紐づけて登録したアカウント使って、自分がやってることをわかった上で実行してたのなら、なんというか凄いね。

      親コメント
    • by Anonymous Coward on 2013年06月05日 12時26分 (#2394824)

      これようの架空IDを作ってやるならまだしも、自分のIDでこんなもん使ったら、後で検証されて捕まるとか考えなかったんでしょうか・・・。
      別ソース [yahoo.co.jp]だと

      狩野容疑者が悪用した不正アプリは海外のサーバーから入手したもので、警視庁の調べに対し、「購入できるうちに手当たり次第にやった」と容疑を認めているという。

      とか語っちゃってるから、無料でダウンロードできる裏技、ぐらいの認識しかなかったんだろうなー。デジタルコンテンツだって犯罪ですから。

      親コメント
    • by Anonymous Coward

      ゲームではよく聞きますね。
      課金情報が別なので、そっちさえいじらなければゲーム情報だけではまず摘発はされないから。

      今回のも課金情報をいじったから捕まったわけで、まあ当たり前ですね。

    • by Anonymous Coward

      > 約160人分のIDには未成年のものが多数含まれているとされ、不正取得額が大きいものから調べる方針。

      違法ダウンロードと同じ感覚でやっちゃったんでしょうねえ
      去年の夏ごろの2chのスレッドにそういう会話があったようですし

  • 『料金を支払わずに不正に電子書籍コンテンツをダウンロードした男が逮捕された』
    だろ?

    脱獄iosとか不正アプリとか、話のネタとしては面白いけど、
    こういうタイトル詐欺みたいなのは正直やめてほしい。

    • 実際、Appleには認証されてない不正なアプリを使って実行したんじゃなかったの?

      親コメント
      • by Anonymous Coward

        それはたしかにそうなのですが、
        脱獄+不正アプリ、までなら逮捕はされません。
        Appleとの契約違反ですがそれはそれ。

        不正アプリを使って「不正アクセス」したことが今回の罪なのです。

        • by Anonymous Coward on 2013年06月05日 13時18分 (#2394903)

          「不正アクセス」の部分は「電子書籍を不正閲覧」と書かれているからいいんじゃない?
          タイトル詐欺とは思わないな。

          親コメント
        • by Anonymous Coward

          別にタイトルは逮捕要件を書くとこじゃ無いからいいんじゃないの。
          わかりやすく実際に行った行為と結果を書いただけなんだから、別にタイトルとしておかしくは無いでしょう。

        • by Anonymous Coward

          脱獄だけでも死刑になってもおかしくないのに不正なアプリ使っても逮捕されない犯罪天国なんですか日本という人は

          • by Anonymous Coward

            元ネタ希望

            #最近、ボーグネタが出てたのはわかった。

        • by Anonymous Coward
          > それはたしかにそうなのですが、
          > 脱獄+不正アプリ、までなら逮捕はされません。
          > Appleとの契約違反ですがそれはそれ。

          自動車に乗って人をはねた人が逮捕される

          って、自動車に乗って、までなら逮捕はされません。みたいな?w
        • by Anonymous Coward

          多いですよね。誤認させようとするタイトル
          そして指摘すると間違ってないから問題ない、本文に書いてあるから問題ないとかいうけど
          タイトルから誤認させようとする気がわからないからな

          「ゲームのアイテムやお金を盗み逮捕」とかも昔あったよね。あれも不正アクセスだったし

          • by Anonymous Coward

            誤認させる気があるって…陰謀論好きな方ですか?単に状況を説明しようとしたタイトルじゃん

            • by Anonymous Coward

              犯罪とかと並べることでそのことの印象を悪くするよくある手法だよ。

      • by Anonymous Coward

        不正をするための不正なアプリですね

        • そこまで不正する気満々だけど、接続元のIDだか利用者IDまでは偽造しきれなかったのか。
          それはやらなかったのか、やったけどバレたのか、どうなってたんだろう。

          単純に「うほっ、このアプリでごまかして決済せずに帰るじゃんラッキー♪」
          とでも思いつつ、うかつな人達がそのアプリを使ってたのかな。

          親コメント
    • 脱獄して不正なアプリをのがミソじゃない?
      PCのツールで通信内容を書き換えてとか、
      書店がポカしてダダ漏れとかだったら
      スラド的には主旨が変わると思う

      親コメント
    • 状況はわかった。

      つまり、

      『脱獄iosにそのアプリを入れるだけでダウンロードし放題だった』
      というバカバカしい状況がまず存在して。
      そうやってダウンロードしてたバカどものうち、特にひどかった2人が逮捕された。

      ということやね。
      なんというか、いろいろひどい話。

      親コメント
    • by Anonymous Coward

      いわゆる違法ダウンロードではなく、
      今回のは「不正アクセス」ですね。
      ネットでも混乱したままの人多くて困ったものです。

      • by Anonymous Coward

        「不正アクセス」は被害側の機器に侵入する、という意味だと思っていたのだけど違うのかな?

        今回の事件は正しくない(虚偽の)データを送信して(別にサーバーに侵入したわけではない)
        本当は払っていないのに支払ったことにして電子書籍をダウンロードしたのだから「違法ダウンロード」でいいと思うのだけど。
        電子詐欺とでもいうのかなぁ。

        • by Anonymous Coward
          報道が正しいのなら「虚偽の情報を送信することで認証を成功させるという手法が使われた」ので不正アクセス禁止法2条4項2で規定されてる識別符号以外のセキュリティーホールを突く行為にバッチリ引っかかるんじゃねぇの。
          • by Anonymous Coward

            法律用語を使う必要があるならそうなのかもしれませんが、大新聞の本職記者にもできないことを一介の雑談サイトに要求されてもねぇ。

            元記事が正しいとして、あえてタイトルを修正するなら以下の1行で十分かと思われます。

            s/不正閲覧/不正取得/g

            # どちらも、どこにも「読んだ」とは書いてないので愉快犯の可能性は否定できない(ぇ

            • by Anonymous Coward

              不正なアクセスで、ダウンロードしただけでアウトです。たとえ読んでいなくても。

              • by Anonymous Coward

                ええ、愉快犯だってれっきとした犯罪ですよね。

                キリがないですね。どこまで説明する必要があるんでしょうか。

            • 法律用語を使う必要があるならそうなのかもしれませんが、大新聞の本職記者にもできないことを一介の雑談サイトに要求されてもねぇ。

              元記事が正しいとして、あえてタイトルを修正するなら以下の1行で十分かと思われます。

              s/不正閲覧/不正取得/g

              # どちらも、どこにも「読んだ」とは書いてないので愉快犯の可能性は否定できない(ぇ

              >> s/不正閲覧/不正取得/g
              このs/hoge/piyo/g形式のコマンドをよく見るけど、何をするためのものなの?
              最近だと下記のとか

              >以下の変換を実施した結果、まったく違和感がなかった
              > s

    • by Anonymous Coward

      編集者をかばいたいわけでもないんだが、
      このタイトルについては事実誤認なわけでもないし
      別に問題なく見えるんだが

    • by Anonymous Coward

      タイトルも含めて、たれこみの文章の質が低いんだよね。くだけてたり、なれなれしい口語体だったり。5W1Hもおさえてなかったり。最近そういうのが増えた気がする。気がするだけだけど。

      タイトルもスポーツ新聞並みのうさんくさいのが多いし。そういうのがこういう不正確なタイトルにつながるんだろうね。

      新聞とか、テレビ局のニュースサイト見れば定型文とか、パターンが分かるんだから、たれこむんだったらそのくらいおさえてもよいと思うんだけど。

      そこで編集が校正すればとなるんだけど、それもしないし。

    • by Anonymous Coward

      技術的背景を前に出すのは、新聞とちがう珍しくスラド感のあるタイトルだと思ったけど?

      指摘している様なタイトルは、既存マスコミがあっちでもこっちでも既にだしている事だし。

  • by Anonymous Coward on 2013年06月05日 12時41分 (#2394839)

    Kinoppyのサーバー側に支払いを行ったとの虚偽の情報を送信することで認証を成功させるという手法

    この部分の具体的な手法が気になります。
    課金チェックをすり抜けて直接ダウンロードできた、ということなのか、
    架空の課金データを入力されて課金済の状態になっていたのか?

    もし画期的な手法なんだとすれば、セキュリティ対策考えておかないと。

    • もしかしたら課金成功時のパケットが決まっていたとかだとしたら致命的ですがどうなんだろうね。
      こういうのは認証機関経由でやったりするもんなので、認証機関側とkinoppi側のデータの保持構造とかにも問題ありそうな気がしないでもない。

      親コメント
      • by denchu (6847) on 2013年06月05日 13時03分 (#2394874)

        AppleStore を通して(ゲーム内通貨などを)購入をした場合、レシートと呼ばれるデータが送られてきます。
        このレシートデータを Apple が用意してある API を使って確認すると、そのレシートが正しいかどうかの確認が出来ます。
        Apple 推奨の方法ではサーバでこのデータを確認して処理するように推奨しています。
        (この方法であれば今回のような不正ダウンロードはほぼ不可能)

        で、世の中にはこのレシートデータを模倣して(ゲーム内通貨等を)購入してしまおうとするツールも存在します。
        iOS 版は Kinoppy はどのような処理をしていたのかわからないので正解はわかりませんが、今回のツールはこの例かなぁ、という気がします。

        そもそも AppleStore 経由の決済じゃなければ今回の例は全くの的外れですが(^^ゞ

        親コメント
      • by Anonymous Coward

        想像でしか無いけど、
        最初にアカウントの書棚情報を読み込んだあと、書籍をダウンロードするわけだけど、
        この時点で再度書籍単位の購入情報を確認せずダウンロードしてたとしたら、書棚情報を偽装できれば、買ってない本をダウンロードできる。

    • by Anonymous Coward on 2013年06月05日 14時56分 (#2394989)

      毎日新聞にもうちょっと詳しい情報があります。
      http://mainichi.jp/select/news/20130604k0000e040185000c.html [mainichi.jp]

      ---
      不正取得に使われていたのは海外で作成されたアップル社のiOS端末向けの不正アプリ「IAP Free」や「IAP Cracker」など。インターネットの掲示板サイトでは昨夏、「キノッピーで普通に使える」「請求のないクレカ(クレジットカード)を持ったも同然」などの書き込みが相次いでいた。
      ---

      InApplicationPurchaseをクラックしたみたいですね。
      アプリケーション内部でIAP判定をしていたら今回のようになるのかな?
      (販売サーバ側でやれば問題無いと思いますが)
      つか、アプリ内部で判断出来る設計はひどすぎないか?

      親コメント
    • なんか私も勘違いしてたようです。
      >  不正アプリ「iAP Cracker」は、オンラインショッピングで、実際には決済していないのに課金の手続きが終了したかのように店側のサーバーを誤信させる機能がある。

      iOSアプリのkinoppiには決済機能がないからアレ?と思ってたのですが、
      これはiOSアプリというだけで中身はサーバにニセ決済ずみ情報を送るツールと。
      決済ずみになったから、普通にダウンロードして本を入手できた(出来る状態になった)というわけ。
      だから特別なことはなく普通に決済機能のセキュリティをしてればいいわけですね。

      親コメント
  • by Anonymous Coward on 2013年06月05日 12時56分 (#2394864)

    そもそも決済結果がクライアントを中継する仕様がウンコ
    バックグラウンドに決済サーバからサーバに結果を返すべきだろ常識的に考えて・・・

  • by Anonymous Coward on 2013年06月05日 13時04分 (#2394876)

    自分は月に2-3冊しか読まないので
    そんなにたくさん本を読むってのが
    純粋にすごいと思う。

    • by Anonymous Coward

      ファイル交換するやつと同じで、集めることが目的で使うことはどうでもよいんじゃないの?

      知り合いにTB量のAVコレクション自慢されてこともあったっけな。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...