パスワードを忘れた? アカウント作成
7750 story

ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴 153

ストーリー by Oliver
策士、策に溺れる 部門より

sillywalk曰く、"ネット通販のシステム開発に携わったエンジニアが開発過程で不正なプログラムを仕掛けたため、不正アクセス禁止法違反で起訴され、さらに電子計算機使用詐欺の疑いで再逮捕されました。(読売の記事)
警察の調べによると、このエンジニアは本・CD専門のネット販売システムの開発に派遣社員として関わり、購入した商品価格の約3%が還元ポイントに換算される仕組みを悪用。エンジニア自身のポイントが1万円分を下回ると自動的に1万9千円分まではね上がる不正プログラムを、開発過程で密かに組み込んでいたとのこと。これにより約300回にわたって自宅に商品を取り寄せたため、被害総額は約200万円相当に上ったそうです。
さらにこのエンジニアはパスワードなどを知る通販会社のコンピューターに複数回侵入し、商品の発注記録を削除する証拠隠滅を図っていたものの、数か月前、商品を届けに来た配達員が同社に連絡を取った際、発注記録がないことから不正アクセスが発覚。ついに逮捕されました。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by lunatic_sparc (15416) on 2004年03月16日 9時38分 (#515093)
    この手のポイントって本来は、簿記で言うところの「負債」に相当するはずですよね。

    この、ポイント詐欺をやられ続けている限り見つからなかった会社が、どんな会計処理としてたのか気になるなぁ。

    それともポイントの残高とかちゃんと管理してなくて、会計処理上販促費とかで賄っちゃっていたんだろうか。

    だとすれば発行ポイント残高は隠れ負債となって経営方針を誤る初めの一歩になりそうな気がする。日本ではこの手の負債って株主に開示する必要はなかったりするんだろうか。
  • 素朴な疑問 (スコア:2, 興味深い)

    by Anonymous Coward on 2004年03月15日 16時33分 (#514648)
    こういうのもバックドアって言うんでしょうか?>識者の方々
  • この手の問題の論点は、「業務担当者」と「開発者」、さらに「管理者」を分けて考える必要があると思っています。
    個人情報の流出などは「業務担当者」側が原因となっていることが多く、「監視」の強化で防止できる可能性があります。
    対して今回のような「開発者」の引き起こす問題は、対策を考えるのも難しいです。

    実際にプログラムに手を入れる「開発者」や、インフラの面倒を見ている「管理者」側の人間なら、この手の不正は結構簡単にできるところが多いでしょう。
    こういった事例が明るみに出ることによって、「内部の人間」を信用することができなくなったら、開発者・管理者にとっては住みにくい世の中になるおそれがあります。
    この記事を読んだ「偉い人」たちの反応が恐いですよ、ホントに。


    # 同じネタでタレコミしたんですけど、蹴られました。
    # 自分なりの意見を付けたのが余計だったのだろうか…
    • by Anonymous Coward on 2004年03月15日 17時55分 (#514705)
      防ぐという意味では、できないかもしれないですけど、仕事頼むときって契約書にそういったことはできないような条項ってつけませんかね?
      そして、従業員とか派遣を雇う時は、雇用主側が、個々人に宣誓書みたいなものを書かせたりすると思います。
      そういったもので、裁判とかで損害賠償とかで訴えることができるので抑止力になるのではないのでしょうか?
      どちらにしても仕掛けたものがバレないと出てこないのでしょうし、誰がやったのかを追跡できるようにしておかなければ意味がないのかもしれませんが。

      このようなことをいっていたら、ルート権限もっている人なんてなんでもあり状態になってしまいますね。

      結局、ある程度人を信用しないと仕事なんてできないし、秘密保持とかセキュリティなんて保てないです。

      多分、この辺のあたりは人の管理の話ということで、会社のお金の使い込みとか情報の持ち出し・売買と同じ次元の議論になるような気がします。
      親コメント

      • セコい真似して小遣い銭稼いだところで、発覚すればペナルティを受ける羽目になる
      • そして不正はそのうち発覚する(はず)

      ということを開発者が理解すれば充分ではないでしょうか。

      まあ、そういうのを理解できない人が不正をして、そのあおりで正直者が肩身の狭い思いをするというのはたまらんですなぁ。

      以下、おまけ:

      その1
      今回の犯人は3~4年かけて200万円くらい騙し取って一生を棒にふったわけですよね。割に合わないなぁ(笑 どうせならもう4~5桁くらい大きな不正をしましょうよ(無理

      その2
      配送業者が問い合わせをして発注記録がなかったことから不正が発覚した、ということだけど、犯人は何年も前から不正を繰り返していたわけですよね。 ということは、この会社の在庫管理とかどうなっていたんだろうと心配してしまいます。他にも不正があったとしてもわからない、と。
      --
      ---- 末は社長か懲戒免職 なかむらまさよし
      親コメント
  • by Anonymous Coward on 2004年03月15日 21時45分 (#514853)
    だいぶ前の話だけど、自分が管理しているシステムにバックドアを仕掛けて、いつでもrootになれるようにしておいたことがありますね。なぜかと言うと、そうしておかないと、イザというとき困ることになるのは目に見えていたから。他の開発者はこちらが教えるまで気が付かなかったけど、あるとないとでは大きな違い、という事態が実際に何回かあった。

    でも、それは自分のやったことや、引き起こした結果に自分で責任を持つ、ということができる範囲を知っていてのみ、行うことができるんだけど、普通は人間ってみんな弱いもんだから、制度としてお金にかかわることには、お金でちゃんと責任がとれるようにしないといけない。

    具体的にはこのソフトウエア労働者の賃金を、ほんのちょっと高くしておくだけで防げたかも知れない、ということだと思うよ。昔、銀行員の給与は他より高かったけど、それは他人様のお金に手を出す、ということを防ぐため、と言われた。同じことかと思う。

    ただ、誤解しないでほしいのは、潤沢に給与を出せ、という意味ではなくて、他の人と比べて、適当に高い給与にしろ、ということ。不正を行う気にならないくらいに、ということ。全部とは言わないが、そうすればこういうったことはかなり高い確率で防げると思うよ。

    自分の仕事に誇りを持たせ、世の中の普通よりちょっといい、と思える給与をもらっていて、自分の仕事は世間にちゃんと認められている、と思っていれば、こんなことは通常はしようとは思わないものだもの。

    銀行員だってシステム開発者だって、今はコスト、コスト、と言われ続けているから、給与も不当に低かったりする。でも、それは信用とか情報とかお金を扱うすべての会社で、その会社のモラル低下と、それに伴うこういった「命取り」的事故を増やしていく原因だと思うよ。
    • by Eyu (13282) on 2004年03月15日 22時17分 (#514865)
      衣食足れば即ち栄辱を知る、だね。

      あとは、不正を行わせるシステムってのも無くせられれば、汚職はとっても減らせると思うんだけどねぇ。
      親コメント
    • なんで政治家っていっぱいお金もらってるのに国民の血税をもっと自分のにしようとするんだろう?
      --
      1を聞いて0を知れ!
      親コメント
      • by ZooMD (16314) on 2004年03月16日 0時29分 (#514942) 日記
        >なんで政治家っていっぱいお金もらってるのに国民の血税をもっと自分のにしようとするんだろう?

        まさに「国民の血税」だからじゃないかなあ。
        他人の物だと思うと欲しくなる、って人たちなんですよ、きっと。

        # あるいは「それが自分の物じゃないのがイヤ」とか。
        --
        *-----------------------*
        -- ウソ八百検索エンジン --
        親コメント
  • by udon64bit (20085) on 2004年03月15日 16時41分 (#514650) 日記
    派遣ではありませんが、顧客先のシステムを手がけるという点
    では、ぞっとした方も多いのでわ。
    私が今係わっているシステムにも、ポイント等ではありませんが、
    自分を有利にしようと思えばできる環境があります。
    F/Wなんか管理してるとモロですよね。
    何をしたかの度合いにもよるのかもしれませんが、明日は我が身と。。。

    #まじめに仕事するぞ~。。。
    #。。。しません。。
    • by Coo-Neruasobu (17846) on 2004年03月15日 16時51分 (#514654)
      ぞっとしたのは運営会社の方では。

      人手不足から派遣をかき集めている所もありますが、大丈夫なのでしょうか。
      逆に一人辺りの担当パートが狭まると危険性も低下するのかも知れませんが、、どうなのかな。
      親コメント
      • by udon64bit (20085) on 2004年03月15日 17時18分 (#514670) 日記
        ファミレスやファーストフード店と同じですよね。
        管理者だけ自社の人間を置いて、あとは派遣や関係会社など
        の人間を使う。と。
        コストを削減するのが目的でしょうが、派遣の人たちはずーっと
        そこにいるわけではないので、質は落ちますよね。
        セキュリティの面もしかりかと。

        #そういえばマ○ドのハンバーグにミミズがどうのというウワサ
        #があったけど、あれはワームと呼ばないのか。。?
        親コメント
    • by Ryo.F (3896) on 2004年03月15日 17時06分 (#514667) 日記
      > 派遣ではありませんが、顧客先のシステムを手がけるという点
      > では、ぞっとした方も多いのでわ。

      「でわ」は「では」が正しいと思いますが、それはともかく。

      そういうことを未然に防ぐためにも、コードレビューがあるんだと思いますが、そういう面倒なことはやらないのが普通なんでしょうか?ソフトウェア開発部門を離れて長いので最近の事情はよくわからんのですが。

      > F/Wなんか管理してるとモロですよね。
      > 何をしたかの度合いにもよるのかもしれませんが、明日は我が身と。。。

      「明日は我が身」って... あなた、何かやらかすつもりですか(笑)。
      親コメント
      • Re:明日は我が身? (スコア:3, おもしろおかしい)

        by Anonymous Coward on 2004年03月15日 17時33分 (#514682)
        きちんとコードレビューできるくらいの開発期間をください。
        設計終わったら仕様変更しないでください。
        設計終わるまでコード書かないでください。
        開発開始時に面子をそろえてください。
        頭数揃える為に有象無象を連れてこないでください。
        開発終わってないのに面子を引き抜かないでください。

        # 所詮ACの戯言・・・
        親コメント
        • by Anonymous Coward on 2004年03月15日 22時22分 (#514869)
          それはシステム開発の言い分。
          クライアント側としては。

          システムの異常をすぐに知らせるシステムが何故無いのか。
          どうしてそうしたことを要求すると、すぐにオプションと言っては更に高い金を払わなければならんのか。
          もっと簡単で安く出来て、更にシステムの異常に関して検知出来るものを要求したいです。

          自分の会社で勝手やられて、更に金を払わされるのって腹立つよなあ。
          親コメント
          • by baka_gahaku (4542) on 2004年03月15日 23時21分 (#514902) 日記
            なぜ高いお金を要求されるのか、ちゃんと聞いてみましたか?
            そうすればわかると思いますが、たぶん、そのために誰かが働かなきゃいけないからじゃないですか?
            まさか、他人をただで働かせようとは思っていませんよね?

            そして、もっともこのコメントが的をはずしているように思うのは、
            今回の件では、システムに異常が無く命令されたとおりに動いていたから
            なかなか見つからなかった、と言うことで、もし、システムの異常が検知
            できたとしても、意味がなかったんじゃないか、と言うことです。

            今回の件に限った意見じゃないんだ、と言うのであれば、私の深読みのしすぎですので、
            申し訳ありません、見逃してください。
            でも、完全なオフトピックですよ。
            親コメント
      • by udon64bit (20085) on 2004年03月15日 17時24分 (#514674) 日記
        > そういうことを未然に防ぐためにも、コードレビューがあるんだと思いますが、そういう面倒なことはやらないのが普通なんでしょうか?

        やると思いますよ。
        ただ、運用の面から見ると、途中でどうとでもできるという場合も
        多々あります。
        私は一旦本番で稼動させたシステムにあったバグを、こっそり直した
        ことがあります。。。

        > 「明日は我が身」って... あなた、何かやらかすつもりですか(笑)。

        いやいや。。
        証拠隠滅するなら今のうちかなと。。。

        #席に座ってキーボードひっぱたいてれば、大抵の人は
        #仕事してると思いますよねぇ。。。
        親コメント
        • by Ryo.F (3896) on 2004年03月15日 17時49分 (#514699) 日記
          > > 「明日は我が身」って... あなた、何かやらかすつもりですか(笑)。
          > いやいや。。
          > 証拠隠滅するなら今のうちかなと。。。

          つまり、やらかしたんですね(笑)。しかもIDとは大胆な(笑)。
          親コメント
    • by greentea (17971) on 2004年03月15日 23時54分 (#514917) 日記
      ぞっとしている人がプログラマ or SEでないことを願いたい。
      --
      1を聞いて0を知れ!
      親コメント
  • システム云々の前に、隣に座ってる信用のおけない人を
    どう使うかが課題になるのね。SPパック当てるだけじゃ
    駄目ってのが、わかったけど。派遣社員使わないので、
    この金額でといっても見積もりOKもらえないですよねぇ。
    • by Anonymous Coward on 2004年03月15日 18時00分 (#514709)
      詐欺師に一番求められる技能は[信用されること]ですよ。
      信用のおけるおけない、という判断が介在しないようにしなきゃいけない。

      手口がシステム寄りだっただけで、犯罪の種類としては詐欺そのものでしょう、これ。
      コードのせいにする問題じゃなさげ。

      # 会計処理を外部委託したら改竄された、みたいな
      親コメント
  • by patagon (1453) on 2004年03月15日 17時55分 (#514706) 日記
    > 自分のポイントが1万円分を下回ると
    ・ってプログラム内部に特定の個人IDとか会員IDを判別する仕組みを
    埋め込んだってこと?
    これだとソース見ない限りわからないかもしれないけど、ソース見たら
    すぐ分かっちゃうよね。

    ・テストでは見つからなかったの?
    ひょっとしてその逮捕されたエンジニアがテストも行ったの?
    • Re:自分のポイント (スコア:2, すばらしい洞察)

      by alp (1425) on 2004年03月15日 19時29分 (#514776) ホームページ 日記
      ソース見れば分かるなんてのは、爆笑というか何というか、ナイーブですな。ソースを難読化するツールなんて昔っから山ほどある。一見動いていて、見ても何がなんだか分からないものをリファクタリングする開発者がどれだけいるか、ってかんがえると、この意見全体やっぱり失笑もの。テスト項目で、想定もしていない副作用がある場合までカバーできていると断言できる人は絶対に技術者ではない。
      親コメント
      • by patagon (1453) on 2004年03月15日 20時40分 (#514810) 日記
        > この意見全体やっぱり失笑もの。
        納品物としてソースまで見ることはないのがほとんどと思われるけど、
        特定のIDをなんかするようなヘボなコードは入れないと思ったんですよ。
        万が一ソースを見られたらその時はそのIDをもとに誰かってわかるでしょう。
        だから特定のIDを区別するようなコーディングをソース中に埋め込まなくても
        特定のIDの時はなんか特別の処理をしてくれるような仕組を埋め込む方法が
        あるのか知りたかったんですけどね。
        親コメント
        • 仮の話 (スコア:2, 興味深い)

          by dreambug (11354) on 2004年03月15日 21時17分 (#514835)
          if (userrec->userid == TESTUID1) {
                CheckIdRecord(userrec); /* DATA Check */
          }

          なんて書き方して肝心のモジュールはライブラリにぶち込んで、
          ソースは消してしまう。ってやると、
          疑ってかからない限り普通にソース読む人は発見できないんじゃないかな?
          非標準ライブラリのソースが全部あるかどうか確認とか、
          ライブラリ削除して再構築できるかチェックなんて普通してませんよね?

          ID判定そのものをライブラリに隠蔽したほうがいいのか
              checkIdRecord(userrec); /* DATA Check */
          これじゃココでの説明が上手くいかない
          親コメント
    • by seeds (20964) on 2004年03月15日 22時47分 (#514883)
      『ソースを検査される恐れがナイ』。
      『もし検査されてもソースを追える人材がイナイ』
      『テストでバレる心配がナイ』。
      『テストも自分がやらされている』……。

      等の自信/確信が有ったからこそそのしくみを組み込んだのではないでしょうか。まあ、簡単にバレるような環境ならそんな危険は冒さないでしょうね。たぶん

      --
      /* Seeds */
      親コメント
    • > ソース見たらすぐ分かっちゃうよね。

      納品物のソースをいちいちチェックするなんてのは非現実的ですから、見つかるとしたらソースレビューのタイミングですね。
      開発者自身がレビューに出すソースをすりかえたりできるようなら、それもムダ。

      > ・テストでは見つからなかったの?

      そりゃ無理でしょう。
      その特別なIDを使わない限り発生しない現象なんだし。
      親コメント
      • by Anonymous Coward on 2004年03月15日 21時47分 (#514856)
        XPだったらこういうのは全員共謀しない限り不可能なのでは?
        全員が全部のコードに手を入れざるをえない体制なわけですから、
        全員で共謀しない限り説明不可能なコードはまぎれ込めない。
        親コメント
    • by shigezo (2455) on 2004年03月15日 18時07分 (#514719) 日記
      >てプログラム内部に特定の個人IDとか会員IDを判別する仕組みを
      埋め込んだってこと?

       さすがにそこまであからさまな手段はとらなかったんではないかなぁ?
       ユーザ情報のテーブルに意味不明のカラムを複数用意しておいて
       その部分を難解なロジックで参照して・・・云々とか・・

      >・テストでは見つからなかったの?
       表面的な動作テストやシステムテストでは見つかり難いでしょうねぇ

       ま、なんにしてもソースを見ていないに1票。

       重蔵。
      親コメント
  • by 3110 (10857) on 2004年03月15日 23時31分 (#514910)
    警察が捜査情報を漏らしたり、公務員が公金横領したりするのと
    同じですね。
    自分の立場を不当に利用したということです。

    警察や公務員に「倫理観はないのか」などという話がでてきますが、
    これだけ情報インフラが社会に浸透してきている中で、
    なぜ情報系エンジニアにはそういう話が出てこないのでしょう・・・

    #もしかして、出てる?

    やはり、このエンジニアは二度と業界に戻らせてはいけないと
    思います。

    近い将来、「SE倫理委員会」とかできたりしたりして・・・
    • by sic666 (20316) on 2004年03月16日 0時33分 (#514948) 日記
      > やはり、このエンジニアは二度と業界に戻らせてはいけないと
      > 思います。

      飲食業に就いたらつまみ食いするだろうし、コンビニでバイトしたら
      廃棄分を持って帰ったりするだろうからそもそも社会復帰させない方が
      いいんじゃないか。
      親コメント
    • by TxG (7966) on 2004年03月16日 0時53分 (#514961)
      一般に技術者の倫理に関しては大学などで教育も徐々に始まっているようです。ちょっとぐぐれば出てきます。

      でもそれは、こういうあからさまな犯罪を対象にしたものじゃないです。
      この事件で問題になる「倫理」は、技術者以前に人としての最低レベルのものだと思います。
      親コメント
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...