  |
はてなキーワード: 不正とは
少なくともコイツよりかは正しい
・金融機関のキャッシュカードを他人に不正に譲り渡し、振り込め詐欺に悪用された。(犯罪収益移転防止法違反の疑い)
・「寸借詐欺」大田区在住の独居高齢者(80代)の方から借金。「借金をしたこと」は誰にも言わないように、荻野から口止めをされた。調査をしたところ、他にも複数借金をしていることが判明。
・コロナ禍、40度の熱があるのに自己判断で通常の活動を行っていた。
・殺害予告を受け、ベルトホルダーにてナイフを携帯(銃刀法違反)
・委員長を務めていた東京JC大田区委員会のお金の使い込みが発覚。
・名誉毀損で訴えられ、謝罪文掲載と20万円の支払いを命じられた。
・妻の裁判にあたりカンパを集め、月一でカンパの額を公開すると言っていたのに、ずっと公開されず。
・金融機関のキャッシュカードを他人に不正に譲り渡し、振り込め詐欺に悪用された。(犯罪収益移転防止法違反の疑い)
・「寸借詐欺」大田区在住の独居高齢者(80代)の方から借金。「借金をしたこと」は誰にも言わないように、荻野から口止めをされた。調査をしたところ、他にも複数借金をしていることが判明。
・コロナ禍、40度の熱があるのに自己判断で通常の活動を行っていた。
・殺害予告を受け、ベルトホルダーにてナイフを携帯(銃刀法違反)
・委員長を務めていた東京JC大田区委員会のお金の使い込みが発覚。
・名誉毀損で訴えられ、謝罪文掲載と20万円の支払いを命じられた。
・妻の裁判にあたりカンパを集め、月一でカンパの額を公開すると言っていたのに、ずっと公開されず。
Xやメディアで目立つ文学的・批判理論寄りの事例をピックアップ。統計・因果推論重視の実証派とは対照的に、「構造批判」「ナラティブ」「弱者発見」が優先されやすいパターンを示します。
「あなたたちが『がんばったら報われる』と思えることそのものが、あなたがたの努力の成果ではなく、環境のおかげだったこと忘れないようにしてください。」 「世の中には、がんばっても報われないひと、がんばろうにもがんばれないひと、がんばりすぎて心と体をこわしたひとたちがいます。」 (全文は東大公式HP掲載。医大不正入試を挙げ、女子学生の入りにくさを統計で指摘しつつ、新入生に「恵まれた環境のおかげ」と諭す内容)
「家事は不払い労働」「愛の行為だからお金に換算できない」で本当に正しいのか? → 断固として「不払い労働」と呼ぶ。 (1980年代から一貫。家父長制と資本制の搾取構造として位置づけ)
努力や個人の責任を「環境のせい」に還元し、弱者発見を強調。統計(医大合格率1.2倍)を挙げるが、解釈は「構造的女性抑圧」一色で、男性の努力や逆差別(例:理3類の微妙な数字)はスルー。家事「不払い労働」論も、男性の家事・育児負担増やDV被害男性のデータは無視しがちでダブスタ。ポストモダン的「客観性への懐疑」を体現し、「がんばっても報われない社会」を前提のナラティブ優先志向。
高市早苗氏について:「安倍さんが女装して現れた」「言っていることは安倍さんそのものだ」「女性がどういう歴史を歩んできて、どんな目に遭って今まで生きてきて、政治がそれに対して何をしないといけないのか一度も考えたことないのだと思う」「だから、中は男でしょ。安倍さんでしょ」 (会場爆笑。TBS「サンデーモーニング」出演者としても知られる)
通常なら「女性政治家への性差別」「属性攻撃」「トランスフォビア」と猛批判する側が、自ら女性議員を「中身は男」と貶下。女性首相誕生を「恥ずかしい」と選別し、政敵のイデオロギーを「女装」喩えで攻撃。フェミニストの権威を盾に、都合の悪い女性を「名誉男性」扱いする典型。古市批判の「文学的」路線を超えた、感情的・属性依存のイデオロギー亡者ぶりが露呈。
「女子枠に反対するのは弱者男性のワガママ」「ミソジニーとルサンチマンに溢れた快哉を叫ぶコメント」 (UNESCO報告書を巡る議論で、反対論を「弱者男性のワガママ」と一蹴)
女子枠(ポジティブアクション)を「構造的抑圧是正」と位置づけ、反対意見を即「ミソジニー」「弱者男性のワガママ」と人格攻撃。教育社会学者としてデータ(格差統計)を使うはずが、相手の動機を悪意で決めつけ、議論を封殺。 **弱者男性の「ワガママ」を問題視しながら、女性枠優先の「ワガママ」はスルーする二重基準。
「なんで、いま、みんな日本学術会議に関心を持ってるの? 新政権のツッコミどころだからというだけでしょう」 (菅政権批判の文脈で投稿。学問の自由より「政権叩き」の文脈を強調)
学術会議を「専門家」の聖域として守り、外部(政権)批判を「新政権のツッコミどころ」と一蹴。自分たちの権威を盾に、任命拒否自体を問題視しつつ「本当の危機は大学改革」とずらす。ポピュリズムを非難しながら、左派迎合的なナラティブを優先。実証派なら「学術会議の実質的影響力や再現性問題」をデータで検証するはずが、イデオロギー優先。
「ネット右翼の数はネット利用者の1%未満」「愉快犯」「言説の広がりは深刻」。 近年も『日本社会のしくみ』などで「大企業型・地元型」の暗黙ルールや二重構造を批判し、右傾化ではなく「左が欠けた分極化」と分析。
日本社会の「暗黙のルール」やナショナリズムを構造的に解体するが、自陣営(左派)の歴史解釈は絶対化。ネット右翼を「少数愉快犯」と矮小化しつつ、反対意見の広がりを「深刻」と警戒。データ(調査比率)を使うが、解釈は左翼迎合で「日本人原罪論」の延長。
「援助交際を主体的選択」「まったり革命」と肯定的論じる(後に一部修正)。
安倍銃撃事件で統一教会問題を「世直しとして機能した」「安倍の死で瓶の蓋が取れた」と発言。
初期はサブカル肯定的だったが、近年は統一教会・安倍批判で「構造的問題」を強調。事件を「自力救済」の文脈に置き、社会包摂不足を政権のせいにする。データ(非正規雇用拡大)を使いつつ、左翼迎合のイデオロギー優先。
ダブスタ・レッテル貼りが特に目立ち(田中・本田)、権威を盾にした体制批判(西田・上野)が学問の看板を借りて活動家に寄りやすい。Xで目立つloud minority。実証派(計量社会学)は論文で勝負してるから静かだが、社会学を「科学」に戻すにはこうしたアホ発言の構造的問題を暴くしかない。
QRオーダー系のサービスについて、いくつか脆弱性が指摘されている記事を読んだ。
もちろん、スタッフ呼び出しAPIが本当に誰でも叩ける状態なら、それは直した方がいいと思う。店舗オペレーションを乱せるし、いたずらや業務妨害につながる可能性はある。
ただ、記事全体としては「脆弱性」と呼んでいるものの中に、実際にはそこまで問題ではなさそうなものがかなり混ざっているように感じた。
まず、Origin や Referer を検証していないことについて。
これは主に、ブラウザ経由で第三者のユーザーを勝手に操作させる CSRF 対策として意味があるものだと思う。
でも、APIを curl や自作クライアントから叩けること自体を防ぐものではない。Origin / Referer を見たところで、ブラウザ外のクライアントからのアクセスは普通に偽装できる。
なので、「Origin / Referer を検証していないから非公式クライアントから叩ける」という話にするのは、ちょっと論点がずれているように見える。
問題にすべきなのは Origin ではなく、そのAPIに認証・認可が必要なのかどうかだと思う。
ここは問題だと思う。
店舗IDやテーブル番号のような情報だけでスタッフ呼び出しができるなら、いたずらはできてしまう。これは直した方がいい。
ただし、これも「金銭被害が出る」とか「個人情報が漏れる」とか「注文を改ざんできる」といった話とは別だ。
影響としては、主に店舗オペレーションへの迷惑、つまり業務妨害寄りのリスクだと思う。
だから、重大脆弱性というよりは、認証・レート制限・QRセッションとの紐付け・異常検知あたりで潰すべき設計不備、という評価が近いのではないか。
これも、そこまで大きな問題には見えない。
メニュー名、商品ID、価格、カテゴリのような情報が取れるという話なら、それは基本的に来店客に表示される情報だ。
もちろん、未公開メニューや内部用フラグ、在庫、原価、店舗運用上の非公開情報まで取れるなら話は変わる。
でも、単にメニューのマスターが取れるだけなら、それはセキュリティというよりスクレイピング対策や負荷対策の話に近い。
公開される前提の情報をAPIでまとめて取得できることを、深刻な情報漏えいのように扱うのは少し違和感がある。
これも「そういう設計なのでは」と思う。
QRオーダーは、そもそもログインなしで使えることに価値がある。客にアカウント登録させず、席にあるQRを読んだ人をその席の利用者として扱う。これはUX上かなり自然な設計だ。
この場合、QRコードやURLは一種の bearer token になる。
もちろん、そのURLが漏れたら困る。だから、推測困難であること、一定時間で失効すること、会計後に無効化されること、注文時に追加の状態検証があることは大事だ。
でも、「QRを知っている人に権限がある」という設計自体を脆弱性と呼ぶのは乱暴だと思う。
もしそれを否定するなら、QRオーダーというUX自体がかなり成立しにくくなる。
どんなWebサービスでも、公開API、ログイン後API、管理API、参照API、更新APIは混在する。
メニュー検索のような公開に近いAPIが非保護で、注文や決済や管理機能が保護されているなら、それは普通の設計だと思う。
「保護APIと非保護APIが混在している」というだけでは、脆弱性の説明としては弱い。
今回の記事で一番気になったのは、非公式クライアントから叩けること、Origin / Referer の話、CSRF の話、スクレイピングの話、スタッフ呼び出しの話が、かなり雑に一つの「脆弱性」としてまとめられているように見える点だ。
もちろん、改善した方がいい点はある。
特にスタッフ呼び出しAPIは、いたずらを防ぐために何らかの制限を入れた方がいいと思う。
ただ、それ以外については、
が混ざっているように感じる。
でも、「重大な脆弱性です」という話にするなら、実際に何が守られるべき情報で、誰が、どの権限で、何を不正にできるのかをもう少し分けて考える必要があると思う。
少なくとも、自分には「スタッフ呼び出しAPIは直した方がいい。ただし、それ以外はそこまで大きな問題には見えない」というのが率直な感想だった。
児ポ法改正の攻防を、警察・弁護士・研究者から取材した。その経験から断言する。
2010年と今では、CSAM捜査の精度が、構造的に変わっている。
英国の「VTuber逮捕」拡散の件、ここで一度きちんと書いておく。
何が変わったか。
NCMEC(米国・行方不明児童搾取児童センター)、IWF(英国インターネット監視財団)、Project VIC等が運用する既知CSAM画像ハッシュデータベースは、2010年代を通じて飛躍的に拡充された。
アップロードや所持の段階で、実在児童の被害画像が機械的に特定される。
FATF勧告、Visa/Mastercardのアクワイアラー監督、決済プラットフォームのコンプライアンス強化により、CSAM販売・購入の金銭的痕跡の追跡精度が劇的に上がった。
Apple、Google、Meta、Microsoftがクラウド・送信トラフィックでハッシュ照合を実行する。
実在児童の被害画像の検出から始まり、その捜査の過程で、被疑者のデバイス全体が押収・解析される結果として、漫画やイラストも証拠物件に含まれる。
だが2010年頃に比べれば、「漫画一枚で恣意的に逮捕」という事案の発生確率は、構造的に大きく下がっている。
なぜなら、警察が大量のリソースを投じて家宅捜索・デバイス押収・国際法務手続きを動かすには、事前に蓄積された具体的・客観的な手がかりが必要だからだ。
匿名通報や個人の好みだけでは、現代の警察は動かない。動けない。
リソース不足、手続き厳格化、人権訴訟リスクが、それを許さない。
私が2011年頃に取材したスウェーデンのシモン・ルンドストロム事件——
漫画翻訳家が、元妻の「彼はペドファイルだ」という通報を受けたスウェーデン警察に家宅捜索され
実在児童被害の証拠が一切出なかったにもかかわらず、所持していた日本の漫画を理由に起訴・有罪判決を受けた。
最終的に最高裁で無罪になったが、スウェーデン司法の汚点として記録される事案だ。
当時、私はこの事件を「警察の捜査着手判断が甘かった」「個人的怨恨による通報を裏取りなく受理した」と批判的に取材した。
この種の冤罪パターンは、2010年代前半までは確かに存在した。
(a) 実在児童被害コンテンツの捜査の過程で、漫画類が同時に発見・押収された(「漫画が逮捕の理由」ではなく、「漫画も押収物に含まれていた」)
(b) 商業的・継続的な大量制作販売活動の全体が捜査対象となり、その内訳に漫画類が含まれていた
(c) 拡散ナラティブそのものが、当事者または周辺アクターによって意図的に「漫画一枚で逮捕」と縮減されている
Coroners and Justice Act 2009 Section 62の運用も同様だ。
過去判例(2011年・約3,000点、2018年・約2,000点以上、2024年・大量)を見れば
だから、海外発「漫画が理由で逮捕」のニュースは、まず疑うのが現代のジャーナリスティックな基本動作だ。
これが認知の歪みだ。
そして、認知の歪みを構造的に増幅する装置が、今回の英国VTuber事件で複数稼働した。
第二の波:元都議のKら拡散者による「英国規制ディストピア」フレームの増幅(5月1日)
第三の波:「友人」を名乗るアカウントによる保釈書類公開(5月3日)。
第四の波:Kiwi Farms系コミュニティによる「実は本人がペドファイル系作品の長年の支援者だった」という対抗ナラティブ(5月5日)
にもかかわらず、それぞれの波が押し寄せるたびに、私たちは「これで真実がわかった」と錯覚する。
ここで、今回の拡散の主役の一人について明確に書いておく。
これは私の主観的評価ではない。事実関係としてそう判定できる根拠がある。
1:今回の件で、信憑性が確定していない段階の話を「事実」として拡散した。
一次情報は本人の自己申告のみで、英国警察の公式声明も主流メディアの裏取り報道もなかった。
2:作品実態(toddlercon=幼児的キャラのポルノを継続販売していた事実)への言及を完全に欠落させ「自分が描いたイラストを所持していたという理由で」と中立化して提示した。
3:これが最も重要だが、過去、不正確な情報を流布している点を指摘したフォロワーをブロックすることで対応してきた。
私自身、複数回にわたって彼の発信の事実誤認を指摘した結果、ブロックされて現在に至る。
検証可能な事実誤認の指摘に対して、議論ではなくブロックで応じる発信者はジャーナリスティックな批判検証のサイクルから自らを切り離している。
元都議という肩書がその発信に権威を与えるなら、その権威は誤用されている。
私が8月刊行予定の新著では、こうした認知の戦場の構造を扱う。
CSAM捜査の現代的精度、国際金融規制との連動、プラットフォームのスキャン体制、これらを正確に踏まえずに、海外の表現規制を語ることはできない。
正確に踏まえないままの拡散は、表現の自由を守るどころか、規制推進派に弾薬を提供し
規制レジームを強化する自滅的フィードバックループを生む。
最後に書いておく。
X現アルゴリズムは、検証された情報も検証されていない情報も、エンゲージメント効率だけで等価に拡散する。
むしろ感情を煽る未検証情報の方が、慎重な検証記事より速く遠くへ届く。
「英国は北朝鮮」「独裁政治そのもの」というフレーズが80万ビューを獲得する。
だから、規制推進派に「表現の自由派は児童保護にすら反対する連中」という弾薬が無償で供給される。
これは敵失ではない。自殺点だ。
誰がフレームを作り、誰がそれを増幅し、誰が結果として規制レジームを強化するのか。
デジタル空間の主権をめぐる戦争は、軍隊や条約だけでなく、あなたのタイムラインの中でも進行している。
ゲームメーカーって現行機種の売上に影響出るタイトルの不正には目光らせてるけど
数世代前、例えばPS2以前とかあの辺のゲームのコピー被害ってどういう対応してるんだろ
知的財産的な意味で違法なことは百も承知だけど、ぶっちゃけメーカー的にもサポート外のソフトで
売上も生まないソフトもきっちり監視してんのかなって気になった
少し前に他所で派手に炎上した違法コピーの話からRedditとか色々漁ったけど
海外だとそういうメーカーが売らない、サポートもしないゲームも「アバンダンウェア」扱いになってるって見て
「あ、もしもし、相談があります。アンケート増田を書いたら『しゃあ!』というトラバを付けられて困っています」
「トラックバックは自由につけられます。ガイドライン違反ではありません」
「えっでも、嫌がらせなんですよ!アンケート増田を書いたら、トラバでアンケートに答えさせないように、迷惑なトラバをしてくるんです」
「じゃあ、あと、なんか電車だか不正だかのコメントをしまくってる人がいるんです」
「そ、そうなの!?じゃ、じゃあ固定ハンドルで投稿して、セルフで自動ブックマークするのは?」
「それも問題ありません」
「そ、そんな…。無法地帯すぎるよ!」
「増田はあくまではてラボの仮のサービス。実験体なのです。何卒ご了承ください」
「そうなんですね…。やっぱり11億円の被害が大きいのですか?」
「その話にはお答えできません」
「まあこの電話でグリーンスターは大量に使いそうですけど…。とにかく、頑張ってください!」
「ありがとうございます。他に何かございますか?」
「いいえ、ありがとうございました」
はぁ……なにも解決しなったなぁ……
まあ無料で使ってるかは、仕方ないのかもしれないな…
11億円詐欺られて、こんな匿名ダイアリーなんて運営してる場合じゃないもんね…
存在してるだけありがたく思わなくちゃ……
あれ、電話がかかってきた。なんだろう
「もしもし」
「11億円、戻ってきました!」
「えっどういうこと!?よ、よかったですね!」
「でも、あと1億円入金しないと戻ってこないんです。お力をかしてもらえませんか?」
「1億円!?いいですよ!」
「はい!」
こうして私は1億円を失いました。
振り込まずに、カラースターを買いましょう。
まずクレカ会社から電話があって、お客さんのカードが不正利用されてる可能性があるぞって話をされてたわ。アプリで使用履歴を見たらそんなものはないし、特にそんな形跡はねえぞってツッコミ返して、色々グダグダ話していたら、最終的に勝手にクレカ会社系列の銀行に口座を作られてて、その口座に紐づける形でクレカが作られてる可能性があるって話に誘導されたわけ。
で、ここからがポイントで、近年多発してるからクレカ会社の最寄の警察署に担当者がいて、そちらの方に電話して被害届を出してくれと。で、電話をその偽警察に転送されたわけで。
今更だが、あれを広告ブロックと思っているからそういう残念な結論になる。
悪質な広告だけではなくマルウェアであったり迷惑極まりない追跡機能、不正なウェブサイト、フィッシングサイトなども対処してくれる
はっきり言ってしまえばウイルス対策ソフトと同程度かそれ以上に必須のセキュリティツールだ。
いわば、今時「悪質コンテンツブロッカー」を導入していない人はセキュリティ認識が薄いといわれても仕方ない。
悪質コンテンツ野放し状態なのだから仕方がない。悪質コンテンツブロックに引っかかる方が悪い。
今の無法状態でこのブロックを解除しろなど「セキュリティなんて脱ぎ捨てて丸腰にしろや、でもそれでマルウェア引っかかっても自己責任な。あと、悪質コンテンツにかかるネット代もお前ら負担なw」
と煽られているのも同じだ。一体誰に通じるというのか。
「『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)」という告知といっしょに公式のXの方で講座の連携を止めてますって告知が出た。
この告知があって、Xでは家計簿アプリ使うのやめましたって声が多くなっている印象がある。
でもあまり、クラウド会計使うのどうしようって話題はあまりないことが気になる。
一応、クラウド会計公式サイトの方にも告知は出ているのだが、
でも、売上規模の小さい家計簿の方を話題にしてほしかったのかなぁとか思ってしまったり。
----
> 当社がソフトウェア開発およびシステム管理に利用している『GitHub』※1の認証情報が漏えいし、これを用いた第三者による不正なアクセスが発生し、『GitHub』※1内の「リポジトリ」※2がコピーされたことが判明しました。
>・マネーフォワードケッサイ株式会社が提供する『マネーフォワード ビジネスカード』に関わる370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」
Github のリポジトリのコピーによて、「カード保持者名(アルファベット)」および「カード番号の下4桁」が流出したのはわかりやすかったんだと思う。
ただ、マネフォって採用資料にあるようにたくさんのサービスを提供していてマイクロサービス化を進めているみたいだけど、
https://image.itmedia.co.jp/l/im/ait/articles/2204/19/l_ait_220419_mf2.jpg
https://image.itmedia.co.jp/l/im/ait/articles/2204/19/l_ait_220419_mf3_2_w290.jpg
今回の攻撃で、コピーされたソースコードの範囲って全体のどこなんだろうか?
家計簿と SaaS が両方とも連携止めているのってここで説明されているアカウントアグリゲーション基盤を止めてるってことなのかなと思った。
https://cocre.moneyforward-x.co.jp/service/product
> ・ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施(概ね完了)
が、どのサービスに含まれていたものなのかは言及がないし、実はもっとヤバい用途の認証情報が漏れていたりして。
アカウントアグリゲーション基盤を止めてるとしたらそこからの邪推なんだけど、認証キーの種別によっては、
マネフォ内のシステムから銀行のシステムにアクセスするために使うものだったりしないだろうか。
が「概ね」ってことは、連絡しないとぱっと洗替ができないものがあって、しかもGWだから作業が進められないなんてことはないよね?
また、それを使われてマネフォの外のシステムに不正にアクセスされるなんてことはないよね?
> なお、流出したソースコードおよび個人情報の不正利用等による被害や、お客さま情報を格納している本番データベースからの情報漏えいは確認されておりません。
けど、現時点で悪用される可能性が残っているなら、もはやマネフォのサービスの範囲ではないし、
マネフォを一切使っていない誰かにも影響出ることだし、ちゃんと説明してほしいな、と思う。
このGW中、何もないといいなと本当に思うよ。
俺が振り込め詐欺にあったケースだと、偽警察から直接電話があったわけじゃないってのが一番大きかったかな。
よく振り込め詐欺について注意喚起があった場合、「警察が直接電話することはない」って言うじゃん?
だから振り込め詐欺側も認識をアップデートしていて、クレカ会社を名乗ってたんよ。
まずクレカ会社から電話があって、お客さんのカードが不正利用されてる可能性があるぞって話をされてたわ。アプリで使用履歴を見たらそんなものはないし、特にそんな形跡はねえぞってツッコミ返して、色々グダグダ話していたら、最終的に勝手にクレカ会社系列の銀行に口座を作られてて、その口座に紐づける形でクレカが作られてる可能性があるって話に誘導されたわけ。
で、ここからがポイントで、近年多発してるからクレカ会社の最寄の警察署に担当者がいて、そちらの方に電話して被害届を出してくれと。で、電話をその偽警察に転送されたわけで。
だから、自分から警察に電話を掛けたように錯覚させてしまうことが信用してしまうポイントになったと思う。
