マビノギ3606万円分ポイント不正使用事件まとめ

マビノギで16歳の少年がサーバーに侵入し,不正アクセス禁止法違反などの疑いで逮捕された事件について、とりあえずあちこちで見た情報をまとめてみました。


  • 犯人は福井市の私立高校2年の少年(16)。
  • ネクソンの元社員のIDやテストIDなど約100人分のうち、パスワードを解析できた10人分のIDを使用しサーバに不正アクセス
  • 7000ポイントしか持ってないはずの自分のIDを、3606万7000ポイント持っているようにデータを書きかえた。
  • 入手した3606万円分のポイントのうち、700万ポイントは約60万円のウェブマネーに換金済み。
  • 不正アクセス禁止法違反・電子計算機使用詐欺などの疑いで逮捕。
  • ネクソンの説明「10月4日から段階的に13回にわたり不正チャージが行なわれており、確証を得たのは、相当額(3,606万円)の金額がチャージされた10月6日。即日セキュリティ面の対処と調査を開始し、6日の時点でセキュリティの安全が確認され、翌日7日に警察へ届け出た」
  • 「悪いことと知っていた」とする一方、「たかがゲームのポイントを増やしただけだろ」と話し、反省した様子はない。
  • 「試しにやったら、10分ぐらいでポイントを得ることができた」
  • 「エレガントゴシックドレスがほしかった」

エレガントゴシックドレス(画像参考)は3600万円の価値があるわけではありませんが、100ネクソンポイント(100ネクソンポイント=100円)で買える「ランダムボックス」というものから運がよければ手に入るレアアイテムです。


ネクソンの公式発表
不正アクセス及びチャージ利用の事件につきまして



このニュースを見た/読んだ普通の人の理解は、たぶんこんな感じ(半分冗談です)。
「高校生の天才ハッカーが運営会社のコンピュータに元社員のふりをして潜入、かわいいドレス(数千万円分の価値?)欲しさにゲーム内の通貨約3600万円分を盗み出した」


実際にはテレビや新聞の報道は間違っているようで、不正に入手したのはゲーム内通貨ではなくネクソンポイント(仮想通貨)。そのポイントでランダムボックス(いわゆるガシャポン、100ポイント=100円)をたくさん購入し、出てきたレアアイテムをゲーム内で売ってゲーム内通貨に換金。
さらにその入手したゲーム内通貨を販売して約60万円分のウェブマネーに換金し、図書券毎日新聞の記事によると50万円分の図書券)やゲームソフトなどの購入に使った。たぶんこんな感じの事件です。


ネクソンの公式サイトの記事には、
「この事件は弊社サイトのセキュリティを掻い潜って、非常に巧妙な手口で数日に渡り、不正にアクセスを行い、課金決済システムに多額の金額をチャージしたものです」
とあります。でも、本当にそんなに優秀なハッカーによる犯罪だったのでしょうか。


「ポイント購入画面で=500を=10000に書き換えると500円で10000円相当のポイントが買えたっぽい。」
なんていう話もあるようです。urlをちょっといじるだけで3600万円分のポイントを入手できたのだとしたら「セキュリティを掻い潜って」「非常に巧妙な手口」とは言えないでしょうけど…。
そもそも高校生に「試しにやったら、10分ぐらいでポイントを得ることができた」なんて言われて3600万円分のポイントを騙し取られちゃうって…どうなんでしょう。
それに元社員のIDを生かしておくメリットが何かあったのでしょうか。


読売新聞の記事を見ると、
「高度なパソコンの知識が必要で、普通の高校生ではできない」とハイテク犯罪専門の捜査員も驚くほどだったという。
とありました。驚くほど、というのですから相当な技術レベルがあるのかもしれません。
その高度なパソコンの知識の根拠になりそうなのがこれ、
「少年は、中学生のころからホームページを作るなどパソコンに詳しく、」
…ホームページを作ることができるとパソコンに詳しいということになるのでしょう。


「マビノギ」で16歳の少年が3600万円分のポイントを不正使用
この記事によると、犯人の高校生は「他人のID」ではなく「自分のID(登録には住所氏名電話番号などが必要)」の数字を変更したそうで、ここもマスコミの報道が間違っているようです。

自分の名前や住所などの個人情報が入ったIDを使うことが「非常に巧妙な手口」とはとても思えませんし、高校生の言うとおり軽い気持ちで「試しにやったら」うまくいった、というのが本当のところではないでしょうか。

報道をみていると「16歳の少年がネット上で入手できるハッキングツール程度で課金決済システムへ侵入できてしまう」という事実を隠したくて、ずる賢いハッカー少年の犯罪にしようとしているように感じました。


それから産経の記事などを見ると「ネクソンジャパン(東京都品川区)」となっていますが、これはただの間違いでしょうか?
本社の住所は「東京都中央区新川2-3-1」のはずですが。
それともサーバが品川区にあるのでしょうか?
ちなみに毎日新聞の記事だと「警視庁ハイテク犯罪対策総合センターと品川署」が逮捕したことになってます。


関連リンク
高2男子オンラインゲームで“3600万円”
仮想通貨3600万詐取で福井の高校2年逮捕
「エレガントゴシックドレスが欲しかった」 16歳高校生が仮想通貨3600万円だまし取る
仮想通貨3600万相当搾取
高2男子、オンラインゲーム仮想通貨3600万円相当を詐取
ID盗んで仮想通貨を詐取、高校生ハッカー逮捕
ネクソンのサーバーに不正アクセス、仮想通貨3,606万円入手した少年逮捕
ネットゲーム仮想通貨3600万円詐取容疑、高2逮捕
仮想通貨を詐取、高2男子を逮捕


メイプルストーリーの似たような事件
「メイプルストーリー」のポイントアイテム詐欺に有罪判決
メイプルストーリーに不正アクセス禁止法違反の疑いで16〜19歳の少年4人逮捕
メイプルストーリー内の詐欺師が再逮捕
パス抜きされないために・もしされてしまったら


追記: YouTubeでほかの動画もみつけました。