ヤフーからTポイント1億円を盗んだ、ごく普通の母子の「アナログ手口」が衝撃

>「複数のキャンペーンを悪用し、総額9300万円相当のTポイントを不正取得しています。関係先と預金口座から、約8500万円の現金と1500枚ほどのTカードも見つかっている。架空の名前や住所を登録してヤフーのIDを大量に作ったうえでキャンペーンに応募。当たったTポイントを金銭に換えてい

具体的な手口を逮捕容疑からみていくと、

「昨年3月、Tカード番号を登録すれば1515円相当のTポイントがもらえるキャンペーンがありました。これに95個のIDで応募し、約14万円相当のTポイントを詐取しています」

 これが10月の容疑で、11月分は次のようになる。

「昨年の4月から今年6月に実施された『ヤフオク! Sundayくじ』に約7万2千個のIDで応募し、約16万円分のTポイントを詐取しています。『ヤフオク!』の落札価格の一部がTポイントとして当たる形だったので、警察は、実際には商品をやりとりせず、“自作自演”の出品と落札を重ねたとみています」

 ID取得には、息子の光喜が自作した、大量のIDを自動的に入力できるプログラムを使っていたという。

vg

 これらを繰り返して1億円近いTポイントを盗んだようだが、ITジャーナリストの井上トシユキ氏は、

「この、同一人物が別人物になりすますやり方は、ネット上の掲示板にも書き込まれていましてね。実行するかどうかは別にして、ネットでは、知らない人は“情弱”(情報弱者の意)と揶揄されます」

 同じくITジャーナリストの三上洋氏の指摘。

「今回と同じようなポイントやIDの不正は、『じゃらん』や『メルカリ』でも行われ、事件化しました。しかし、ヤフーとしても、さすがに7万個以上ものIDを不正取得されるなどとは想定していなかったのでは」

 その点をヤフーの広報担当者に訊ねると、

「利用規約上、1人の人物が複数個のアカウントを取得することを規制していませんでした。現在では、SMS認証などを通じた本人確認を行っています」

 というから、表面化していないだけで、ほかにも同種の犯罪が行われている可能性はあるとみていいのではないか。プログラムを使ったとはいえ、数打ちゃ当たる、“アナログ的”な手法を実行した母子。札幌の自宅周辺からは、悪評などはまったく聞かれない。近隣住人に訊いても、

「お父さんはサラリーマンで、お母さんは専業主婦。息子さんは、自衛隊に入ったと聞いてたけど、戻っていたとは知らなかったな」

 自宅は一軒家だが、特に派手さもなく、住宅街に溶け込んでいた。IT全盛の時代にあって、そんな、ごくふつうの家に暮らす母子が単純な手法で巨大ITのセキュリティの脆弱さを突いたのである・・

(source: デイリー新潮 – ヤフーからTポイント1億円盗んだ「ごく普通の母子」の「アナログ手口」

tty

・頭の悪い俺から見ると、「大量のIDを自動的に入力できるプログラム」を作ったのが、素直に凄いなと、思った。

・セキュリティーが甘かっただけだな。
誰でも思いつくけど、実際にやる人間が存在するんだね。
記事は、一般市民でもセキュリティホールを発見出来る、みたいな書き方だが、自衛官の息子の方は自分でプログラム書いたみたいだから、情報分野にはかなり詳しいのでは。

・クレジットカード機能の付いてないTカードはあちこちで、ご自由にって感じで置いてあるので今でも複数のIDは誰でも持てます。月に数千円単位でやっている人は大勢いると思う。SMS認証もパスワードと電話番号付き合わせるだけだからID数十件ぐらいなら比較的簡単にできます。誰でも複数ID持てるのに度が過ぎると犯罪になるんですかね。

・Yahoo側もまさかの想定外だったんでしょうが。。。
しかし、この親子の根気強さがあれば他のまっとうな商売でもやっていけそうな気もする。

・Tポイント山分けキャンペーンとかでも採取しとったんなら我らへの配分もやたら少なくなってたというわけだ。
我らも被害者です。

・プレゼント企画などのキャンペーンを定期的にやらないと顧客は簡単に離れてしまうからな、それを悪用してコイツらのようにポイント還元や金品等を不正に取得しようとする輩はそれなりにいるだろう。

・>利用規約上、1人の人物が複数個のアカウントを取得することを規制していませんでした。
これがそもそも、アウトだと思うけどね。
過去ヤマダ電機の来店ポイントで稼ぎまくった高校生が同様に犯罪扱いになったけど、そもそものシステム上というか規約上は犯則ではない。

・ヤフオクも業者出品はある程度一定の額での落札になることが多いから複数IDで入札調整しているんだろうなと思う。その辺り対策してないからこういうことはやろうと思ったらできるだろうなという感想。

・逮捕のポイントは、せこい手段で一億稼いだかどうかじゃなくて、
「警察は、実際には商品をやりとりせず、“自作自演”の出品と落札を重ねたとみています」
の部分だろうね。

参照:http://blog.livedoor.jp/gunbird/archives/10160769.html