2010-02-13

iTunesストア:不審請求

iTunesストア:不審請求で調査へ--消費者庁

ちょっと気になった…

消費者庁のこのニュースリリース関連の報道ですかね…

気になったのはガンプラーとの関連。ガンプラー自体は、感染しても即悪さをせず、自分のPC上の情報や、LAN内のパケットキャプチャを通して、有用な情報を得て、その上で何か悪さをする、というとらえ方をしてますが…

こいつと、先日のPerfume不正アップロード事件を併せて考えると…

1:適当な会社をでっちあげて、Apple Storeの認証を取る。
2:で、適当な曲をApple Storeに登録する。(ここまで出来てしまうことをPerfume事件は明らかにしてしまいました)

3:ガンプラーで、自PC内のiTunesのアカウント情報、もしくは、LAN内に流れるアカウント情報をキャプチャする。
4:そのアカウント情報を使って2の曲を大量に購入!!!

5:Appleから購入分のお金が降ってくる。
6:購入者にはAppleから請求が行く…

なんてことになってないだろうなぁ、という邪推です。邪推ですよ?間違えないように…

ガンプラー自体、0デイ攻撃を使えば、どんな堅牢な会社内にも入り込んで、サイト改竄ができたわけで…
ユーザPCなんてちゃんちゃらおかしいや状態ぢゃないかなと…

つまり

A:著名な企業サイトを改竄して、ガンプラーを見た人達に配布(この時点で目的はよくわからんという話だった)
B:配布された人たちのPC使って、Apple Store使って購入

という流れであれば、まず企業サイトを落とした事にも意味があるんぢゃないかと…

たぶん同じことが、クレジットカード情報を登録して、誰もがマーケットプレイスを持ててワンクリックで購入できる系サイト(オークション系でもできるかも)で出来る筈…。

0デイ使われると、個人の環境では防ぎようがないので、まず iTunes のクレジット情報を削除しとくことをお勧めしておきます。面倒でも、プリペイドカードとかを使うようにすれば、このルートはふさげますので…

いぁ、これらが杞憂であればいいんですが…

0 件のコメント: