IPAは一般にも知られるようにする必要があるなぁ。
いわゆるホワイトハッカーを悪いハッカーと区別するラインは脆弱性を見つけたときに情報提供して修正後に公開する作法に則っているか(=社会的な有害性に配慮できるか)なわけでまあ当然。
普通に不正アクセス案件よな
こういうの好きじゃないけど、都合の悪いコメントを非表示にして自分の書き込みをpinして自分の記事だから否定的な意見は排除して当たり前という思考回路の人なんだなと色眼鏡で見てしまう
脆弱性見つけてテンション上がって公開しちゃうのは若さゆえの過ちか。通報者の正義感もなかなか香ばしい
「サイゼイヤ」とかいうインディアペールエールを置いてるパチモノのお店の話かな。
サイゼの脆弱性をつくサイゼイヤー
サイゼリヤ警察「サイゼリアじゃなくてサイゼリヤ…えっ??」
とは言え、集客力の軸足が安定してる海外展開にあぐらしてコストカットのなれ果てでクソマズパスタと工房にハクれる脆弱放置は客ペロが過ぎる|フェイルセーフの役割を倫理に期待するのはエンジニアとして悪手
X見る限り、1mmも反省の色なかったからなw
Xの反応見ていたら、立派な肩書きを持つ大手企業にお勤めのシニアエンジニア(笑)が多数擁護していて、そりゃわーくにも落ちぶれますわと。この件が警察沙汰になったら手のひらクルーするんだろうな。
こんな子絶対雇いたくないしもう自分でサービス立ち上げるしかなくない。
若者を持ち上げるのが良いおじさんムーブは正しくない
正義の執行者が出てきた。
「スタッフ呼び出しAPIに認証なし CWE-306 Missing Authentication for Critical Function https://jvndb.jvn.jp/ja/cwe/CWE-306.html (認証なしで物理的なアクションを引き起こせる)」
"正規の来店客かどうかを検証する仕組みがなく" 元々ないような気がするな…
高校生「鍵がかかってないからこの家に入れるぞ」「入り方公開するわ」お前ら「素晴らしい技術力の高校生だ」サイゼリヤ「無言」IPA「無言」
AIエージェントが「全メニューを1つずつ」、アルコール類を含め、キッズ限定やテイクアウトを除外した全82品を注文した場合、約32,990円のお支払い。
✔
この記事とは別に誰かが脆弱性への対策編を書いてくれることを期待。短命トークン + 異常なリクエストの検知みたいな一般的な対策や位置情報による物理的な所在の確度向上とか、面白いテーマではありますね
彼の才能はちゃんと褒めた上で犯罪だということも思い知らせて行こうね
QRを読んだ=客とできない限り何らかの認証は必要か(いらっしゃいませ毎に使い捨てのQRを印刷して席に置けばOK?)
全く正しいですが、こういった正しさが日本のイノベーションの妨げになっていることだけは覚えておきましょうね。
タイトル変えてないのは検索避けかな(すっとぼけ)。
QRコードは決済毎に再生成されるし、CORSやCSRFは第三者による乗っ取りを防ぐもので正しく実装されてる様に見える。店員呼び出しは店と卓idだけで本当に機能するのかな。サイゼの実装に脆弱性があるとは言えないのでは。
ああ、未踏JrだからIPAにチクったのね
サイゼイヤ側が何か修正を加えるまでは解説記事の公開は控えた方がいいと思った。
即公開でよい感じなんでしたっけ? こらしめ? コミュニティの習慣?
誰も言及してないけど、一番怖いのはAIでこういうのが簡単にできるようになったってことだと思う
こういう人間とあなたたちは一緒に働きたい?どう思いますはてブの方達?正しくないなら正しくないって言えば?他人の罪見ぬフリしてイノベーションとか何言ってるの自分でやれよ。そんなやつソフト開発すんな。
警察案件になる前にIPA案件にしたほうが良いのか…そりゃそうか
後で読む
サイゼリヤはパッ!とさいでりあではない方、なので「ヤ」で正しい/ザルい作りしてるのは外向きのシステム作ったことないって感じやね/リポジトリには大阪万博の非公式クライアントらしきものもあるっぽいのでまあ
出来ることとやっていいことは別なのよね。匿名ならまだしも(良くないが)実名は倫理観がなあ。
セキュリティ対策でコストかかってサイゼの価格が上がるか。めんどくさいねぇ。てか認証なしはimodeやVPNくらいのゆるさを感じるな。当初はオープン前提じゃなかったんじゃね?CORSの設定はアホだし
注文システムってどういう設計が求められるのだろう。ロケーション情報だって偽装できるわけで…店内Wi-Fi接続強制は使い勝手悪くなるし、デジタルサイネージでQR定期更新とか? それでも現地でのなりすましは回避不能
物理と紐付いたアカウントであったか、しっかりと顔写真と名前を脆弱性を不適切に叩いたと世間に残すことができそうであるか/各社不採用考慮で自衛できるのでは/警察に自首か?どう決着するかも継続確認できるのか
他人の作ったものを不正利用する行為はイノベーションではなくクラッキングと呼ばれ昔から忌避されている/Librahackと大きく違うのはそれが専用端末のみの接続を想定していること
イノベーションをしたいのならサイゼに持ち込めばいいわけで、それをすっ飛ばしてネットに出して楽しむのは違うでしょ?というのを周りは指摘すべきなのよ
あれを使って攻撃した場合サイゼとその客も被害者だけど開発者も責任負うことになるから開発者も攻撃ターゲットに含まれる。つまり悪意のある攻撃に弱いツールを作ったということになる。倫理的にも技術的にも☓
知らんかったけど、こんなの痛い目を見るしかないと思う。持ち上げる大人たちがいるみたいだけど責任なんか絶対とってくれないし、むしろ子どもの敵だよね。イノベーションとか頓珍漢と思うけど。
どちらかというとサイゼリヤ側の設計由来のインシデントに感じる
食べ放題APIとかじゃなかった
サイゼリヤ側を通報したって話ね
正しい正しくない的な倫理の話でいうと、ジョブズが電話タダがけ装置から、YouTubeが違法含む動画共有から、孫正義がソフトコピー屋から成り上がったのを考えるとIT関係そのものが大抵綺麗な出自ではないよねと思った。
↓サイゼリヤの注文は「専用端末」からじゃなくて、注文する客自身のスマホ(ブラウザ)からですよ…?
サイゼリヤをIPAに通報するなんて、ボクには理解不能にゃ!
イノベーションなのかは分からないが、正しい側にいたいエンジニアって結構多いんだな
コメントにもあるけど、性善説で割り切ってそういう実装にしてんじゃないの?認証しようとしたらQRベースでやるのがそもそも無理ありそうだが
本人は店内で正当な注文してるだけだし、元々認証してないなら不正アクセスでもない。コード公開も悪用を煽ってるわけじゃないなら業務妨害が発生しても幇助にはならんはず… だけど民事だとどうかな…
大人がコラッ!してあげないといけないよね
IPAへの脆弱性届出を"通報"というのは語弊があるし、そもそもあれは脆弱性なのかというのも疑問。まぁ、こういう不毛な展開もまた、勝手ツールを公開することの代償ではある。
頭のいい人なら悪用の方法まで思いついてしまう。頭がいいから使ったり公開したりはしない。20-30年前から捕まりやすい犯罪者は未成年だった。賢い大人はやらないし、やってもバレない範囲でしかやらない。
これにダメだしするのがイノベーションの阻害とか、臍が茶を沸かす
“サイゼイヤ”ってなんだよ(“そこ”を間違える人、あんまりいなさそう)「醤油ぺろぺろテロ行為と何ら変わりがない」←違うと思う。「セキュリティ上の問題がある」←どんな?というか、どうやって回避するの?
ルールになくとも倫理に反することはやるべきではない、と運用側が穴を塞いでおく必要があるのは両立するよな
パスタの味を通報してどうするんだと思った。 サイゼリア側に脆弱性があるということを通報した話か。高校生をつるし上げる話でなくてよかった
まぁ、法律とかセキュリティ考えたらそうなるよね
「高校生だから仕方ない」「技術者倫理とってないやつが倫理語るな」「UIUXがそもそも悪い」「原理はbrowser useと一緒だから問題ない」「お前のメディア欄だって著作権違反しているけど?」色んな意見が出てて笑える騒動
雑魚が雑魚追い込んでて草
サイゼリヤに対して然るべき対処は筆者のようにするべきではある。だがCLI作った彼を擁護したい気持ちもある
ある種のプログラマの幼稚さには辟易としている。社会性を放棄して、複雑な問題を単純な論理に置き換えることが知的だと誤解している。
「アクセス権限を持たない者が、サーバや情報システムの内部へ侵入する行為」が不正アクセスなので、アクセス制御をしていない本件は対象外で不正ではない。もしやられたくないのだとしたらサイゼリヤの実装が悪い
「サイゼイヤ」ってなに
「サイゼイヤ」とは?
えー? createClient とか見てみると時刻も含めて送信してトークンを取得する仕組みになってるし店側でセッションのオンオフできるようになってんじゃないのかなあこれ。案内してないテーブルで注文有効化できるのかな
ブラウザのアドインで入力の簡略化するのとなにが違うの?RPAとはなにが違う?認証はテーブルについてQRコード読むことでしょ//ブルートフォースはいかんが、それ以外は普通のオペレーションでしょ
これだからコミュ障エンジニアはいけない。こういうのをSIerとかにやらせるとえらい金がかかるわけでそれが商品価格に跳ねてミラノ風ドリアが300円越えてきたら誰が困るか誰に恨まれるかよく考えてpushすべき
非公開APIはセキュリティホールではないと思う 各機能に認証をつけるか、各トークンの検証をするかはサイゼが決めることで、脆弱性とするならサイゼ側も対応が必要になる 結果的にビジネスに皺寄せくると思うよ
元ネタこれだったのか
よくやった。コミュ障エンジニアはもういらん。
システム関係なく、法律の抜け穴見つけた場合に突いたらアウトでしょ。俺TUEEEを我慢できなかったということだと思うけど。
クソリプですが、上位ブコメの我が国をわーくにって言うの気持ち悪すぎるの私だけでしょうか
姿勢、内容、完全に同意(「頂き○○ちゃんと同じ」という一文を除いて)。通報お疲れ様。尚、本アプリケーションの設計、、、、。
CSRF脆弱性ってこと?/ ああ、うん、なるほどね。ロジックの問題か。
正規の来店客か検証する仕組みがないって言ってるけどそんなの検証できるわけないでしょ…これを脆弱性と呼ぶかはだいぶ怪しいと思う
実際の被害があったらもうアウトだけど今のところは報告せず公開したことが一番の問題っぽいので、犯罪行為が動機とかでなければ刑事としては微妙なラインだと思う。
トライアンドエラーをやる若者がたくさん出てほしい。サイゼリヤと若者の問題に公正世界仮説大好きな外野が批判し始めるのが本邦。脱法スレスレでもチャレンジャー精神優先の方がマクロ的には成長すると思うんだが。
そんな超ハイレベルな技術を使っているのならともかく。ただのクラッキングでしかないし、そういう事する人であるからこそ最低限のモラルが必要。大の大人がこういうの持て囃したらいけないでしょう|サイゼイヤ(^^;
"醤油ぺろぺろテロ行為と何ら変わりがない"すごいこと言うな
民事のリスクまではぱっと浮かぶけど、刑事だとどうなのかスッと出てこないな…。威力業務妨害みたいなやつか?
この件、やったのが高校生じゃなければ持ち上げる人も問題視する人もほとんどいなかったと思う。
『例のサイゼイヤをIPAに通報した』を迷惑行為で通報した が出てくるまでがお約束
なんかそれを決めるのは貴方ではなくてサイゼ側では?って疑問しか出てこなかった
そりゃ本音を言えばAPI公開して好きにいじらせて欲しい。大阪・関西万博とかコンサートのチケット販売とかbotに予約させたかった。
正しい。高校生かどうかは全く関係ない。「高校生なのにここまで作るのはすごい」とか持ち上げてるのはバカ。そう言って気持ちよくなってるだけ。大人は理由を説明した上でこのガキを叱るべき。サイゼも悪い。
脆弱性ってのはそれによって問題が起きるから脆弱性なんだぜ?CORSとかをブラウザの機能に云々のところなんて笑わせにきたのかと思ってしまったww
擁護する方々も一緒に通報されてください。
本人の行為はクラッキングではない。元々、誰でも使えるAPIだっただけ。仕組み上、APIの存在は当然に推測できる。観測・調査も自分の端末でできるもの。電話によるピザの注文を、自作の電話で行なった、という感じ。
“ガイドラインには「セキュリティホールを見つけても、ここまでにしておけ。それ以上は法に触れる」という指針が書かれています。”
ほーんそんなことが
読んだら素人でも攻撃コードを作れてしまう点でこの記事のほうが悪質だと思う。詳細に解説しすぎ。なぜIPAへの報告だけに留め、サイゼ側の対応完了を待たなかった?
店頭でQRコード読ませてブラウザ上で注文、決済させるほぼ全てのシステムにおいて偽QRコードを読み込ませてプロクシされるという脆弱性があるがそれらを許容、被害補填するのは提供店舗の責任だと思ってる。
法にも技術にも素人のマナー自警団がお気持ち基準で勝手に断罪するいつものはてブ。冷静なコメントを擁護扱いはもう集団ヒステリーを通り越して反知性の域
IPAもカスみたいなAI Slopに対応しないといけなくて大変ですね/こんな記事をありがたがってる人はちょっと
QRコードによる顧客端末を使用した注文を選択している以上、サイゼリヤ側は意図して許容してるだろうし脆弱性か?まあ、QRコードで顧客端末を使わせる運用は滅びて欲しいのでいいけど。
「法に触れる可能性」みたいな言い方で他人の行動を制限したがる奴っているよね。これはあなたの問題ではないのに。
腕がいい人ほどこれのヤバさわかってるよ。初手で警察沙汰になったら、やんちゃな子もさすがに理解するだろう
"可用性への脅威(主要): 店舗IDとテーブル番号を列挙することで、全国約1,500店舗の全テーブルに対して大量のスタッフ呼び出しを行う業務妨害が技術的に可能である"、たしかに。
うーん、マナーは悪いですね。お里が知れますわね。
よく訓練された脆弱性通報者はIPAによる脆弱性の判断と対応を見極めてから公開する。見つけたから公開するのは不出来。
なんでブコメちらほらサイゼイヤなんだ?と思ったらタイトルからしてなのね
コードはLLMに指示して出すご時世に「高校生がリバエンしてPoC書けてすごい」は無いわ。あれ褒めてるの「LLM後の世界だけどスクリプトキディが称賛されてたあの頃に留まりたい」位の老害お気持ちでしょ
はてなーならば、はまちちゃんのことを思い出して言及すべきではないだろうか
IPAに通報するのも自由だと思うけど黙ってやればいいのに何で解説とかしてるんだか謎。これがさほど問題のある脆弱性と考えてないからやってるんだろうけれど、そうするとこのエントリの趣旨と合わずなんだかなぁ。
トデスキングあたりのアラフォー(アラフィフ?)界隈も冷笑的に反応していたが、あれが行き着く果ては淡々と通報されるだけの世界なんだよな
届け出るところまでは分かるけど、それをこうやって公開するのは単純に叩きたいだけなんでは?
サイゼイヤ、ゼンデイヤ、モロヘイヤ、もうひとつは?
承認欲求おばけ「うおおお!我こそは正義ィ!!」
あのタグって書き換えが容易だから周期的に予測不可能な形で更新してるのかと思ってたらそうでもないのか。
この記事が公開されることで悪意のある誰かが(件の高校生ではなく)早速サーバー攻撃しちゃわないかね。あとタイトル直してほしい(何かと思った)
詳しく見てないけどこんな穴だらけでよくやってこれたな
この記事自身も早期警戒パートナーシップガイドラインに違反してるような https://www.meti.go.jp/policy/netsecurity/vul_request.html “ 脆弱性を発見された方は、(中略)正当な理由がない限り脆弱性関連情報を第三者に開示せず、”
本質的にはバイトテロ(著名人がプラベで来店したのをSNS暴露するパターン)と変わらんってことか。この記事もだが
とはいえ、相手が高校生ってことを鑑みて、優しくDMで注意するくらいに留めておくくらいでいい気がする。サイゼに連絡してもいいが解決前に公開するのはただのバズ狙いのツイートとあまり変わらないように見える
駄目だが目の前にシステムがあるとハックしたくなる気持ちは分かる。70年代からブラック寸前のやらかしは全世界で多数ある。罪を悔いて、この業界の大学に進んで、世界に尽くすなら罪を問わんってのがベターだと思う
あれは元々店員向けのシステムを客にも使わせてるのでセキュリティなんてない。サイゼならなんでも持ち上げる異常者が定期的に沸くけど単に無能なだけ。考え抜いてあのシステムではなく何も考えてない
Twitterクライアントも通報されちゃうね。さてなもか
数年後は武勇伝やろなあ
脆弱性が解決する前にこの記事を上げてる時点で当該高校生とやってること変わらんどころか、ぼかしアリとはいえ脆弱性解説までしてるのでより悪質では
通報は間違ってないはずだし、いたずらは警告を受けるべきだ。ジョブズ、ウォズニアックらがイタズラ好きだったことからイノベーションの文脈に入りたがる人もいるが、いずれにせよ罰は受けているのでは。
不正アクセス防止法違反に該当するリスクはありそう
わーくに、わーくにだなあと。まあサイゼリヤも予算内でやってるから強化される分、料理の価格に反映されても文句は言えんわな
ワイは損害がないならハッキング行為は肯定派
僕もビールはIPA派
「クライアントを制限しようとはしているけど考慮が漏れている箇所がある」とかだったら脆弱性といえそうだけど、これだけ何もしてないと単にクライアントを制限しない仕様なんだろうという気がしてならない。
蕎麦の出前を任意の住所に電話で注文できてしまうのも脆弱性といえば脆弱性だよね。
イノベーション?法的リスクを冒してまで?倫理観というより、それ以前の知的レベルが心配になります。
高校生としてではなく、エンジニアとして処罰すべきだろう。擁護するなんて、彼に失礼だ。
雉も鳴かずば打たれまい
現代の道徳を教えているようだ。たいへん教育的。
通報するのは好きにしたらいいとして、公開するの意味がわからない
作ったこと→ダメとは言いたくない、github公開→ダメな気がする、指摘おじさんに対しての言い訳→ダメではないがダサい、IPAに通報→ダメではない、この記事→ダメではないがダサい
脆弱性ってなんだろね。
サイゼリアの話なのかサイゼリヤの話なのかサイゼイヤの話なのかはっきりしてほしかった//指摘内容については、BeRealみたいだなと思いました。すなわち「今ってこんなことも言わなきゃいけないの?」
俺がサイゼリヤの担当者だったら、サイゼリヤcliの方は好きにすれば良いけど、この人は明確に迷惑だと思うよ。
非公開APIであっても到達可能なのは普通のことなので、その点をIPAに通報するのはおかしい。脆弱性だけ通報すれば良い。
後ろ2つはさておき前2つはたしかに修正されるべき脆弱性だな……で、こうやって公開したら通報した意味がないですよね……
善悪を見ない子供が突っ走った事例をイノベーティブとか持て囃すなら、もう日本では無鉄砲な脱法イノベーション以外は起きない宣言でもする? 可能不可能の一つ上のレイヤでそれを静止するのが先達の仕事だろうに。
IPAへの通報は非開示義務なかったっけ?
界隈でキャッキャしてたら本物が召喚されちゃって草
利便性と実装難易度を天秤にかけた結果の仕様じゃないって思うけど (CORSはそんな事なさそうだが)… こんな記事ドヤ顔で出してる方がダサくみえるが…
〇 「IPA に通報した」× 「サイゼリヤ株式会社への直接連絡は現時点では未実施」、それで、なぜ zenn.dev で解説記事を公開してよいと思ったのか?
何これマナー講師?通報の一般的なマナーを守ってないような気がするんですが。
捕まれと強く念じておきました。
問題だと言いながら詳細解説するアホとそれを持ち上げるブクマカ / IPAの制度策定に関わった人が「IPA通したら難癖から守ってあげる制度なのに、IPAを通さないのは犯罪だと誤解され迷惑」と馬鹿による棍棒化を嘆いてたな
まぁ、そりゃそうでしょうね。/生成AIゆえに、脆弱性のあるシステムと気軽に脆弱性に便乗するキッズと法律に疎いエンジニアと悪意あるガチのハッカーが跋扈する世の中になるだろう。/悪用方法書くのはダメ
?
学生を批判しつつも脆弱性に関する情報提供の話であって、イノベーションの妨げとか意見出る理由はよくわからん。学生の行い起因でそういう振る舞いが見つかっただけだし、リスク評価されるし困る人はいないのでは?
これに対してイノベーションを阻害してるとか言ってる人、赤信号でも自動車は止まってくれるから無視して渡るのがタイパ最強とか言ってるのと変わらんぞ?
高校生か、イキりたい年頃なのかも 彼自身よりも、彼よりは年食ってるだろうに無責任に別に問題ない何が悪いの?って知識もないのに囃し立てて擁護してる周りの連中がタチ悪いな
?クライアント側のブラウザ使ってるアプリでしかないし、非公開APIには該当せんと思うよ。認証周りの仕掛けは知らんけど、店員が席案内して開けてると思うので、脆弱性にならんのでは。
こんな古典的ウルトラコンサバ防御策で塞げるつまんねー穴突っつく元ネタのどこがイノベーティブなんだよ……と思わなくもない / 当記事は未修正PoC公開だし通報制度の背景思想に基づく倫理的行動でなく功名心100の印象
(コストカットで)客のブラウザを使わせる時点で、完全なセキュリティ難しいわな。店内フリーWiFiに必ず繋がせるってわけにも行かんし・・。
確かサイゼリヤは自社開発なんだっけ。あっさりAIを活用してシステムを改良してきそうな気はする
この記事への擁護ばかりのはてブはまじ終わってるな。Zennのコメントがまともで救われる。まともにエンジニアやってればありえない。
30年以上前、校内ネットワークの脆弱性を指摘した結果、停学=留年 を喰らった不幸な学生を知っている(´-`)良い時代になったものだ
いやいやIPAに報告したならその脆弱性を詳らかにするなよ
まぁそうなんだけど、16歳なんだよね。この子。それがまた難しいところ。
正義マン面したくてAIを叩いて支離滅裂な記事を上げる人とそれに便乗して叩くブコメ、本当に醜悪だなあ/企業に断りなく脆弱性(と認識しているモノ)を公開する方がよっぽどevilだよ
技術指摘は妥当だが、再現性の高い形で公開しており攻撃助長リスクが高い。Responsible Disclosureの観点では不適切で、自らも法的・倫理的にもグレーゾーンに踏み込んでいる構造。
なんというか、脆弱性としてIPAに届け出たのなら公表は修正後か却下後に行うべきで、たとえ伏字にしているとしてもゼロデイで公表するのは元の行為よりも良くないのでは。
黙ってやれないのかこういうのは。どっちもどっちな気がするが
この手の擁護で一番キモかったのは、AIの台頭でジュニアエンジニアが不要になる!って言ってた奴らがこぞってこの高校生を褒め称えていたところ。老害しぐさにも程がある
インディアペールエール
「問題は、 セキュリティホールを発見したことではなく、その後、その脆弱性を利用したことです。その時点でアウトですから、それをさらにOSSとして公開したことは、頂き女子りりちゃん事件(幇助)と変わりません」
仕様が公開されていなくて利用条件も示されていなければ、たとえ誰もが到達可能でも非公開APIだと思う。更新系の非公開APIはテストもできず本当にどんな障害が起きてもおかしくない。ブラウザ自動操縦までにすべき。
現場に迷惑かけるクソガキ VS 正義の暴走弱小エンジニア(サムネは黒人差別)
悪用される前に通報するのは良いんだけどもっと丸くできんかったんか
“スタッフ呼び出しに認証なし。全国全テーブルへの業務妨害が可能”でちょっと笑った。しかしあれだな。企業文化的に多少のセキュリティはあえて劣後させてる可能性はあるな。だって見える限りは個人情報皆無だし。
なんのために通報窓口があるのかすらわかってないやつが叩きたいためだけに記事書くのマジで終わってるな。はてなの民度もゴミ以下
QRコード漏洩で第三者が注文可、ってのがよく分からんのだが、サイゼリヤのあのQRコードは客が入れ替わるたびに更新されてるんじゃ? むしろ紙に印刷した固定QRコードの店がいたずら注文をどう防いでるのかが気になる
大人の正論と、ブルーボックスがなかったらアップルもなかった的な話とのせめぎ合い。今だとそういうフロンティアはWeb3とかに行ったほうがいいのかな。
P2PやYoutubeの歴史を(一般の人よりは)近くから観てきた人間としては、断片的な情報と自分の思い込みだけで良し悪しを断言する諸先生方の勇気には敬服しかない。
HMAC認証とかしてないんか。最近のマネーフォワードの件もそうだが、大手がガバガバ過ぎて笑えないな。去年のネット証券の一連も実はかなりゴミ仕様だったのでは
この件に一言ある技術者は100字、140字の一言ではなく、意見の詳細を5000字くらい書いて欲しい。このままでは門外漢にはわかりかねる
え、あいつソースコードを公開してたのか。馬鹿じゃないか?
よくわからんけどジョブズの電話ハッキングも普通に通報案件じゃないの?
この件でゴールデンウィークが無くなった人がいるんだろうなぁ
一連の炎上でこの記事みたいな無能な働き者や口しか出さないおじさんから距離を置けるかが人生で如何に重要かを感じる
脆弱性を突かれたところで大した問題にならない気はしている。現場が混乱するのは一瞬で業務妨害で粛々と訴訟すればいいのでは?改修コストより訴訟コストの方が安いでしょ。セキュリティは利便性とのバランス
日本企業にはノーガード戦法が許されており。万が一顧客の情報を流出させたとしても1人当たり最大五百円払えばOKと言うことになっている国なので。検証や通報で逮捕される可能性すらある
IPAのみに通報してサイゼリヤに通報しないのは推奨される手順(通報を受けた側がこれを奇貨として顧客の不利益をはたらくことがあるため)だが、この筆者がzennに詳細を書くのも攻撃コードへのリンクも同レベルの違反
QRコードは客毎に変えてそうだから漏らす方が悪いよね。ほかはセッション認証しない方がDoSに強いというサイゼリヤの判断に思える。通報するような案件に思えないけど。
すべてがダサい。おっさんはそんな下らない批判でGWを消費するな。若者はそんな下らないことやってないでもっと面白い開発しろ(未踏ジュニアなんだろ?)
サイゼリヤの注文システムの開発会社とか開発費用とか知りたい
なるほど、日本からいつまで経ってもメガテック企業が現れない理由だ。老人が、つまらない正義感で若い芽を積んでしまう文化。
通報したのはサイゼリヤの注文フォームのほうだった
通報はいいとしてガイドライン守ってないのでは?(届出〜修正されるまでの期間、第三者に漏れないよう適切に管理すること) https://www.ipa.go.jp/security/guide/ps6vr70000011k4i-att/000059695.pdf
サイゼリヤだから余裕のないものが集まり炎上した、銀座の高級すし店クライアントでは絶対に炎上しないだろう
テーブルごとに固定QRなのにHMAC認証?
使い捨てQRコード漏洩したら色々できてしまうのはまあそういう割り切りなんじゃないの、ただ店員呼び出しQR情報不要はあんまりか。メニュー情報はまあWebサイトで公開してる情報なんだろうし
こいつこそ、脆弱性をその会社に連絡せずに、自らの承認欲求のために詳しく解説したブログを公開してる時点で、もとの高校生とは比べ物にならないほどの社会的害悪じゃん。
我々はWinny裁判で何を学び何を得たのか
"だからこそ" なにがだからこそなのかわからん。zennでドヤりたいだけに見えるが
過剰に叩いてる奴も褒めてる奴も同じくらい気持ち悪いよ 静観してれば良いのに。 叩いてる奴も論理が乏しいし、 褒めてる奴も犯罪を冗長しかけてるの分からないのかな そもそも技術的にそんな凄いか?
店舗内で完結するべきだから、呼び鈴や紙&ボールペンのほうが寧ろ良かったのでは
客が入れ替わると更新される使い捨てQR(セッション)でしょ?それだったらQRが漏洩したところで遠隔アクセスできる時間も限られるからそんなに大騒ぎする程でも無さそうだけど、違うの?
極論だけど、イノベーションだから倫理とか邪魔くさい事を言うなという主張の人たちは、「イノベーションを起こすAI兵器を開発したので実験の的になってください」と言われたら喜んで弾を受けるんだろうか?
明日、友達とサイゼにいくのに、なんかあったらやだなあ。黙って本社に連絡すればいいのに
通報するまでは個々の正義があるから良いとして、他コメで指摘があるようにサイゼ側が修正してから記事に出すんだよ。未修正で悪用できる点を解説する記事がどこにあんだよ…これじゃ実質的な共犯者だよ…
正義の格好をした畜生
イノベーションのためなら倫理なんて必要ないという思想は正にトランプ陣営を支えるピーター・ティールやイーロン・マスク等のテックビリオネアたちと同一。加速主義的で面白いですね。
老人が若い芽をつむとか書いてるコメあるが、若かろうが年寄りだろうが、犯罪したやつはまずはつまなきゃ(つめなきゃ)ダメ。
こいつも通報しようぜ。
Hidden comment だらけだ。
コミュニティの一生(つまらない奴がつまらない事をして誰もいなくなる迄)を2日で追体験出来た気がする案件となったやつ。(※QR以外の外部から新規セッションが生成されるまでは、内容そのものについては何も言わない)
まぉ、IPAは警察でもなんでもないので指導が入るとしたら企業の方にだけどね。
その主義主張を信じるならば、なぜ通報したことを記事にして公開するのか理解に苦しむ
この辺のコメントに賛同→「仮にこれが脆弱性に該当すると考えているなら、なぜZennに投稿したのですか?」「本当に脆弱性だと思ってるなら詳細を公開するな。ふざけてやってるなら、IPAの業務妨害をするな。」
ホニャララの説明を求めたら"試す方法"とか言って悪用の仕方を丁寧に教えてくれる時のAIってこんなんだよな
この調子でどんどん通報していこう。16歳のいじめが許されないのと同様に、16歳の不正アクセスも許されてはならない。なぜそんな当たり前のことがわからないのか
これからAIツールでどんどん若者がハッキングしまくりそうだな
ブクマカの技術理解が駄目なのは知っていたがこれを褒めてしまうとはいやはや
この指摘もAIで作っており、全然咀嚼できてない奴がAIの出力を垂れ流しただけの印象。AIの出力を他人に全転送するのは完全にクソ仕草で、IPAの担当者に理解・判断のコストを払わせてる。高校生と五十歩百歩。
やった人間の属性がどうかってのは後から判定されていいので、行為そのものの扱いがどうなのかってのは外野からすると興味のあるとこではある。
これに同調する雰囲気のはてブコメント欄を見て絶句した / 記事のコメント欄で議論をはてブに寄せようとしてるのも本当に意味不明、こんなところで議論できるわけないじゃん……
サイゼリヤが対応する前に公表することの意味は。こういった緊急対応を強いられるとコストはサイゼリヤユーザーに返るのがな。
あれ?IPAってもう申請しないで公式に直接言えスタンスじゃなかったけ。
「これに同調する雰囲気のはてブコメント欄を見て絶句した」これがどういう話か理解してないバカは絶句とか言わず黙っとけよ
黄金頭さん含め、技術的にどういうことかわからない方は元記事下部のコメント欄を読めばOKです。ただし、大半の良識あるコメントが非表示設定にされております🥲
承認欲求モンスターVS承認欲求モンスター
素人から見たら同人界隈の学級会と区別付かんくらい語気の強い連中がセキュリティがらみの話題になると多くなるイメージ。「正論だったら粗野になって良い、むしろ格好いい」と思ってないか?
サイゼの注文システムはコスト抑えるために色んなものを端折って出来上がってるものだからね(´・ω・`) 固定のQR(=URL)でテーブルとセッションを同定してる時点でセキュリティも何もない。対策にかける予算ないのでは?
これしか記事書いてないやつ
この記事も酷いし、はてぶのコメントも酷いの多いし。時代が変わったのだなあと思わせられる。
どこに頼んだか知らないけど、このシステムの実装があまりにも雑すぎて、ハッカーとしてどうあるべきとか言うレベルに達していない感
後学の為に https://x.gd/N4poS (誰でも見れます)/筆者もバッドケースの比較対象がズレてんな、って印象。そこは『球根栽培法』や『腹腹時計』やろがい/何か一部伏字にしてて草。ドーパミン切れたんだろうな
わーくにはこういうキチガイガキを放置せずにちゃんと潰してきた。そのお陰で30年の衰退があるのです。小泉竹中が作ってくれた滅亡への道筋をこんなガキに潰させてはならない。
“Hidden comment” まで読んで、よく分かんないけどこれは危ないから気をつけようと思った
ところで左翼の間で我が国をわーくにって言うの流行ってるの?
IPAをはじめとした脆弱性報告窓口にはAIで作ったこういう感じのが毎日何万と来るのか。そりゃ回らんわな。
「いーけないんだ!」して脳汁ドパドパエクスタシーしたかっただけだよね。本当に本件を憂いてるのだとして、脆弱性であるならZennで公開していいわけがないので矛盾が起きてる
優秀かもしらんが、どや記事は好かん
結果がevilで無いうちはほっとけよこんなもん。この世のすべてにコストをかけるわけにもいかんだろ
あらためて記事見たら■ばかりのSCPみたいになってて面白かった/いつのまにか消えてた
OSS側は別所で指摘された内容を受け問題箇所を即日中に修正。通報側は批判され脆弱性部分を黒塗りにして虫食いパズル化しただけで人格攻撃を含めた内容のまま公開中。技術云々以前に人間性すら負けていると言える。
いきなり罪人にするのではなく、技術を褒めて正しい道を教えてやれよ。まだ子供だぞ。
というか、例のzeenの例の記事書いた人の今の状況やばくね?もう今から何しても意味ないだろうけど
通報の是非はともかく、自らが正しいと思っているのなら、隠れてないで素性を明かして記事を書いたら良いのでは?
自分の代行業の宣伝かな?
はまちちゃんがこういうのやらなくなってから久しいな
zennの仕様わからないけどコメントがめっちゃ非表示にされててなんかおもろい
まぁ双方に色々言いたいことはあるけど、とりあえず結果待ち。
記事の筆者のコメントで、サイゼの今の仕様をしてる理由が「予算がないから」みたいな書いてあってサイゼ舐め腐ってるのだけはわかった
https://togetter.com/li/2693192 「高2」https://x.com/nakasyou0 この記事執筆者も含むが「子どもだから大目に見ろ」は第二の酒鬼薔薇聖斗を生むだけ。まず倫理教育を。
例のサイゼイヤをIPAに通報した
IPAは一般にも知られるようにする必要があるなぁ。
いわゆるホワイトハッカーを悪いハッカーと区別するラインは脆弱性を見つけたときに情報提供して修正後に公開する作法に則っているか(=社会的な有害性に配慮できるか)なわけでまあ当然。
普通に不正アクセス案件よな
こういうの好きじゃないけど、都合の悪いコメントを非表示にして自分の書き込みをpinして自分の記事だから否定的な意見は排除して当たり前という思考回路の人なんだなと色眼鏡で見てしまう
脆弱性見つけてテンション上がって公開しちゃうのは若さゆえの過ちか。通報者の正義感もなかなか香ばしい
「サイゼイヤ」とかいうインディアペールエールを置いてるパチモノのお店の話かな。
サイゼの脆弱性をつくサイゼイヤー
サイゼリヤ警察「サイゼリアじゃなくてサイゼリヤ…えっ??」
とは言え、集客力の軸足が安定してる海外展開にあぐらしてコストカットのなれ果てでクソマズパスタと工房にハクれる脆弱放置は客ペロが過ぎる|フェイルセーフの役割を倫理に期待するのはエンジニアとして悪手
X見る限り、1mmも反省の色なかったからなw
Xの反応見ていたら、立派な肩書きを持つ大手企業にお勤めのシニアエンジニア(笑)が多数擁護していて、そりゃわーくにも落ちぶれますわと。この件が警察沙汰になったら手のひらクルーするんだろうな。
こんな子絶対雇いたくないしもう自分でサービス立ち上げるしかなくない。
若者を持ち上げるのが良いおじさんムーブは正しくない
正義の執行者が出てきた。
「スタッフ呼び出しAPIに認証なし CWE-306 Missing Authentication for Critical Function https://jvndb.jvn.jp/ja/cwe/CWE-306.html (認証なしで物理的なアクションを引き起こせる)」
"正規の来店客かどうかを検証する仕組みがなく" 元々ないような気がするな…
高校生「鍵がかかってないからこの家に入れるぞ」「入り方公開するわ」お前ら「素晴らしい技術力の高校生だ」サイゼリヤ「無言」IPA「無言」
AIエージェントが「全メニューを1つずつ」、アルコール類を含め、キッズ限定やテイクアウトを除外した全82品を注文した場合、約32,990円のお支払い。
✔
この記事とは別に誰かが脆弱性への対策編を書いてくれることを期待。短命トークン + 異常なリクエストの検知みたいな一般的な対策や位置情報による物理的な所在の確度向上とか、面白いテーマではありますね
彼の才能はちゃんと褒めた上で犯罪だということも思い知らせて行こうね
QRを読んだ=客とできない限り何らかの認証は必要か(いらっしゃいませ毎に使い捨てのQRを印刷して席に置けばOK?)
全く正しいですが、こういった正しさが日本のイノベーションの妨げになっていることだけは覚えておきましょうね。
タイトル変えてないのは検索避けかな(すっとぼけ)。
QRコードは決済毎に再生成されるし、CORSやCSRFは第三者による乗っ取りを防ぐもので正しく実装されてる様に見える。店員呼び出しは店と卓idだけで本当に機能するのかな。サイゼの実装に脆弱性があるとは言えないのでは。
ああ、未踏JrだからIPAにチクったのね
サイゼイヤ側が何か修正を加えるまでは解説記事の公開は控えた方がいいと思った。
即公開でよい感じなんでしたっけ? こらしめ? コミュニティの習慣?
誰も言及してないけど、一番怖いのはAIでこういうのが簡単にできるようになったってことだと思う
こういう人間とあなたたちは一緒に働きたい?どう思いますはてブの方達?正しくないなら正しくないって言えば?他人の罪見ぬフリしてイノベーションとか何言ってるの自分でやれよ。そんなやつソフト開発すんな。
警察案件になる前にIPA案件にしたほうが良いのか…そりゃそうか
後で読む
サイゼリヤはパッ!とさいでりあではない方、なので「ヤ」で正しい/ザルい作りしてるのは外向きのシステム作ったことないって感じやね/リポジトリには大阪万博の非公式クライアントらしきものもあるっぽいのでまあ
出来ることとやっていいことは別なのよね。匿名ならまだしも(良くないが)実名は倫理観がなあ。
セキュリティ対策でコストかかってサイゼの価格が上がるか。めんどくさいねぇ。てか認証なしはimodeやVPNくらいのゆるさを感じるな。当初はオープン前提じゃなかったんじゃね?CORSの設定はアホだし
注文システムってどういう設計が求められるのだろう。ロケーション情報だって偽装できるわけで…店内Wi-Fi接続強制は使い勝手悪くなるし、デジタルサイネージでQR定期更新とか? それでも現地でのなりすましは回避不能
物理と紐付いたアカウントであったか、しっかりと顔写真と名前を脆弱性を不適切に叩いたと世間に残すことができそうであるか/各社不採用考慮で自衛できるのでは/警察に自首か?どう決着するかも継続確認できるのか
他人の作ったものを不正利用する行為はイノベーションではなくクラッキングと呼ばれ昔から忌避されている/Librahackと大きく違うのはそれが専用端末のみの接続を想定していること
イノベーションをしたいのならサイゼに持ち込めばいいわけで、それをすっ飛ばしてネットに出して楽しむのは違うでしょ?というのを周りは指摘すべきなのよ
あれを使って攻撃した場合サイゼとその客も被害者だけど開発者も責任負うことになるから開発者も攻撃ターゲットに含まれる。つまり悪意のある攻撃に弱いツールを作ったということになる。倫理的にも技術的にも☓
知らんかったけど、こんなの痛い目を見るしかないと思う。持ち上げる大人たちがいるみたいだけど責任なんか絶対とってくれないし、むしろ子どもの敵だよね。イノベーションとか頓珍漢と思うけど。
どちらかというとサイゼリヤ側の設計由来のインシデントに感じる
食べ放題APIとかじゃなかった
サイゼリヤ側を通報したって話ね
正しい正しくない的な倫理の話でいうと、ジョブズが電話タダがけ装置から、YouTubeが違法含む動画共有から、孫正義がソフトコピー屋から成り上がったのを考えるとIT関係そのものが大抵綺麗な出自ではないよねと思った。
↓サイゼリヤの注文は「専用端末」からじゃなくて、注文する客自身のスマホ(ブラウザ)からですよ…?
サイゼリヤをIPAに通報するなんて、ボクには理解不能にゃ!
イノベーションなのかは分からないが、正しい側にいたいエンジニアって結構多いんだな
コメントにもあるけど、性善説で割り切ってそういう実装にしてんじゃないの?認証しようとしたらQRベースでやるのがそもそも無理ありそうだが
本人は店内で正当な注文してるだけだし、元々認証してないなら不正アクセスでもない。コード公開も悪用を煽ってるわけじゃないなら業務妨害が発生しても幇助にはならんはず… だけど民事だとどうかな…
大人がコラッ!してあげないといけないよね
IPAへの脆弱性届出を"通報"というのは語弊があるし、そもそもあれは脆弱性なのかというのも疑問。まぁ、こういう不毛な展開もまた、勝手ツールを公開することの代償ではある。
頭のいい人なら悪用の方法まで思いついてしまう。頭がいいから使ったり公開したりはしない。20-30年前から捕まりやすい犯罪者は未成年だった。賢い大人はやらないし、やってもバレない範囲でしかやらない。
これにダメだしするのがイノベーションの阻害とか、臍が茶を沸かす
“サイゼイヤ”ってなんだよ(“そこ”を間違える人、あんまりいなさそう)「醤油ぺろぺろテロ行為と何ら変わりがない」←違うと思う。「セキュリティ上の問題がある」←どんな?というか、どうやって回避するの?
ルールになくとも倫理に反することはやるべきではない、と運用側が穴を塞いでおく必要があるのは両立するよな
パスタの味を通報してどうするんだと思った。 サイゼリア側に脆弱性があるということを通報した話か。高校生をつるし上げる話でなくてよかった
まぁ、法律とかセキュリティ考えたらそうなるよね
「高校生だから仕方ない」「技術者倫理とってないやつが倫理語るな」「UIUXがそもそも悪い」「原理はbrowser useと一緒だから問題ない」「お前のメディア欄だって著作権違反しているけど?」色んな意見が出てて笑える騒動
雑魚が雑魚追い込んでて草
サイゼリヤに対して然るべき対処は筆者のようにするべきではある。だがCLI作った彼を擁護したい気持ちもある
ある種のプログラマの幼稚さには辟易としている。社会性を放棄して、複雑な問題を単純な論理に置き換えることが知的だと誤解している。
「アクセス権限を持たない者が、サーバや情報システムの内部へ侵入する行為」が不正アクセスなので、アクセス制御をしていない本件は対象外で不正ではない。もしやられたくないのだとしたらサイゼリヤの実装が悪い
「サイゼイヤ」ってなに
「サイゼイヤ」とは?
えー? createClient とか見てみると時刻も含めて送信してトークンを取得する仕組みになってるし店側でセッションのオンオフできるようになってんじゃないのかなあこれ。案内してないテーブルで注文有効化できるのかな
ブラウザのアドインで入力の簡略化するのとなにが違うの?RPAとはなにが違う?認証はテーブルについてQRコード読むことでしょ//ブルートフォースはいかんが、それ以外は普通のオペレーションでしょ
これだからコミュ障エンジニアはいけない。こういうのをSIerとかにやらせるとえらい金がかかるわけでそれが商品価格に跳ねてミラノ風ドリアが300円越えてきたら誰が困るか誰に恨まれるかよく考えてpushすべき
非公開APIはセキュリティホールではないと思う 各機能に認証をつけるか、各トークンの検証をするかはサイゼが決めることで、脆弱性とするならサイゼ側も対応が必要になる 結果的にビジネスに皺寄せくると思うよ
元ネタこれだったのか
よくやった。コミュ障エンジニアはもういらん。
システム関係なく、法律の抜け穴見つけた場合に突いたらアウトでしょ。俺TUEEEを我慢できなかったということだと思うけど。
クソリプですが、上位ブコメの我が国をわーくにって言うの気持ち悪すぎるの私だけでしょうか
姿勢、内容、完全に同意(「頂き○○ちゃんと同じ」という一文を除いて)。通報お疲れ様。尚、本アプリケーションの設計、、、、。
CSRF脆弱性ってこと?/ ああ、うん、なるほどね。ロジックの問題か。
正規の来店客か検証する仕組みがないって言ってるけどそんなの検証できるわけないでしょ…これを脆弱性と呼ぶかはだいぶ怪しいと思う
実際の被害があったらもうアウトだけど今のところは報告せず公開したことが一番の問題っぽいので、犯罪行為が動機とかでなければ刑事としては微妙なラインだと思う。
トライアンドエラーをやる若者がたくさん出てほしい。サイゼリヤと若者の問題に公正世界仮説大好きな外野が批判し始めるのが本邦。脱法スレスレでもチャレンジャー精神優先の方がマクロ的には成長すると思うんだが。
そんな超ハイレベルな技術を使っているのならともかく。ただのクラッキングでしかないし、そういう事する人であるからこそ最低限のモラルが必要。大の大人がこういうの持て囃したらいけないでしょう|サイゼイヤ(^^;
"醤油ぺろぺろテロ行為と何ら変わりがない"すごいこと言うな
民事のリスクまではぱっと浮かぶけど、刑事だとどうなのかスッと出てこないな…。威力業務妨害みたいなやつか?
この件、やったのが高校生じゃなければ持ち上げる人も問題視する人もほとんどいなかったと思う。
『例のサイゼイヤをIPAに通報した』を迷惑行為で通報した が出てくるまでがお約束
なんかそれを決めるのは貴方ではなくてサイゼ側では?って疑問しか出てこなかった
そりゃ本音を言えばAPI公開して好きにいじらせて欲しい。大阪・関西万博とかコンサートのチケット販売とかbotに予約させたかった。
正しい。高校生かどうかは全く関係ない。「高校生なのにここまで作るのはすごい」とか持ち上げてるのはバカ。そう言って気持ちよくなってるだけ。大人は理由を説明した上でこのガキを叱るべき。サイゼも悪い。
脆弱性ってのはそれによって問題が起きるから脆弱性なんだぜ?CORSとかをブラウザの機能に云々のところなんて笑わせにきたのかと思ってしまったww
擁護する方々も一緒に通報されてください。
本人の行為はクラッキングではない。元々、誰でも使えるAPIだっただけ。仕組み上、APIの存在は当然に推測できる。観測・調査も自分の端末でできるもの。電話によるピザの注文を、自作の電話で行なった、という感じ。
“ガイドラインには「セキュリティホールを見つけても、ここまでにしておけ。それ以上は法に触れる」という指針が書かれています。”
ほーんそんなことが
読んだら素人でも攻撃コードを作れてしまう点でこの記事のほうが悪質だと思う。詳細に解説しすぎ。なぜIPAへの報告だけに留め、サイゼ側の対応完了を待たなかった?
店頭でQRコード読ませてブラウザ上で注文、決済させるほぼ全てのシステムにおいて偽QRコードを読み込ませてプロクシされるという脆弱性があるがそれらを許容、被害補填するのは提供店舗の責任だと思ってる。
法にも技術にも素人のマナー自警団がお気持ち基準で勝手に断罪するいつものはてブ。冷静なコメントを擁護扱いはもう集団ヒステリーを通り越して反知性の域
IPAもカスみたいなAI Slopに対応しないといけなくて大変ですね/こんな記事をありがたがってる人はちょっと
QRコードによる顧客端末を使用した注文を選択している以上、サイゼリヤ側は意図して許容してるだろうし脆弱性か?まあ、QRコードで顧客端末を使わせる運用は滅びて欲しいのでいいけど。
「法に触れる可能性」みたいな言い方で他人の行動を制限したがる奴っているよね。これはあなたの問題ではないのに。
腕がいい人ほどこれのヤバさわかってるよ。初手で警察沙汰になったら、やんちゃな子もさすがに理解するだろう
"可用性への脅威(主要): 店舗IDとテーブル番号を列挙することで、全国約1,500店舗の全テーブルに対して大量のスタッフ呼び出しを行う業務妨害が技術的に可能である"、たしかに。
うーん、マナーは悪いですね。お里が知れますわね。
よく訓練された脆弱性通報者はIPAによる脆弱性の判断と対応を見極めてから公開する。見つけたから公開するのは不出来。
なんでブコメちらほらサイゼイヤなんだ?と思ったらタイトルからしてなのね
コードはLLMに指示して出すご時世に「高校生がリバエンしてPoC書けてすごい」は無いわ。あれ褒めてるの「LLM後の世界だけどスクリプトキディが称賛されてたあの頃に留まりたい」位の老害お気持ちでしょ
はてなーならば、はまちちゃんのことを思い出して言及すべきではないだろうか
IPAに通報するのも自由だと思うけど黙ってやればいいのに何で解説とかしてるんだか謎。これがさほど問題のある脆弱性と考えてないからやってるんだろうけれど、そうするとこのエントリの趣旨と合わずなんだかなぁ。
トデスキングあたりのアラフォー(アラフィフ?)界隈も冷笑的に反応していたが、あれが行き着く果ては淡々と通報されるだけの世界なんだよな
届け出るところまでは分かるけど、それをこうやって公開するのは単純に叩きたいだけなんでは?
サイゼイヤ、ゼンデイヤ、モロヘイヤ、もうひとつは?
承認欲求おばけ「うおおお!我こそは正義ィ!!」
あのタグって書き換えが容易だから周期的に予測不可能な形で更新してるのかと思ってたらそうでもないのか。
この記事が公開されることで悪意のある誰かが(件の高校生ではなく)早速サーバー攻撃しちゃわないかね。あとタイトル直してほしい(何かと思った)
詳しく見てないけどこんな穴だらけでよくやってこれたな
この記事自身も早期警戒パートナーシップガイドラインに違反してるような https://www.meti.go.jp/policy/netsecurity/vul_request.html “ 脆弱性を発見された方は、(中略)正当な理由がない限り脆弱性関連情報を第三者に開示せず、”
本質的にはバイトテロ(著名人がプラベで来店したのをSNS暴露するパターン)と変わらんってことか。この記事もだが
とはいえ、相手が高校生ってことを鑑みて、優しくDMで注意するくらいに留めておくくらいでいい気がする。サイゼに連絡してもいいが解決前に公開するのはただのバズ狙いのツイートとあまり変わらないように見える
駄目だが目の前にシステムがあるとハックしたくなる気持ちは分かる。70年代からブラック寸前のやらかしは全世界で多数ある。罪を悔いて、この業界の大学に進んで、世界に尽くすなら罪を問わんってのがベターだと思う
あれは元々店員向けのシステムを客にも使わせてるのでセキュリティなんてない。サイゼならなんでも持ち上げる異常者が定期的に沸くけど単に無能なだけ。考え抜いてあのシステムではなく何も考えてない
Twitterクライアントも通報されちゃうね。さてなもか
数年後は武勇伝やろなあ
脆弱性が解決する前にこの記事を上げてる時点で当該高校生とやってること変わらんどころか、ぼかしアリとはいえ脆弱性解説までしてるのでより悪質では
通報は間違ってないはずだし、いたずらは警告を受けるべきだ。ジョブズ、ウォズニアックらがイタズラ好きだったことからイノベーションの文脈に入りたがる人もいるが、いずれにせよ罰は受けているのでは。
不正アクセス防止法違反に該当するリスクはありそう
わーくに、わーくにだなあと。まあサイゼリヤも予算内でやってるから強化される分、料理の価格に反映されても文句は言えんわな
ワイは損害がないならハッキング行為は肯定派
僕もビールはIPA派
「クライアントを制限しようとはしているけど考慮が漏れている箇所がある」とかだったら脆弱性といえそうだけど、これだけ何もしてないと単にクライアントを制限しない仕様なんだろうという気がしてならない。
蕎麦の出前を任意の住所に電話で注文できてしまうのも脆弱性といえば脆弱性だよね。
イノベーション?法的リスクを冒してまで?倫理観というより、それ以前の知的レベルが心配になります。
高校生としてではなく、エンジニアとして処罰すべきだろう。擁護するなんて、彼に失礼だ。
雉も鳴かずば打たれまい
現代の道徳を教えているようだ。たいへん教育的。
通報するのは好きにしたらいいとして、公開するの意味がわからない
作ったこと→ダメとは言いたくない、github公開→ダメな気がする、指摘おじさんに対しての言い訳→ダメではないがダサい、IPAに通報→ダメではない、この記事→ダメではないがダサい
脆弱性ってなんだろね。
サイゼリアの話なのかサイゼリヤの話なのかサイゼイヤの話なのかはっきりしてほしかった//指摘内容については、BeRealみたいだなと思いました。すなわち「今ってこんなことも言わなきゃいけないの?」
俺がサイゼリヤの担当者だったら、サイゼリヤcliの方は好きにすれば良いけど、この人は明確に迷惑だと思うよ。
非公開APIであっても到達可能なのは普通のことなので、その点をIPAに通報するのはおかしい。脆弱性だけ通報すれば良い。
後ろ2つはさておき前2つはたしかに修正されるべき脆弱性だな……で、こうやって公開したら通報した意味がないですよね……
善悪を見ない子供が突っ走った事例をイノベーティブとか持て囃すなら、もう日本では無鉄砲な脱法イノベーション以外は起きない宣言でもする? 可能不可能の一つ上のレイヤでそれを静止するのが先達の仕事だろうに。
IPAへの通報は非開示義務なかったっけ?
界隈でキャッキャしてたら本物が召喚されちゃって草
利便性と実装難易度を天秤にかけた結果の仕様じゃないって思うけど (CORSはそんな事なさそうだが)… こんな記事ドヤ顔で出してる方がダサくみえるが…
〇 「IPA に通報した」× 「サイゼリヤ株式会社への直接連絡は現時点では未実施」、それで、なぜ zenn.dev で解説記事を公開してよいと思ったのか?
何これマナー講師?通報の一般的なマナーを守ってないような気がするんですが。
捕まれと強く念じておきました。
問題だと言いながら詳細解説するアホとそれを持ち上げるブクマカ / IPAの制度策定に関わった人が「IPA通したら難癖から守ってあげる制度なのに、IPAを通さないのは犯罪だと誤解され迷惑」と馬鹿による棍棒化を嘆いてたな
まぁ、そりゃそうでしょうね。/生成AIゆえに、脆弱性のあるシステムと気軽に脆弱性に便乗するキッズと法律に疎いエンジニアと悪意あるガチのハッカーが跋扈する世の中になるだろう。/悪用方法書くのはダメ
?
学生を批判しつつも脆弱性に関する情報提供の話であって、イノベーションの妨げとか意見出る理由はよくわからん。学生の行い起因でそういう振る舞いが見つかっただけだし、リスク評価されるし困る人はいないのでは?
これに対してイノベーションを阻害してるとか言ってる人、赤信号でも自動車は止まってくれるから無視して渡るのがタイパ最強とか言ってるのと変わらんぞ?
高校生か、イキりたい年頃なのかも 彼自身よりも、彼よりは年食ってるだろうに無責任に別に問題ない何が悪いの?って知識もないのに囃し立てて擁護してる周りの連中がタチ悪いな
?クライアント側のブラウザ使ってるアプリでしかないし、非公開APIには該当せんと思うよ。認証周りの仕掛けは知らんけど、店員が席案内して開けてると思うので、脆弱性にならんのでは。
こんな古典的ウルトラコンサバ防御策で塞げるつまんねー穴突っつく元ネタのどこがイノベーティブなんだよ……と思わなくもない / 当記事は未修正PoC公開だし通報制度の背景思想に基づく倫理的行動でなく功名心100の印象
(コストカットで)客のブラウザを使わせる時点で、完全なセキュリティ難しいわな。店内フリーWiFiに必ず繋がせるってわけにも行かんし・・。
確かサイゼリヤは自社開発なんだっけ。あっさりAIを活用してシステムを改良してきそうな気はする
この記事への擁護ばかりのはてブはまじ終わってるな。Zennのコメントがまともで救われる。まともにエンジニアやってればありえない。
30年以上前、校内ネットワークの脆弱性を指摘した結果、停学=留年 を喰らった不幸な学生を知っている(´-`)良い時代になったものだ
いやいやIPAに報告したならその脆弱性を詳らかにするなよ
まぁそうなんだけど、16歳なんだよね。この子。それがまた難しいところ。
正義マン面したくてAIを叩いて支離滅裂な記事を上げる人とそれに便乗して叩くブコメ、本当に醜悪だなあ/企業に断りなく脆弱性(と認識しているモノ)を公開する方がよっぽどevilだよ
技術指摘は妥当だが、再現性の高い形で公開しており攻撃助長リスクが高い。Responsible Disclosureの観点では不適切で、自らも法的・倫理的にもグレーゾーンに踏み込んでいる構造。
なんというか、脆弱性としてIPAに届け出たのなら公表は修正後か却下後に行うべきで、たとえ伏字にしているとしてもゼロデイで公表するのは元の行為よりも良くないのでは。
黙ってやれないのかこういうのは。どっちもどっちな気がするが
この手の擁護で一番キモかったのは、AIの台頭でジュニアエンジニアが不要になる!って言ってた奴らがこぞってこの高校生を褒め称えていたところ。老害しぐさにも程がある
インディアペールエール
「問題は、 セキュリティホールを発見したことではなく、その後、その脆弱性を利用したことです。その時点でアウトですから、それをさらにOSSとして公開したことは、頂き女子りりちゃん事件(幇助)と変わりません」
仕様が公開されていなくて利用条件も示されていなければ、たとえ誰もが到達可能でも非公開APIだと思う。更新系の非公開APIはテストもできず本当にどんな障害が起きてもおかしくない。ブラウザ自動操縦までにすべき。
現場に迷惑かけるクソガキ VS 正義の暴走弱小エンジニア(サムネは黒人差別)
悪用される前に通報するのは良いんだけどもっと丸くできんかったんか
“スタッフ呼び出しに認証なし。全国全テーブルへの業務妨害が可能”でちょっと笑った。しかしあれだな。企業文化的に多少のセキュリティはあえて劣後させてる可能性はあるな。だって見える限りは個人情報皆無だし。
なんのために通報窓口があるのかすらわかってないやつが叩きたいためだけに記事書くのマジで終わってるな。はてなの民度もゴミ以下
QRコード漏洩で第三者が注文可、ってのがよく分からんのだが、サイゼリヤのあのQRコードは客が入れ替わるたびに更新されてるんじゃ? むしろ紙に印刷した固定QRコードの店がいたずら注文をどう防いでるのかが気になる
大人の正論と、ブルーボックスがなかったらアップルもなかった的な話とのせめぎ合い。今だとそういうフロンティアはWeb3とかに行ったほうがいいのかな。
P2PやYoutubeの歴史を(一般の人よりは)近くから観てきた人間としては、断片的な情報と自分の思い込みだけで良し悪しを断言する諸先生方の勇気には敬服しかない。
HMAC認証とかしてないんか。最近のマネーフォワードの件もそうだが、大手がガバガバ過ぎて笑えないな。去年のネット証券の一連も実はかなりゴミ仕様だったのでは
この件に一言ある技術者は100字、140字の一言ではなく、意見の詳細を5000字くらい書いて欲しい。このままでは門外漢にはわかりかねる
え、あいつソースコードを公開してたのか。馬鹿じゃないか?
よくわからんけどジョブズの電話ハッキングも普通に通報案件じゃないの?
この件でゴールデンウィークが無くなった人がいるんだろうなぁ
一連の炎上でこの記事みたいな無能な働き者や口しか出さないおじさんから距離を置けるかが人生で如何に重要かを感じる
脆弱性を突かれたところで大した問題にならない気はしている。現場が混乱するのは一瞬で業務妨害で粛々と訴訟すればいいのでは?改修コストより訴訟コストの方が安いでしょ。セキュリティは利便性とのバランス
日本企業にはノーガード戦法が許されており。万が一顧客の情報を流出させたとしても1人当たり最大五百円払えばOKと言うことになっている国なので。検証や通報で逮捕される可能性すらある
IPAのみに通報してサイゼリヤに通報しないのは推奨される手順(通報を受けた側がこれを奇貨として顧客の不利益をはたらくことがあるため)だが、この筆者がzennに詳細を書くのも攻撃コードへのリンクも同レベルの違反
QRコードは客毎に変えてそうだから漏らす方が悪いよね。ほかはセッション認証しない方がDoSに強いというサイゼリヤの判断に思える。通報するような案件に思えないけど。
すべてがダサい。おっさんはそんな下らない批判でGWを消費するな。若者はそんな下らないことやってないでもっと面白い開発しろ(未踏ジュニアなんだろ?)
サイゼリヤの注文システムの開発会社とか開発費用とか知りたい
なるほど、日本からいつまで経ってもメガテック企業が現れない理由だ。老人が、つまらない正義感で若い芽を積んでしまう文化。
通報したのはサイゼリヤの注文フォームのほうだった
通報はいいとしてガイドライン守ってないのでは?(届出〜修正されるまでの期間、第三者に漏れないよう適切に管理すること) https://www.ipa.go.jp/security/guide/ps6vr70000011k4i-att/000059695.pdf
サイゼリヤだから余裕のないものが集まり炎上した、銀座の高級すし店クライアントでは絶対に炎上しないだろう
テーブルごとに固定QRなのにHMAC認証?
使い捨てQRコード漏洩したら色々できてしまうのはまあそういう割り切りなんじゃないの、ただ店員呼び出しQR情報不要はあんまりか。メニュー情報はまあWebサイトで公開してる情報なんだろうし
こいつこそ、脆弱性をその会社に連絡せずに、自らの承認欲求のために詳しく解説したブログを公開してる時点で、もとの高校生とは比べ物にならないほどの社会的害悪じゃん。
我々はWinny裁判で何を学び何を得たのか
"だからこそ" なにがだからこそなのかわからん。zennでドヤりたいだけに見えるが
過剰に叩いてる奴も褒めてる奴も同じくらい気持ち悪いよ 静観してれば良いのに。 叩いてる奴も論理が乏しいし、 褒めてる奴も犯罪を冗長しかけてるの分からないのかな そもそも技術的にそんな凄いか?
店舗内で完結するべきだから、呼び鈴や紙&ボールペンのほうが寧ろ良かったのでは
客が入れ替わると更新される使い捨てQR(セッション)でしょ?それだったらQRが漏洩したところで遠隔アクセスできる時間も限られるからそんなに大騒ぎする程でも無さそうだけど、違うの?
極論だけど、イノベーションだから倫理とか邪魔くさい事を言うなという主張の人たちは、「イノベーションを起こすAI兵器を開発したので実験の的になってください」と言われたら喜んで弾を受けるんだろうか?
明日、友達とサイゼにいくのに、なんかあったらやだなあ。黙って本社に連絡すればいいのに
通報するまでは個々の正義があるから良いとして、他コメで指摘があるようにサイゼ側が修正してから記事に出すんだよ。未修正で悪用できる点を解説する記事がどこにあんだよ…これじゃ実質的な共犯者だよ…
正義の格好をした畜生
イノベーションのためなら倫理なんて必要ないという思想は正にトランプ陣営を支えるピーター・ティールやイーロン・マスク等のテックビリオネアたちと同一。加速主義的で面白いですね。
老人が若い芽をつむとか書いてるコメあるが、若かろうが年寄りだろうが、犯罪したやつはまずはつまなきゃ(つめなきゃ)ダメ。
こいつも通報しようぜ。
Hidden comment だらけだ。
コミュニティの一生(つまらない奴がつまらない事をして誰もいなくなる迄)を2日で追体験出来た気がする案件となったやつ。(※QR以外の外部から新規セッションが生成されるまでは、内容そのものについては何も言わない)
まぉ、IPAは警察でもなんでもないので指導が入るとしたら企業の方にだけどね。
その主義主張を信じるならば、なぜ通報したことを記事にして公開するのか理解に苦しむ
この辺のコメントに賛同→「仮にこれが脆弱性に該当すると考えているなら、なぜZennに投稿したのですか?」「本当に脆弱性だと思ってるなら詳細を公開するな。ふざけてやってるなら、IPAの業務妨害をするな。」
ホニャララの説明を求めたら"試す方法"とか言って悪用の仕方を丁寧に教えてくれる時のAIってこんなんだよな
この調子でどんどん通報していこう。16歳のいじめが許されないのと同様に、16歳の不正アクセスも許されてはならない。なぜそんな当たり前のことがわからないのか
これからAIツールでどんどん若者がハッキングしまくりそうだな
ブクマカの技術理解が駄目なのは知っていたがこれを褒めてしまうとはいやはや
この指摘もAIで作っており、全然咀嚼できてない奴がAIの出力を垂れ流しただけの印象。AIの出力を他人に全転送するのは完全にクソ仕草で、IPAの担当者に理解・判断のコストを払わせてる。高校生と五十歩百歩。
やった人間の属性がどうかってのは後から判定されていいので、行為そのものの扱いがどうなのかってのは外野からすると興味のあるとこではある。
これに同調する雰囲気のはてブコメント欄を見て絶句した / 記事のコメント欄で議論をはてブに寄せようとしてるのも本当に意味不明、こんなところで議論できるわけないじゃん……
サイゼリヤが対応する前に公表することの意味は。こういった緊急対応を強いられるとコストはサイゼリヤユーザーに返るのがな。
あれ?IPAってもう申請しないで公式に直接言えスタンスじゃなかったけ。
「これに同調する雰囲気のはてブコメント欄を見て絶句した」これがどういう話か理解してないバカは絶句とか言わず黙っとけよ
黄金頭さん含め、技術的にどういうことかわからない方は元記事下部のコメント欄を読めばOKです。ただし、大半の良識あるコメントが非表示設定にされております🥲
承認欲求モンスターVS承認欲求モンスター
素人から見たら同人界隈の学級会と区別付かんくらい語気の強い連中がセキュリティがらみの話題になると多くなるイメージ。「正論だったら粗野になって良い、むしろ格好いい」と思ってないか?
サイゼの注文システムはコスト抑えるために色んなものを端折って出来上がってるものだからね(´・ω・`) 固定のQR(=URL)でテーブルとセッションを同定してる時点でセキュリティも何もない。対策にかける予算ないのでは?
これしか記事書いてないやつ
この記事も酷いし、はてぶのコメントも酷いの多いし。時代が変わったのだなあと思わせられる。
どこに頼んだか知らないけど、このシステムの実装があまりにも雑すぎて、ハッカーとしてどうあるべきとか言うレベルに達していない感
後学の為に https://x.gd/N4poS (誰でも見れます)/筆者もバッドケースの比較対象がズレてんな、って印象。そこは『球根栽培法』や『腹腹時計』やろがい/何か一部伏字にしてて草。ドーパミン切れたんだろうな
わーくにはこういうキチガイガキを放置せずにちゃんと潰してきた。そのお陰で30年の衰退があるのです。小泉竹中が作ってくれた滅亡への道筋をこんなガキに潰させてはならない。
“Hidden comment” まで読んで、よく分かんないけどこれは危ないから気をつけようと思った
ところで左翼の間で我が国をわーくにって言うの流行ってるの?
IPAをはじめとした脆弱性報告窓口にはAIで作ったこういう感じのが毎日何万と来るのか。そりゃ回らんわな。
「いーけないんだ!」して脳汁ドパドパエクスタシーしたかっただけだよね。本当に本件を憂いてるのだとして、脆弱性であるならZennで公開していいわけがないので矛盾が起きてる
優秀かもしらんが、どや記事は好かん
結果がevilで無いうちはほっとけよこんなもん。この世のすべてにコストをかけるわけにもいかんだろ
あらためて記事見たら■ばかりのSCPみたいになってて面白かった/いつのまにか消えてた
OSS側は別所で指摘された内容を受け問題箇所を即日中に修正。通報側は批判され脆弱性部分を黒塗りにして虫食いパズル化しただけで人格攻撃を含めた内容のまま公開中。技術云々以前に人間性すら負けていると言える。
いきなり罪人にするのではなく、技術を褒めて正しい道を教えてやれよ。まだ子供だぞ。
というか、例のzeenの例の記事書いた人の今の状況やばくね?もう今から何しても意味ないだろうけど
通報の是非はともかく、自らが正しいと思っているのなら、隠れてないで素性を明かして記事を書いたら良いのでは?
自分の代行業の宣伝かな?
はまちちゃんがこういうのやらなくなってから久しいな
zennの仕様わからないけどコメントがめっちゃ非表示にされててなんかおもろい
まぁ双方に色々言いたいことはあるけど、とりあえず結果待ち。
記事の筆者のコメントで、サイゼの今の仕様をしてる理由が「予算がないから」みたいな書いてあってサイゼ舐め腐ってるのだけはわかった
https://togetter.com/li/2693192 「高2」https://x.com/nakasyou0 この記事執筆者も含むが「子どもだから大目に見ろ」は第二の酒鬼薔薇聖斗を生むだけ。まず倫理教育を。