パスワードを忘れた? アカウント作成
13768839 story
携帯電話

偽装したGPS情報を発信して「来店ポイント」を不正に詐取した男性が逮捕される 28

ストーリー by hylom
さすがに万単位はバレるだろう…… 部門より

イオン九州は独自に「イオン九州アプリ」というAndroid/iOS向けアプリを提供している。このアプリではイオン九州の店舗で起動して「チェックイン」を行うことで同店舗で現金の代わりに利用できる「WAON POINT」2ポイントを提供する機能があるのだが、このアプリを悪用し、偽の位置情報を送信させることで自宅内から「チェックイン」を繰り返して不正にポイントを取得していた北海道石狩市の男性が逮捕された(日経新聞)。

この男性には3月から4月にかけて71の店舗に計約269万回に渡って来店したように装った疑いがあるという。担当者がサーバーのメンテナンス時に還元されるポイントが多いことに気付いて発覚したとのこと。男性は容疑を認めている。

  • by nemui4 (20313) on 2018年11月15日 15時24分 (#3515892) 日記

    それが正しいか正しくないかはどこで判断されるんだろう。

    今回は容易に現金としても使えるポイントを不正取得するために一々書き換えてたんだろうから逮捕されたんだろうね。
    GPS情報をごまかしたのが一回だけだったら見つからないか。

    この男性には3月から4月にかけて71の店舗に計約269万回に渡って来店したように装った疑いがあるという。

    欲をかきすぎて失敗したの巻。
    ポイントだとイオンでしか使えないんだろうし、ばれない範囲でほそぼそやってる人も他に居たりして。

    捜査関係者によると、菅野容疑者は自宅のパソコン45台を使って複数のソフトを組み合わせ、イオン九州アプリを起動して繰り返し偽のGPS情報を送る仕組みを作っていたという。

    45台もPC並べてってプロですね、イオン以外でもがんばってそう。

    ここに返信
    • by jobsa (39063) on 2018年11月15日 15時34分 (#3515899)

      >それが正しいか正しくないかはどこで判断されるんだろう

      論理的に考えて、短時間で移動できる距離じゃない、とかいう判断だろうか。
      いや、今回は数が多すぎるから、そんなこと調べる必要さえないか。
      1店舗3万回以上だから、60日で割ったとしても、毎日各店500回来店したことに。

      それにしても、1人1日1回まで、とか制限なかったのか。
      じゃないと、269万回、とかいうアホな数字にはならんわな。

      • by nemui4 (20313) on 2018年11月15日 15時39分 (#3515902) 日記

        >それにしても、1人1日1回まで、とか制限なかったのか。
        >じゃないと、269万回、とかいうアホな数字にはならんわな。

        ばれない範囲で一日数回訪問をランダムで気長に流すとかですかね。
        店舗ごとに登録したカードでやって、ポイント合算できないなら個別にチマチマ使うとか。
        それだとPCの電気代や通信費にも足りないか。
        もう少し工夫が必要(すんなって)

        • by Anonymous Coward on 2018年11月15日 16時51分 (#3515958)

          https://www.smartwaon.com/pc/#/card/add/detail [smartwaon.com]
          15枚までは合算可能。
          来店ポイントは1アカウントあたり2130円/日貯まる。
          30日で1アカウントあたり63900円貯まるので、合算せずとも十分使えるようになる。

          合算すると紐付けされるから、合算後に重複チェックインできるかどうかは不明。
          できなければカードは合算するたびに使い捨てになる。

          • by nemui4 (20313) on 2018年11月15日 17時02分 (#3515972) 日記

            複数枚カードを作ってやるとしてもあんまり似たようなパターンたくさんあると気が付かれやすそうだし、数枚が限度ですかね。
            カード10枚でやったとして約64k。
            イオン以外に似たようなことができるサイトがたくさんあればバイト的にはやれそうだけど、これだけだと実入りは少ないね。

            欲に駆られてたまたまできてしまったのが目立って捕まったんすかね。

            • by Anonymous Coward

              日経新聞の記事にはないけれど、1000アカウントを駆使していたのだと。

      • > イオン九州は独自に「イオン九州アプリ」
        > 自宅内から「チェックイン」を繰り返して
        > 北海道石狩市の男性が逮捕された

        回数や移動距離でも検出できそう(Ingressとかは移動速度でできることに制限とかあったな)だけど、IPアドレスの所在とGPSの不一致もチェックしたかもしれない。

        > 「WAON POINT」
        >> ポイントだとイオンでしか使えないんだろうし

        現在WAONは各種ICカード対応のサービスで使えるし(むろん範囲はそこまでじゃないが)、POINTはチャージに使えるので、ほぼ現金的に使えると思う。

        --
        M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      Ingressとかポケモンみたいな偽装GPS対策入れてなかったんですね

      お金が絡むんだから、性悪説に立って防御策をとっておくべきなんでしょう

      • by Anonymous Coward on 2018年11月15日 16時24分 (#3515941)

        apkは普通にjavaのソースコードに戻せるから難読化したとしても根気でどうにかなる。
        本体でやるにしても開発者向けの疑似ロケーションは簡単に対策できるはずだが案外対策してない場合は案外多い。root環境なら多分なおさら。
        100万円出せるなら疑似GPS信号くらい出せるかもね。

        • by Anonymous Coward

          最近はソフトウェア無線技術が発展してるので数万円でできる

      • by Anonymous Coward

        性悪説警察です
        人の性は悪なり、その善なるものは偽(ぎ)也
        人間の努力の継続で善足らしめるべきという教えです

      • by Anonymous Coward

        偽造GPSと言ってもなぁ………開発者モードのFakeGPSをチェックしているとか、移動速度チェックだけじゃないの?
        偽GPS発信機ってうちの近くの会社でサポート付で売っているから、それ使えば騙せると思うけど100万ぐらいするんだよね(笑)

      • GPS位置偽装で私電磁的記録不正作出・供用罪が成立させられるなら
        ナイアンテック社が全力出せば不正ユーザを片っ端から豚箱送りにできるんですかね?

      • by Anonymous Coward

        基地局の位置情報とGPSを照らし合わせる対処方法もあるけど
        キャリアと契約やら必要かもしれない

      • by Anonymous Coward

        ポケGOって、人気(ひとけ)が全くないジムを誰かが攻撃してたり、周囲に誰もいないのにレイドで大勢入ってるみたいなのをよく見かけるので、あまり対策は強くなさそう。

        ポケGOの場合、ジムを頻繁に落としていればコインが貯められるから、財務省・税務署がポケコインを通貨だと判定するなら詐取で犯罪だよね。

        逮捕されてもおかしくない。

    • by Anonymous Coward

      もともとGPS情報を使ったアプリなどをデバグする為の機能で外から取り込む設定があった気がするが

      • by Anonymous Coward

        パソコン使ってるとのことなのでNoxなどの標準機能で簡単に位置情報偽装のできるAndroidエミュレーター使っただけじゃないですかね
        その手のアプリは複数立ち上げたりタッチ操作も記録できますので、ついでにマウスやキーボードも操作を記録しておけば楽々かと

  • by Anonymous Coward on 2018年11月15日 15時57分 (#3515920)

    すごい情熱だなぁ
    1億人もいると、こういう人もいるよね
    たぶん、一番稼いでたから逮捕されたけど、他にも何人かおるんやろうな

    ここに返信
  • by Anonymous Coward on 2018年11月15日 16時14分 (#3515931)

    クリックしたら協賛企業から登録団体に寄付金が支払われるという仕組み [gooddo.jp]があった。
    規約上は一人に付き一日に1クリックしか出来ないことになっていたが、入力媒体を変えれば2クリック以上出来たし
    媒体が同じでもクッキーを消すなどすれば複数回のクリックが可能だった。
    ツイッターとも連動してて、サービス自体の宣伝も兼ねた報告投稿が可能だったため、同一アカウントから24時間内に複数回
    投稿があったものを逐一報告して厳正な運営をお願いしていたのだけど、間もなくサービス自体停止してしまった。

    これなども厳密に法を適用すれば逮捕まで行かずとも立件されるべき案件だったのだろうなぁ。

    ここに返信
  • by Anonymous Coward on 2018年11月15日 16時25分 (#3515942)

    すごいやん!
    そんなサービスあったとは!

    しかし、すごいな
    九州のサービスなのに北海道の人か!

    ここに返信
  • by Anonymous Coward on 2018年11月16日 14時48分 (#3516495)

    土日限定、店舗の端末にWAONカードをタッチで来店ポイントというのなら九州以外でもあったのだけれども。いつのまにかなくなってるなあ。

    ここに返信
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...