ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴 153
ストーリー by Oliver
策士、策に溺れる 部門より
策士、策に溺れる 部門より
sillywalk曰く、"ネット通販のシステム開発に携わったエンジニアが開発過程で不正なプログラムを仕掛けたため、不正アクセス禁止法違反で起訴され、さらに電子計算機使用詐欺の疑いで再逮捕されました。(読売の記事)
警察の調べによると、このエンジニアは本・CD専門のネット販売システムの開発に派遣社員として関わり、購入した商品価格の約3%が還元ポイントに換算される仕組みを悪用。エンジニア自身のポイントが1万円分を下回ると自動的に1万9千円分まではね上がる不正プログラムを、開発過程で密かに組み込んでいたとのこと。これにより約300回にわたって自宅に商品を取り寄せたため、被害総額は約200万円相当に上ったそうです。
さらにこのエンジニアはパスワードなどを知る通販会社のコンピューターに複数回侵入し、商品の発注記録を削除する証拠隠滅を図っていたものの、数か月前、商品を届けに来た配達員が同社に連絡を取った際、発注記録がないことから不正アクセスが発覚。ついに逮捕されました。"
ポイントって (スコア:3, 興味深い)
この、ポイント詐欺をやられ続けている限り見つからなかった会社が、どんな会計処理としてたのか気になるなぁ。
それともポイントの残高とかちゃんと管理してなくて、会計処理上販促費とかで賄っちゃっていたんだろうか。
だとすれば発行ポイント残高は隠れ負債となって経営方針を誤る初めの一歩になりそうな気がする。日本ではこの手の負債って株主に開示する必要はなかったりするんだろうか。
Re:ポイントって (スコア:2, 参考になる)
> されていて,単に売買の際の割引として処理してしまえば,
> 会計処理に現れない気がします.
そういう処理をする所もあるでしょうが、きっちり会計上で把握する方法も行われているかと。#515093中の「発行ポイント残高は隠れ負債となって」を意識している所もある、ということで。
会計ビッグバンとポイント会計 [nippon-card.co.jp]
素朴な疑問 (スコア:2, 興味深い)
Re:素朴な疑問 (スコア:3, 参考になる)
どちらかというと、こっち「サラミ型コンピュータ犯罪」 [shijokyo.or.jp]に近いような。
この手の犯罪って、結構歴史があるんだなぁ。
Re:素朴な疑問 (スコア:1)
-- みずき
ホラーな解決法 (スコア:1)
それがバレたのち、海中で魚介類に養分を散布する仕事に強制的に
就けさせられた(*)、ってうわさを聞いたのだが本当だろうか・・・
(*)セメント製の靴を支給されての24時間365日休みなしの勤務だとか。
Re:素朴な疑問 (スコア:2, 参考になる)
私の投稿は「システム開発者が不正プログラムで逮捕・起訴される」で、
トピックもセキュリティ [srad.jp]だったんですが
編集者によって改題されたようです。
And now for something completely different...
Re:素朴な疑問 (スコア:2, 参考になる)
開発者の不正をどうやって防ぐ? (スコア:2, 興味深い)
個人情報の流出などは「業務担当者」側が原因となっていることが多く、「監視」の強化で防止できる可能性があります。
対して今回のような「開発者」の引き起こす問題は、対策を考えるのも難しいです。
実際にプログラムに手を入れる「開発者」や、インフラの面倒を見ている「管理者」側の人間なら、この手の不正は結構簡単にできるところが多いでしょう。
こういった事例が明るみに出ることによって、「内部の人間」を信用することができなくなったら、開発者・管理者にとっては住みにくい世の中になるおそれがあります。
この記事を読んだ「偉い人」たちの反応が恐いですよ、ホントに。
# 同じネタでタレコミしたんですけど、蹴られました。
# 自分なりの意見を付けたのが余計だったのだろうか…
Re:開発者の不正をどうやって防ぐ? (スコア:2, すばらしい洞察)
そして、従業員とか派遣を雇う時は、雇用主側が、個々人に宣誓書みたいなものを書かせたりすると思います。
そういったもので、裁判とかで損害賠償とかで訴えることができるので抑止力になるのではないのでしょうか?
どちらにしても仕掛けたものがバレないと出てこないのでしょうし、誰がやったのかを追跡できるようにしておかなければ意味がないのかもしれませんが。
このようなことをいっていたら、ルート権限もっている人なんてなんでもあり状態になってしまいますね。
結局、ある程度人を信用しないと仕事なんてできないし、秘密保持とかセキュリティなんて保てないです。
多分、この辺のあたりは人の管理の話ということで、会社のお金の使い込みとか情報の持ち出し・売買と同じ次元の議論になるような気がします。
Re:開発者の不正をどうやって防ぐ? (スコア:2, 参考になる)
ということを開発者が理解すれば充分ではないでしょうか。
まあ、そういうのを理解できない人が不正をして、そのあおりで正直者が肩身の狭い思いをするというのはたまらんですなぁ。
以下、おまけ:
その1
今回の犯人は3~4年かけて200万円くらい騙し取って一生を棒にふったわけですよね。割に合わないなぁ(笑 どうせならもう4~5桁くらい大きな不正をしましょうよ(無理
その2
配送業者が問い合わせをして発注記録がなかったことから不正が発覚した、ということだけど、犯人は何年も前から不正を繰り返していたわけですよね。 ということは、この会社の在庫管理とかどうなっていたんだろうと心配してしまいます。他にも不正があったとしてもわからない、と。
---- 末は社長か懲戒免職 なかむらまさよし
バックドアの活用 (スコア:2, 興味深い)
でも、それは自分のやったことや、引き起こした結果に自分で責任を持つ、ということができる範囲を知っていてのみ、行うことができるんだけど、普通は人間ってみんな弱いもんだから、制度としてお金にかかわることには、お金でちゃんと責任がとれるようにしないといけない。
具体的にはこのソフトウエア労働者の賃金を、ほんのちょっと高くしておくだけで防げたかも知れない、ということだと思うよ。昔、銀行員の給与は他より高かったけど、それは他人様のお金に手を出す、ということを防ぐため、と言われた。同じことかと思う。
ただ、誤解しないでほしいのは、潤沢に給与を出せ、という意味ではなくて、他の人と比べて、適当に高い給与にしろ、ということ。不正を行う気にならないくらいに、ということ。全部とは言わないが、そうすればこういうったことはかなり高い確率で防げると思うよ。
自分の仕事に誇りを持たせ、世の中の普通よりちょっといい、と思える給与をもらっていて、自分の仕事は世間にちゃんと認められている、と思っていれば、こんなことは通常はしようとは思わないものだもの。
銀行員だってシステム開発者だって、今はコスト、コスト、と言われ続けているから、給与も不当に低かったりする。でも、それは信用とか情報とかお金を扱うすべての会社で、その会社のモラル低下と、それに伴うこういった「命取り」的事故を増やしていく原因だと思うよ。
Re:バックドアの活用 (スコア:1)
あとは、不正を行わせるシステムってのも無くせられれば、汚職はとっても減らせると思うんだけどねぇ。
Re:バックドアの活用 (スコア:1)
1を聞いて0を知れ!
Re:バックドアの活用 (スコア:1)
まさに「国民の血税」だからじゃないかなあ。
他人の物だと思うと欲しくなる、って人たちなんですよ、きっと。
# あるいは「それが自分の物じゃないのがイヤ」とか。
*-----------------------*
-- ウソ八百検索エンジン --
明日は我が身? (スコア:1)
では、ぞっとした方も多いのでわ。
私が今係わっているシステムにも、ポイント等ではありませんが、
自分を有利にしようと思えばできる環境があります。
F/Wなんか管理してるとモロですよね。
何をしたかの度合いにもよるのかもしれませんが、明日は我が身と。。。
#まじめに仕事するぞ~。。。
#。。。しません。。
Re:明日は我が身? (スコア:1)
人手不足から派遣をかき集めている所もありますが、大丈夫なのでしょうか。
逆に一人辺りの担当パートが狭まると危険性も低下するのかも知れませんが、、どうなのかな。
Re:明日は我が身? (スコア:1)
管理者だけ自社の人間を置いて、あとは派遣や関係会社など
の人間を使う。と。
コストを削減するのが目的でしょうが、派遣の人たちはずーっと
そこにいるわけではないので、質は落ちますよね。
セキュリティの面もしかりかと。
#そういえばマ○ドのハンバーグにミミズがどうのというウワサ
#があったけど、あれはワームと呼ばないのか。。?
Re:明日は我が身? (スコア:1)
> では、ぞっとした方も多いのでわ。
「でわ」は「では」が正しいと思いますが、それはともかく。
そういうことを未然に防ぐためにも、コードレビューがあるんだと思いますが、そういう面倒なことはやらないのが普通なんでしょうか?ソフトウェア開発部門を離れて長いので最近の事情はよくわからんのですが。
> F/Wなんか管理してるとモロですよね。
> 何をしたかの度合いにもよるのかもしれませんが、明日は我が身と。。。
「明日は我が身」って... あなた、何かやらかすつもりですか(笑)。
Re:明日は我が身? (スコア:3, おもしろおかしい)
設計終わったら仕様変更しないでください。
設計終わるまでコード書かないでください。
開発開始時に面子をそろえてください。
頭数揃える為に有象無象を連れてこないでください。
開発終わってないのに面子を引き抜かないでください。
# 所詮ACの戯言・・・
Re:明日は我が身? (スコア:2, 興味深い)
クライアント側としては。
システムの異常をすぐに知らせるシステムが何故無いのか。
どうしてそうしたことを要求すると、すぐにオプションと言っては更に高い金を払わなければならんのか。
もっと簡単で安く出来て、更にシステムの異常に関して検知出来るものを要求したいです。
自分の会社で勝手やられて、更に金を払わされるのって腹立つよなあ。
Re:明日は我が身? (スコア:1)
そうすればわかると思いますが、たぶん、そのために誰かが働かなきゃいけないからじゃないですか?
まさか、他人をただで働かせようとは思っていませんよね?
そして、もっともこのコメントが的をはずしているように思うのは、
今回の件では、システムに異常が無く命令されたとおりに動いていたから
なかなか見つからなかった、と言うことで、もし、システムの異常が検知
できたとしても、意味がなかったんじゃないか、と言うことです。
今回の件に限った意見じゃないんだ、と言うのであれば、私の深読みのしすぎですので、
申し訳ありません、見逃してください。
でも、完全なオフトピックですよ。
Re:明日は我が身? (スコア:1)
やると思いますよ。
ただ、運用の面から見ると、途中でどうとでもできるという場合も
多々あります。
私は一旦本番で稼動させたシステムにあったバグを、こっそり直した
ことがあります。。。
> 「明日は我が身」って... あなた、何かやらかすつもりですか(笑)。
いやいや。。
証拠隠滅するなら今のうちかなと。。。
#席に座ってキーボードひっぱたいてれば、大抵の人は
#仕事してると思いますよねぇ。。。
Re:明日は我が身? (スコア:1)
> いやいや。。
> 証拠隠滅するなら今のうちかなと。。。
つまり、やらかしたんですね(笑)。しかもIDとは大胆な(笑)。
Re:明日は我が身? (スコア:1)
1を聞いて0を知れ!
Re:明日は我が身? (スコア:1)
私がもし依頼人だったら、とりあえずパスワードくらい変えるけどなぁ。
1を聞いて0を知れ!
これからのセキュリティー対策は (スコア:1)
どう使うかが課題になるのね。SPパック当てるだけじゃ
駄目ってのが、わかったけど。派遣社員使わないので、
この金額でといっても見積もりOKもらえないですよねぇ。
Re:これからのセキュリティー対策は (スコア:2, すばらしい洞察)
信用のおけるおけない、という判断が介在しないようにしなきゃいけない。
手口がシステム寄りだっただけで、犯罪の種類としては詐欺そのものでしょう、これ。
コードのせいにする問題じゃなさげ。
# 会計処理を外部委託したら改竄された、みたいな
自分のポイント (スコア:1)
・ってプログラム内部に特定の個人IDとか会員IDを判別する仕組みを
埋め込んだってこと?
これだとソース見ない限りわからないかもしれないけど、ソース見たら
すぐ分かっちゃうよね。
・テストでは見つからなかったの?
ひょっとしてその逮捕されたエンジニアがテストも行ったの?
Re:自分のポイント (スコア:2, すばらしい洞察)
Re:自分のポイント (スコア:1)
納品物としてソースまで見ることはないのがほとんどと思われるけど、
特定のIDをなんかするようなヘボなコードは入れないと思ったんですよ。
万が一ソースを見られたらその時はそのIDをもとに誰かってわかるでしょう。
だから特定のIDを区別するようなコーディングをソース中に埋め込まなくても
特定のIDの時はなんか特別の処理をしてくれるような仕組を埋め込む方法が
あるのか知りたかったんですけどね。
仮の話 (スコア:2, 興味深い)
CheckIdRecord(userrec); /* DATA Check */
}
なんて書き方して肝心のモジュールはライブラリにぶち込んで、
ソースは消してしまう。ってやると、
疑ってかからない限り普通にソース読む人は発見できないんじゃないかな?
非標準ライブラリのソースが全部あるかどうか確認とか、
ライブラリ削除して再構築できるかチェックなんて普通してませんよね?
ID判定そのものをライブラリに隠蔽したほうがいいのか
checkIdRecord(userrec); /* DATA Check */
これじゃココでの説明が上手くいかない
Re:自分のポイント (スコア:1)
>そんなツール使っているんですか?
ツールなんか使わなくったって元から(ry
#開発環境の機能に頼りっきりなのでID。
Re:自分のポイント (スコア:2, 興味深い)
『もし検査されてもソースを追える人材がイナイ』
『テストでバレる心配がナイ』。
『テストも自分がやらされている』……。
等の自信/確信が有ったからこそそのしくみを組み込んだのではないでしょうか。まあ、簡単にバレるような環境ならそんな危険は冒さないでしょうね。たぶん
/* Seeds */
Re:自分のポイント (スコア:1)
納品物のソースをいちいちチェックするなんてのは非現実的ですから、見つかるとしたらソースレビューのタイミングですね。
開発者自身がレビューに出すソースをすりかえたりできるようなら、それもムダ。
> ・テストでは見つからなかったの?
そりゃ無理でしょう。
その特別なIDを使わない限り発生しない現象なんだし。
Re:自分のポイント (スコア:1, 興味深い)
全員が全部のコードに手を入れざるをえない体制なわけですから、
全員で共謀しない限り説明不可能なコードはまぎれ込めない。
Re:自分のポイント (スコア:1)
埋め込んだってこと?
さすがにそこまであからさまな手段はとらなかったんではないかなぁ?
ユーザ情報のテーブルに意味不明のカラムを複数用意しておいて
その部分を難解なロジックで参照して・・・云々とか・・
>・テストでは見つからなかったの?
表面的な動作テストやシステムテストでは見つかり難いでしょうねぇ
ま、なんにしてもソースを見ていないに1票。
重蔵。
なにかと同じ (スコア:1)
同じですね。
自分の立場を不当に利用したということです。
警察や公務員に「倫理観はないのか」などという話がでてきますが、
これだけ情報インフラが社会に浸透してきている中で、
なぜ情報系エンジニアにはそういう話が出てこないのでしょう・・・
#もしかして、出てる?
やはり、このエンジニアは二度と業界に戻らせてはいけないと
思います。
近い将来、「SE倫理委員会」とかできたりしたりして・・・
Re:なにかと同じ (スコア:1)
> 思います。
飲食業に就いたらつまみ食いするだろうし、コンビニでバイトしたら
廃棄分を持って帰ったりするだろうからそもそも社会復帰させない方が
いいんじゃないか。
Re:なにかと同じ (スコア:1)
でもそれは、こういうあからさまな犯罪を対象にしたものじゃないです。
この事件で問題になる「倫理」は、技術者以前に人としての最低レベルのものだと思います。
Re:このあたりでしょうか。 (スコア:2, 興味深い)
の『大手システム販売会社』の方が知りたい。
そういうずさんな従業員管理してるところに発注しちゃったりしないように。
お店側担当者としては地雷を踏んでしまったようなもんだとは思うが、当然社内でペナルティは食うだろうしね。
わたし的には自衛手段として是非とも公開して欲しい。
Re:このあたりでしょうか。 (スコア:1, 参考になる)
http://www.blue.co.jp/press/19990824.htm [blue.co.jp]
ところで私は、JBOOKが本・CDのネット販売をしていて、本社が川崎市高津区にあって、3%のポイント還元をしているって共通点があるだけで、当該記事の通販会社とは言ってないよ。
Re:このあたりでしょうか。 (スコア:1)
Re:このあたりでしょうか。 (スコア:1)
あの程度のコメントでは、営業妨害も名誉毀損も成立しないと思いますし。
Re:このあたりでしょうか。 (スコア:1)
意図的でなくとも逮捕されたケース [yomiuri.co.jp]もあるので、一応気をつけた方がよいとは思う。
少なくとも証券取引法違反にならないから大丈夫という論法は成立しない。他でひっかかる可能性はある...
まあ at your own risk で。
: 〜〜〜 パルナス、けだるい日曜日。 〜〜〜
Re:このあたりでしょうか。 (スコア:1)
#頭だけ「逮捕」と書いた記事 [mainichi.co.jp]も存在はするが。
Re:このあたりでしょうか。 (スコア:1)
JASDAQ公開企業たる文教堂 [jasdaq.co.jp]の事業内容欄をみるに、ジェイブックは連結対象のような?
市場混乱の一要因にはなるでしょうな。
無ければ無いで… (スコア:2, 興味深い)
何か主観を入れれば文句を言う奴がいて、何も入れなければ文句を言う奴もいる。
こうして将来のタレコミ人の芽は摘まれていくのであった。
文句があるなら自分でたれこめ、という意見も出なくなったなぁ。
なぜ 気づかない (スコア:1)
・・・つまり、これは氷山の一角に過ぎず、同様のバックドアで濡れ手に粟のボロ儲けしている(そしてバレるまで
ボロ儲けしつづける)事例が山のようにある、ってことだよね。
#コレが最後の一人だとは思えない・・・
Re:かのエンジニア君。。。 (スコア:1)
目ふさいで犯人の名前言ってみて。ちゃんと覚えてる?
#覚えてないのは俺の記憶力に問題があるからか?
#まさか、脳内のバックドアから入ってログを消された・・・
1を聞いて0を知れ!