Windowsのリモートデスクトップ機能を改変して販売していたシステム開発販売会社の社長らが商標法違反で逮捕された(時事通信、産経新聞、朝日新聞、FNN)。報道によると、同社は美容室向けにPCや顧客管理システムを販売しており、その一環でWindowsのリモートアクセス機能を「正規のOSでは規制されている複数台での同時遠隔操作ができるように改変」していたという。しかし、この改変によってセキュリティが悪化し、海外のサイバー犯罪グループがこれらのPCに不正アクセスを行い、踏み台として使われたという。当局は同社関係者が脆弱性に気付いていながら販売を続けていたとみているようだ。
VNCじゃだめなの? (スコア:2)
複数のリモートアクセスが目的なら
機能面で遜色ないような気がするんだけど。
Re:VNCじゃだめなの? (スコア:2)
おそらく、別のコメントにも挙がってる「Universal Termsrv.dll Patch」 あたりを使ってるんだと思いますが、このパッチを使うと、通常のPC画面とは別に、「それぞれの接続者が各自のデスクトップ画面を持つ」ことができるようになります。「昔ながらのUNIXサーバマシンにX端末でログインしている状況」を想像できればわかりやすいでしょうか。
保守用のバックドアとかで「接続して操作している様子を見られたくない」とかだったら、VNCでは代替できないでしょう。
これで不正ログオンされると不正利用が露見する可能性はまずないでしょうね。
ゆうちゃん事件どころじゃないレベルで、PCの電源が入ってるかぎりいつでも何でもPCリソースが使い放題。
Re: (スコア:0)
こんな変な(かつセキュリティー的に杜撰な)会社がVNC使ったところで、VPNやSSHを通さないガバガバ運用するだけじゃないかな……
# 別件逮捕で止められない分、さらに面倒に(をい)
Re: (スコア:0)
セッション毎に別々にデスクトップを確保する RDP と、表示されてる画面を転送するだけの VNC では利用目的も機能も根本的に違うと思うよ。
画面転送するだけにしても、VNC では遅すぎて悲しくなるけど。
不正改造って (スコア:1)
RDP Wrapper Libraryをインストールしただけとかじゃないの
Re: (スコア:0)
複数台の同時操作ができるように改変って話だと
Universal Termsrv.dll Patchとかですかね。
Re: (スコア:0)
RDP Wrapper Libraryもそういうものだよ。
Re: (スコア:0)
RDPWrapperはWindows7のリモートデスクトップ機能そのものを改変するわけではないのでは?
Re: (スコア:0)
世の中そんなもんだろ
素人には分からない簡単なことでどれだけ金が取れるかって話
Re: (スコア:0)
コメ主が言ってるのは
「こんな場末のバッタ屋まがいの(=素人同然のスキルしか持たない)ソフトハウスがWindowsの改造と(いった素人にはできないこと)かできるのかね」
だと思うぞ。
あんたの言いたいことはわかるが、論点がずれてる。
>素人には分からない簡単なことでどれだけ金が取れるかって話
を言いたいなら別スレでコメントを付けることをお勧めする。
Re: (スコア:0)
その言葉をそのままキミに贈る。
商標法違反というのがよく分からんのだけれど (スコア:0)
じゃあバニラWindowsの販売と改造作業を別個に売れば問題ないの?
Re:商標法違反というのがよく分からんのだけれど (スコア:1)
これ、(不正?)改変が原因なら、システム屋がOSインストール後にパッチ当てや、システム組んだ上で納品するのもグレーな販売方法になるんじゃねーの。
OEM契約でも結んで無いと、そういう販売形態は許されないって事になんのかな。
というより、同時使用一人分のライセンスしか所有していないのだから、ライセンス違反で営業止めるのが一番簡単なコースだったんじゃないのかね。
まともな会社ならACCSとかからの警告だけで対処するでしょうに。警告を無視したのかね。
下手したら、システム系会社は脆弱性が見つかる度に、逮捕祭りでやばいんじゃなかろうか。
Re:商標法違反というのがよく分からんのだけれど (スコア:1)
ライセンス違反で立件すると、客(ここで言うと美容室)が使っているWindowsも芋づる式で不正品扱いになり使用差し止めになりかねず影響が大きいからです。
あくまでも業者が取った手法が悪手だったという体で影響を最小限に留めようとしているのでは?と。
ご指摘の通り、販売手法や実装手順によってはグレーというか明らかな違法行為にもなりかねません。なので、真面目なシステム屋は法に抵触しない方法を勉強して実施しています。
不勉強な業者が安易な方法でグレーゾーンに踏み込んで怪しげなことやってるのも事実ですが。
Re: (スコア:0)
ライセンス違反って刑法上の重罪にできるの?
主として民法上の賠償請求(日本では踏み倒されることも珍しくない)に留まるのでは?
Re: (スコア:0)
ライセンス違反は著作権法違反に直結するでしょ。許可がないのにコピーしたって事で。
法第119条、著作権を侵害した者は十年以下の懲役若しくは千万円以下の罰金に処し、又はこれを併科する
今回は法人なので、第124条、法人に対して三億円以下の罰金刑 も追加。
たとえば騒乱罪とかが1年以上10年以下の懲役又は禁錮で同等レベル。
Re: (スコア:0)
システム屋が入れるのはOSの上に乗っけるソフトウェアだから、OS自体は改変してない。
OSの中のDLLを改変して販売したらダメってことなんじゃないの。
Re: (スコア:0)
Re:商標法違反というのがよく分からんのだけれど (スコア:1)
どこが別件逮捕なのかよくわからん。
Re: (スコア:0)
別件逮捕だからこそツッコミ入れなきゃダメじゃないですか。
Re: (スコア:0)
http://www.itmedia.co.jp/news/articles/1609/29/news113.html [itmedia.co.jp]
>改造した端末を、元のメーカーの商標をつけたまま販売する行為は商標権侵害に当たる可能性がある。
>WiiやPSPなどゲーム機のファームウェアを改造した端末の販売で摘発された例は過去に多数ある
Re: (スコア:0)
日記のコメントでも書いたんだけど、知的財産の刑事罰規定範囲を明確化し濫用防止を [facta.co.jp]にも、商標法で有罪判決が出た事例が何件か取り上げられている(脱獄iPhoneの販売など)。これによれば、近頃、こういうのは刑事で訴えるのが得策だと権利者側が考えているらしい。起訴されれば検察と裁判所がいい感じに有罪にしてくれるので。
どうやってクラックされた? (スコア:0)
複数人でリモートデスクトップ接続できるようにしただけでクラックされるという理由がわからん。
VPNとか関係なしに、たんにダイナミックDNSとポートフォワーディングでどこからでも入れるようにしたとか?
パッチとか関係ないよね。
Re: (スコア:0)
パッチ落とす時に変な所から落としてマルウェア仕込まれてたとか?
Re: (スコア:0)
不正送金の中継かあ、わざと中継に利用されるような状態にして送金先を自分の自由に出来る口座とかにして横取りできないかなあ。
Re: (スコア:0)
これ [security.srad.jp]がまさに同じような例ですな。
どんどん取り締まれ (スコア:0)
商用利用は不可のソフトのフリー版を商用利用していたり、ライセンスを理解せずに使用して違反していたり
同じシステム開発で食ってるのに平気でルールを守らないゴミ会社はまだまだ多い
被害金額に関わらず意図的だったり意識が低すぎるところは告発すれば一発で倒産するくらいやってほしい
美容室 (スコア:0)
美容室向けでなにに使うんだろ?
Re: (スコア:0)
SQL Server Express動かして、同じPCに別ユーザーでRDP経由のAccsess(Runtime)使って接続して顧客管理とか?
Re: (スコア:0)
物によりますが。
・レジ機能
→レシート・ドロア・金額表示、場合により自動釣銭機まで
・顧客情報管理
→「いつもの」が解るカルテ(担当スタッフやカットやコースなど)
→来店履歴からのDM発送機能等
・予約情報管理
→ナンバーディスプレイ対応な物も
・スタッフ情報管理
→出退勤管理や給与計算
・設備情報管理
→カットブースやパーマ機材等
・在庫管理
→シャンプー・コンディショナー等の販売品の在庫管理等
みたいな多機能パッケージが有ったりします。
産経の記事から辿ってみると (スコア:2)
産経の記事 [sankei.com]に、
> 名古屋市西区にあるシステム販売会社「ビレイ」
って出てたのでググったら、以下の会社がヒットした。
BILEI [bilei.jp]
代表取締役の名前も一致しているのでここで間違いない模様。
製品紹介、業務内容、会社概要辺りを見ると、創業以来40年、美容院に特化したソフトやサービスを専門に扱っているとか何とか。
20年前ならまだ分かるけど、40年前に美容院向けに特化したコンピューターシステムって成立し得ないよな。
この地味な怪しさと言ったら。
uxi
Re: (スコア:0)
システム事業は96年から、創業76年からここまでは何やってたか書いてない。よく解釈すれば美容院向けのなんらかのサービスをやっててシステム化はしてなかったとか
Re: (スコア:0)
>当社は、理美容業界の顧客情報・技術情報・スタッフ情報等を管理するコンピュータシステム『 BINS 』の開発と販売で約40年の経験を有しております。
って言い切っちゃってるよ。
まあ、PC-8001でN-BASICを使ったフロッピーベースのスタンドアロンシステムとかなら、1976年は無理でもそのちょっとあとから始められるけれども
Re: (スコア:0)
web.archive.orgで掘って2005年のを見ると
Re: (スコア:0)
それが正しいとすると、12~3年で20年分の経験をしてるのね。
時の流れが違うのかな?(笑)
生で外部から接続してたのか? (スコア:0)
RDPはFWで遮断して、VPN経由で接続すればよかったのにね。。。