君はOsushiを食べたか、仮想通貨は混迷が続く：セキュリティクラスタ まとめのまとめ 2018年2月版（2/3 ページ）

2018年2月のセキュリティクラスタは「サイバーセキュリティ月間」「Osushi」「仮想通貨」に話題が集まりました。サイバーセキュリティ月間では「SECCON 2017 決勝大会」が注目を集めた一方、セキュリティ上の突っ込み所がたくさんあったWebサービスOsushiがサービス開始当日に停止してしまいました。仮想通貨XEMでは、ホワイトハッカーがタグを付け、盗難分の流れが分かるようになったものの、徐々に資金洗浄されているようです。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

投げ銭の代わりに「すしアイコン」を投げるサービスがスタート、大量の脆弱性により即日クローズ

　ネットで少額の投げ銭代わりに「すしアイコン」を送るサービスOsushiが2月1日に始まりました。

　これまでも似たようなサービスは幾つかあったため、早速使ってみたユーザーが、問題点をいろいろとツイート。即座にTwitterユーザーのおもちゃになってしまいます。

　ユーザーが見つけた危険な仕様は以下の通りです。

• 同じユーザー名で二重に登録できることから、前のユーザーの情報を後のユーザーが乗っ取り可能
• セッションIDが予測可能なため、これを使ってユーザーの乗っ取りができる
• ユーザー名に特殊文字を含めると動かなくなる
• ユーザーの同意なしにクレジットカード情報を記憶する
• sourcemapがアクセスできる場所にあり、クライアントのソースコードが漏れていた
• 退会できない

　さらに仮想のおすしとはいえ、クレジットカードを使って現金を送金できるサービスです。貸金業法など法律の面でも指摘が相次ぎました。資金移動業者としての登録が必要なサービス内容だったようです。

　このように多数の指摘があったことで、サービスを開始したその日のうちに閉鎖してしまいました。入金したお金はそのまま返還されたようです。

　突然大盛り上がりを見せたこのサービス、脆弱（ぜいじゃく）性がなければこれほどはやることはなかったという人や、以前Webサービスをたくさん立ち上げて炎上させることで有名になった「えがちゃん」を思い出している人もいました。

　その後、Osushiはサービス内容を一部変更し、3月7日にサービスを再開しました。