ハッキングした子供がすごいとは限らないが、子供がAI使ってハックできる程度にバンダイチャンネルのセキュリティがガバガバだったのは間違いない事実。
これは
script kiddieもAIで敷居が低くなったのう
バンダイチャンネルってなにげに老舗だし、00年代の4クールキッズアニメとかだとここにしかないのもザラにあるから価値は高い
毎回出る「天才は保護すべき」に先に指摘。バンダイ側がザルだっただけ。誰も攻撃してなかっただけ。保護してホワイトハッカーとかになる奴居ないしそもそもこんなことしない
昔だったらハッキング実績でどっか雇われるとかあったかもしれんが、AI使ったやつだとなんにもならない、ただの悪人で終了やろな
接続元の秘匿とかそもそも侵入を気付かれないというあたりは基本中の基本。不勉強にすぎる
https://b.hatena.ne.jp/entry/s/info.b-ch.com/article/519027964.html これか「ランサムウェアによる被害でないことも確認できております」とは言ってたが
どれぐらいの罪になるんだろ。そこだけ気になる。
『サーバーに不正アクセスし、会員4万6812人分の利用登録を解除して退会処理する』▼何てテロを
ChatGPTに作らせたプログラムで4万人の退会処理とか、API制限とか防御側の穴も気になるところ
誰もやってなかっただけのうちの 敷居が下がってやれる人が増えているということを考えると 今後こういうの増えるだろうな
いやセキュリティの内側から攻撃されるランサムウェアのがまだマシでしょ。生身の会員情報を一体全体、どこに置いてたんだよ…
この記事をおすすめしました
ホワイトハッカーになるのならまだしも、1ヶ月以上停止させて、返金処理したりの金額的被害でてるからなぁ・・・
外部から適当に退会処理を進められてしまうシステ厶がしょぼすぎる いずれ攻撃されていた可能性が高い
vibe cracking?
逮捕された少年のこの先の人生は知らんけど、こんなん許してしまうガバガバセキュリティは見直したほうがいいぞ
何がしたかったんや...
ClaudeのMythosを待つまでもなく脆弱性が発見されちゃったね・・・この高校生は自分の情報の脆弱性までChatGPTに聞くべきだった。
以前よりかなり騙しにくくなってるけど、なんて言って作らせたんだろうね。まあ、自動で対象者を全員BANするプログラムってことなら通常の業務でも使うからそう言ったのかな。
4万件の会員情報取得はどうやったんだろ。IDが連番とかだったのかね。退会させるメリットが思いつかないがただの愉快犯かねえ。
プログラムというか今時ならWebでAPIかなんかを足掛かりだとは思うけどそこまではChatGPTが作れるとしてどこからその脆弱性と突き方を調べたかでこれもAIにクロールと翻訳させたのならAIを使ってになるけど本当なのかな
どこのページを探しても退会出来ない!→「おまかせください、僕が退会代行しますよ?」
海外からの愉快犯だったら逮捕すら厳しかったかもだから、少年の素行はおいといてサービス提供者として対策をお願いしますわ。
“去年11月、不正アクセスにより一部の会員が意図せず退会処理されてしまう不具合が発生し、会員情報が漏えいした可能性があるとして全てのサービスを停止していました。 ”
解約しにくい仕組みのDisney+とかAmazonプライム抜ければ英雄だった。
スクリプトキディはもう古い。これからはAIキディの時代。
15歳に劣る自称スーパーハカー
恨みが無いにしては何故退会処理なんかするのか
ユーザー情報DBへの不正アクセスならカード情報も含めて大きなインシデントとして扱われるはずなんだろうけど、そうでないところからして総当り的な力技でやってたり?
公開されているユーザーIDで簡単なパスワード総当たりって感じかな?
“少年は他人の会員アカウントに不正アクセスし、生成AIの「ChatGPT」を使って自作したプログラムで退会処理させる” これだと不正アクセス自体はAI関係なさそう
フィクションに出てくるハッキングの技術に詳しいお子様やんけ。AIは使ってるけどそれなりに詳しくないとそこまで引き出せない気がするし。
退会処理は外部からできる(じゃないと正当な手続きでもオンラインで退会できない)ので、パラメータ手当たり次第変えれてそのチェックがザルだったとかかな。
こういう事が出来るとわかると、無敵のKKOが怖いな(´Д`)めう
今プログラミングやってる人でAIさわってないひとがいないってだけだろうに
少年だし、院行くよりは親監督とかかなあ。ただ、損害賠償は少年とか関係ないのでわりと人生壊れそうだけど。あと、少なくとも数年はPCやスマホ禁止だなあ。
愉快犯
AI開発にシフトしつつある身としてはマジで勘弁してくれの気持ち、こういう奴のせいで色んな規制がはいるんだよな
退会APIのパラメタにメールアドレス入れるだけで退会処理を完了にしてそうだな
マジでAIハッキング祭りはすぐそこまで来てるぞ。これは始まりに過ぎない。などと預言者風に言ってみたり。
どうせ狙うならxとかメタとかevilなところにだな
それが出来るとして何の利益があってそれをやるんだよwまさか空売り…?
恨みは無かったって純粋な愉快犯だったの?
今回は少年のスキルが未熟だったのか足がついたけど、リークしたAPIキー使ってAIにやらせたら、追跡はかなり厳しくなるな。APIキーの管理はめっちゃ重要。課金リスクだけでなく、セキュリティリスクとしても。
スクリプトキディからAIキディーへ
これをもって生成AIを規制しろみたいな言説が出てるのはマジ勘弁。むしろシステム開発に使って穴を塞ぐべき
やっぱ論理削除フラグ立てて次の月次処理までになぜやめるんだい?メールを毎日送りまくるのが正解だったんだな
なんで他人を勝手に退会できるんだ。いったいどういう仕組みなんだぜ
流石にAI使ってるだけだから「天才は保護」論も出てこないな。
CSRFどころかcookieの内容も見ないで退会してたのかな。APIキーが漏れてたのならバンナムも運用がザルだけど
賞賛はしないが、AIの悪用禁止ガードを破って悪用しているので、AI使って悪さをするというのもそれなりにスキルの要るものではある。あとAIに攻められても対策出来ている企業はまだまだ少ないので対岸の火事ではないよ
今日日どんな開発者でも使ってるんだからAIは注目に値しないし、中学生の幼稚な倫理観を過剰に責めるべきでもないよな。/ 1ヶ月以上止まってたのか。被害額10億円くらい? https://www.bnfw.co.jp/news/notice/notice_detail.html?id=304
ChatGPTのコード作成能力は高いよ。悪用しようと思えば誰でもできる。普通の人はしないだけ。
ログインしなくても退会できる穴があってってこと?
損害賠償がどれくらいになるか分からないけど、損害額の実例あげて、学校で教育した方がいいんじゃないかな。
あの、優勝賞品かってにキャンセルされたやつって、もしかしてコレ系?
そういえばバンダイチャンネルからは攻撃くらいましたお知らせしか来てないんだよなぁ…長いこと使ってなかったから勝手に退会処理されてるのかしら…まぁそれならそれでいいけど…
どっちも地獄だな
AIの力を借りれば良し悪しの判断もろくにつかない中学生でもこんなことができてしまう世の中になったということが何よりも恐ろしい。
AI時代の犯罪だなあ
AIでスプリクトキディになれる時代。
バンダイ側がザルという前提と置くと、今度はそんなガバガバセキュリティ品質の企業が個人情報を扱って課金を続けるサービスの運営を続けていていいのかという別の問題もある。とりあえず、次年度のISMSは取り消しで
最終的にパスキーを軸にして内部データ暗号化して、暗号のまま計算処理する、みたいな形になっていくんだろうか
プレバン、ただでさえログイン認証しんどいのに、こういうのの影響でもっとしんどくなるんだろうなあ…😂
罪重そう。通販予約中の人とかキャンセル扱いになるだろうしアイマスサービスやってた人のデータ消えるだろうし(復旧はできそうだけど)損害やばすぎてこの子の人生終わった感ある。
本当に「バンダイがザル」なのかな?今のAIの攻撃に耐えられるシステム作ってる会社が世の中どれだけあるんだろ。
IDとPASSはどこから湧いてきたんや
ハサミでも違法をすれば捕まるのよ
少年にしたら実験だったんだろうな。将来有望だからバンダイで雇った方がええな
ちなみに、サイゼリヤで勝手クライアント(CLI)作った奴も同じく生成AIで作らせていたけど、あっちは将来性あるとか持ち上げられていたんだよね。有望もクソもあるか! / 技術者倫理を冷笑していた奴なんか言えよ。
生成AIがどうとかよりも、道徳観の問題かと
手口もあれだが、退会処理をするという行為の目的が謎。愉快犯?
事業会社のitサービスは、Sierに丸投げしてる会社も多いから、似た事例は多発するだろう。打ち合わせしかできない文系管理者は、何もできないだろ
むしろなぜ足ついたのかが気になる。AI製コードであれコードに普段から触れてるくらいなら当然生ipではなくそれなりの対策はしているだろうに。
バンダイ側がザル過ぎる
これからアタックは増えるよ。子どもでも気軽に AIでアタックできることが証明されたのだから。企業はセキュリティに本腰入れないとすぐやられるぞ
やろうと思えば悪いことが簡単にできるものって溢れているからな、捕まるけど
いつか出ると思った
倫理観の問題
どんな大穴開いてたんだか
朝日新聞によると、ソース自体は自分で書いて、ChatGPTには多言語への移植だけ頼んだらしい。ChatGPTあんまり関係ない。 https://digital.asahi.com/articles/ASV7611SNV76UTIL001M.html
/api/users/withdraw に連番でidポストしまくったとか、そういうのじゃないと4万件は大変そう
能力的に見どころがあるなら、自社で一定期間の就業を条件に億単位でくる損賠を肩代わりする企業とかでないかなと思いきや、ブコメを見る限りそんな次元の話ではないらしい。少年と家族はご愁傷様。
民事凄いことにならんか
いくら緩い店でも万引きはとがめられるのにサイバーセキュリティだと途端に許されるのはなぜなのか
そろそろ悪意ある攻撃はハッキングじゃなくてクラッキングと言わない? 処理に時間がかかるからAIに修正頼んだってことはブラウザ自動操作だったり? リクエスト送るだけで退会できるザルなシステムなのは確定そう。
サイゼで自分の飯を注文するのと勝手に他者を退会させるのが同じだと思ってる人の「技術者倫理」は高尚すぎて理解できません
【速報】「バンダイチャンネル」にサイバー攻撃か 少年(15)逮捕 生成AI「ChatGPT」でプログラム作成 会員を退会処理し全サービスを一時的に停止に 警視庁 - ライブドアニュース
ハッキングした子供がすごいとは限らないが、子供がAI使ってハックできる程度にバンダイチャンネルのセキュリティがガバガバだったのは間違いない事実。
これは
script kiddieもAIで敷居が低くなったのう
バンダイチャンネルってなにげに老舗だし、00年代の4クールキッズアニメとかだとここにしかないのもザラにあるから価値は高い
毎回出る「天才は保護すべき」に先に指摘。バンダイ側がザルだっただけ。誰も攻撃してなかっただけ。保護してホワイトハッカーとかになる奴居ないしそもそもこんなことしない
昔だったらハッキング実績でどっか雇われるとかあったかもしれんが、AI使ったやつだとなんにもならない、ただの悪人で終了やろな
接続元の秘匿とかそもそも侵入を気付かれないというあたりは基本中の基本。不勉強にすぎる
https://b.hatena.ne.jp/entry/s/info.b-ch.com/article/519027964.html これか「ランサムウェアによる被害でないことも確認できております」とは言ってたが
どれぐらいの罪になるんだろ。そこだけ気になる。
『サーバーに不正アクセスし、会員4万6812人分の利用登録を解除して退会処理する』▼何てテロを
ChatGPTに作らせたプログラムで4万人の退会処理とか、API制限とか防御側の穴も気になるところ
誰もやってなかっただけのうちの 敷居が下がってやれる人が増えているということを考えると 今後こういうの増えるだろうな
いやセキュリティの内側から攻撃されるランサムウェアのがまだマシでしょ。生身の会員情報を一体全体、どこに置いてたんだよ…
この記事をおすすめしました
ホワイトハッカーになるのならまだしも、1ヶ月以上停止させて、返金処理したりの金額的被害でてるからなぁ・・・
外部から適当に退会処理を進められてしまうシステ厶がしょぼすぎる いずれ攻撃されていた可能性が高い
vibe cracking?
逮捕された少年のこの先の人生は知らんけど、こんなん許してしまうガバガバセキュリティは見直したほうがいいぞ
何がしたかったんや...
ClaudeのMythosを待つまでもなく脆弱性が発見されちゃったね・・・この高校生は自分の情報の脆弱性までChatGPTに聞くべきだった。
以前よりかなり騙しにくくなってるけど、なんて言って作らせたんだろうね。まあ、自動で対象者を全員BANするプログラムってことなら通常の業務でも使うからそう言ったのかな。
4万件の会員情報取得はどうやったんだろ。IDが連番とかだったのかね。退会させるメリットが思いつかないがただの愉快犯かねえ。
プログラムというか今時ならWebでAPIかなんかを足掛かりだとは思うけどそこまではChatGPTが作れるとしてどこからその脆弱性と突き方を調べたかでこれもAIにクロールと翻訳させたのならAIを使ってになるけど本当なのかな
どこのページを探しても退会出来ない!→「おまかせください、僕が退会代行しますよ?」
海外からの愉快犯だったら逮捕すら厳しかったかもだから、少年の素行はおいといてサービス提供者として対策をお願いしますわ。
“去年11月、不正アクセスにより一部の会員が意図せず退会処理されてしまう不具合が発生し、会員情報が漏えいした可能性があるとして全てのサービスを停止していました。 ”
解約しにくい仕組みのDisney+とかAmazonプライム抜ければ英雄だった。
スクリプトキディはもう古い。これからはAIキディの時代。
15歳に劣る自称スーパーハカー
恨みが無いにしては何故退会処理なんかするのか
ユーザー情報DBへの不正アクセスならカード情報も含めて大きなインシデントとして扱われるはずなんだろうけど、そうでないところからして総当り的な力技でやってたり?
公開されているユーザーIDで簡単なパスワード総当たりって感じかな?
“少年は他人の会員アカウントに不正アクセスし、生成AIの「ChatGPT」を使って自作したプログラムで退会処理させる” これだと不正アクセス自体はAI関係なさそう
フィクションに出てくるハッキングの技術に詳しいお子様やんけ。AIは使ってるけどそれなりに詳しくないとそこまで引き出せない気がするし。
退会処理は外部からできる(じゃないと正当な手続きでもオンラインで退会できない)ので、パラメータ手当たり次第変えれてそのチェックがザルだったとかかな。
こういう事が出来るとわかると、無敵のKKOが怖いな(´Д`)めう
今プログラミングやってる人でAIさわってないひとがいないってだけだろうに
少年だし、院行くよりは親監督とかかなあ。ただ、損害賠償は少年とか関係ないのでわりと人生壊れそうだけど。あと、少なくとも数年はPCやスマホ禁止だなあ。
愉快犯
AI開発にシフトしつつある身としてはマジで勘弁してくれの気持ち、こういう奴のせいで色んな規制がはいるんだよな
退会APIのパラメタにメールアドレス入れるだけで退会処理を完了にしてそうだな
マジでAIハッキング祭りはすぐそこまで来てるぞ。これは始まりに過ぎない。などと預言者風に言ってみたり。
どうせ狙うならxとかメタとかevilなところにだな
それが出来るとして何の利益があってそれをやるんだよwまさか空売り…?
恨みは無かったって純粋な愉快犯だったの?
今回は少年のスキルが未熟だったのか足がついたけど、リークしたAPIキー使ってAIにやらせたら、追跡はかなり厳しくなるな。APIキーの管理はめっちゃ重要。課金リスクだけでなく、セキュリティリスクとしても。
スクリプトキディからAIキディーへ
これをもって生成AIを規制しろみたいな言説が出てるのはマジ勘弁。むしろシステム開発に使って穴を塞ぐべき
やっぱ論理削除フラグ立てて次の月次処理までになぜやめるんだい?メールを毎日送りまくるのが正解だったんだな
なんで他人を勝手に退会できるんだ。いったいどういう仕組みなんだぜ
流石にAI使ってるだけだから「天才は保護」論も出てこないな。
CSRFどころかcookieの内容も見ないで退会してたのかな。APIキーが漏れてたのならバンナムも運用がザルだけど
賞賛はしないが、AIの悪用禁止ガードを破って悪用しているので、AI使って悪さをするというのもそれなりにスキルの要るものではある。あとAIに攻められても対策出来ている企業はまだまだ少ないので対岸の火事ではないよ
今日日どんな開発者でも使ってるんだからAIは注目に値しないし、中学生の幼稚な倫理観を過剰に責めるべきでもないよな。/ 1ヶ月以上止まってたのか。被害額10億円くらい? https://www.bnfw.co.jp/news/notice/notice_detail.html?id=304
ChatGPTのコード作成能力は高いよ。悪用しようと思えば誰でもできる。普通の人はしないだけ。
ログインしなくても退会できる穴があってってこと?
損害賠償がどれくらいになるか分からないけど、損害額の実例あげて、学校で教育した方がいいんじゃないかな。
あの、優勝賞品かってにキャンセルされたやつって、もしかしてコレ系?
そういえばバンダイチャンネルからは攻撃くらいましたお知らせしか来てないんだよなぁ…長いこと使ってなかったから勝手に退会処理されてるのかしら…まぁそれならそれでいいけど…
どっちも地獄だな
AIの力を借りれば良し悪しの判断もろくにつかない中学生でもこんなことができてしまう世の中になったということが何よりも恐ろしい。
AI時代の犯罪だなあ
AIでスプリクトキディになれる時代。
バンダイ側がザルという前提と置くと、今度はそんなガバガバセキュリティ品質の企業が個人情報を扱って課金を続けるサービスの運営を続けていていいのかという別の問題もある。とりあえず、次年度のISMSは取り消しで
最終的にパスキーを軸にして内部データ暗号化して、暗号のまま計算処理する、みたいな形になっていくんだろうか
プレバン、ただでさえログイン認証しんどいのに、こういうのの影響でもっとしんどくなるんだろうなあ…😂
罪重そう。通販予約中の人とかキャンセル扱いになるだろうしアイマスサービスやってた人のデータ消えるだろうし(復旧はできそうだけど)損害やばすぎてこの子の人生終わった感ある。
本当に「バンダイがザル」なのかな?今のAIの攻撃に耐えられるシステム作ってる会社が世の中どれだけあるんだろ。
IDとPASSはどこから湧いてきたんや
ハサミでも違法をすれば捕まるのよ
少年にしたら実験だったんだろうな。将来有望だからバンダイで雇った方がええな
ちなみに、サイゼリヤで勝手クライアント(CLI)作った奴も同じく生成AIで作らせていたけど、あっちは将来性あるとか持ち上げられていたんだよね。有望もクソもあるか! / 技術者倫理を冷笑していた奴なんか言えよ。
生成AIがどうとかよりも、道徳観の問題かと
手口もあれだが、退会処理をするという行為の目的が謎。愉快犯?
事業会社のitサービスは、Sierに丸投げしてる会社も多いから、似た事例は多発するだろう。打ち合わせしかできない文系管理者は、何もできないだろ
むしろなぜ足ついたのかが気になる。AI製コードであれコードに普段から触れてるくらいなら当然生ipではなくそれなりの対策はしているだろうに。
バンダイ側がザル過ぎる
これからアタックは増えるよ。子どもでも気軽に AIでアタックできることが証明されたのだから。企業はセキュリティに本腰入れないとすぐやられるぞ
やろうと思えば悪いことが簡単にできるものって溢れているからな、捕まるけど
いつか出ると思った
倫理観の問題
どんな大穴開いてたんだか
朝日新聞によると、ソース自体は自分で書いて、ChatGPTには多言語への移植だけ頼んだらしい。ChatGPTあんまり関係ない。 https://digital.asahi.com/articles/ASV7611SNV76UTIL001M.html
/api/users/withdraw に連番でidポストしまくったとか、そういうのじゃないと4万件は大変そう
能力的に見どころがあるなら、自社で一定期間の就業を条件に億単位でくる損賠を肩代わりする企業とかでないかなと思いきや、ブコメを見る限りそんな次元の話ではないらしい。少年と家族はご愁傷様。
民事凄いことにならんか
いくら緩い店でも万引きはとがめられるのにサイバーセキュリティだと途端に許されるのはなぜなのか
そろそろ悪意ある攻撃はハッキングじゃなくてクラッキングと言わない? 処理に時間がかかるからAIに修正頼んだってことはブラウザ自動操作だったり? リクエスト送るだけで退会できるザルなシステムなのは確定そう。
サイゼで自分の飯を注文するのと勝手に他者を退会させるのが同じだと思ってる人の「技術者倫理」は高尚すぎて理解できません