連載
君はOsushiを食べたか、仮想通貨は混迷が続く:セキュリティクラスタ まとめのまとめ 2018年2月版(2/3 ページ)
2018年2月のセキュリティクラスタは「サイバーセキュリティ月間」「Osushi」「仮想通貨」に話題が集まりました。サイバーセキュリティ月間では「SECCON 2017 決勝大会」が注目を集めた一方、セキュリティ上の突っ込み所がたくさんあったWebサービスOsushiがサービス開始当日に停止してしまいました。仮想通貨XEMでは、ホワイトハッカーがタグを付け、盗難分の流れが分かるようになったものの、徐々に資金洗浄されているようです。
投げ銭の代わりに「すしアイコン」を投げるサービスがスタート、大量の脆弱性により即日クローズ
ネットで少額の投げ銭代わりに「すしアイコン」を送るサービスOsushiが2月1日に始まりました。
これまでも似たようなサービスは幾つかあったため、早速使ってみたユーザーが、問題点をいろいろとツイート。即座にTwitterユーザーのおもちゃになってしまいます。
ユーザーが見つけた危険な仕様は以下の通りです。
- 同じユーザー名で二重に登録できることから、前のユーザーの情報を後のユーザーが乗っ取り可能
- セッションIDが予測可能なため、これを使ってユーザーの乗っ取りができる
- ユーザー名に特殊文字を含めると動かなくなる
- ユーザーの同意なしにクレジットカード情報を記憶する
- sourcemapがアクセスできる場所にあり、クライアントのソースコードが漏れていた
- 退会できない
さらに仮想のおすしとはいえ、クレジットカードを使って現金を送金できるサービスです。貸金業法など法律の面でも指摘が相次ぎました。資金移動業者としての登録が必要なサービス内容だったようです。
このように多数の指摘があったことで、サービスを開始したその日のうちに閉鎖してしまいました。入金したお金はそのまま返還されたようです。
突然大盛り上がりを見せたこのサービス、脆弱(ぜいじゃく)性がなければこれほどはやることはなかったという人や、以前Webサービスをたくさん立ち上げて炎上させることで有名になった「えがちゃん」を思い出している人もいました。
その後、Osushiはサービス内容を一部変更し、3月7日にサービスを再開しました。
Copyright © ITmedia, Inc. All Rights Reserved.