the black echo

アカウントハック@DQ10

2013/04/24追記 その2


DQ10で「不正アクセスねた」がブームらしい。いつか見た光景なので、思い出しを書いてみる。

[重要]不正アクセス対策に関わるご協力のお願い@冒険者の広場。DQ10
現在、「ドラゴンクエストX 目覚めし五つの種族 オンライン」におきまして、不正アクセス被害にあわれたという問い合わせが増加しており、運営チームでも状況について把握・対応しております。

不正アクセスに対しましては、まずはお客様ご自身で自衛をして頂くのが最善の防止策となります。すでにご案内している内容ではございますが、以下のご案内などを参考に、不正アクセス防止対策をいただきますようお願いいたします。
http://sqex.to/W7R

【結論】
結論からいいますと、DQ10の不正アクセスを防ぐには「ワンタイムパスワード」を使う事です。スクエアエニックスが提供する「セキュリティートークン」を買い、パソコンでDQ10のマイページにログインするときに使う。Wiiでドラクエ10にログインするときに使う。これだけで現状の不正アクセスは「かなり」防げます。
単にWiiだけでドラクエ10をやってて、PCは持っていない、Webのマイページにアクセスしたことない、ならかなり「安全」です。
現在、この瞬間、パソコンからこのページを見ている状態が一番「危険」です。

【過去経験】
私は過去にスクエアエニックスが運営しているファイナルファンタジー11というオンラインゲームをやってまして、そこでは今回のドラクエ10のと同様のアカウントハック(不正アクセス)が山ほど発生していました。当初は何故そんなことになるかわからなかったので、バグ説や自身がRMTでゲーム内貨幣を売ったのだろう狂言説とかいろいろ言われましたが、プレイステーション2版ユーザーだけには発生していないことから、PC版のユーザーが危ないことが解りました。

そのうち、「PCにウィルスが感染していて、IDとパスワードを抜かれる」事だということが知れ渡りはじめたのですが、その感染経路/IDパスワードが抜かれる方法がさまざまで、ユーザーの自己防衛、一般的に言われる「怪しいページに行かない」とか「パスワードを頻繁に変える」とかでは対処できないことが判明しました。そこでスクエアエニックスが始めたのが「ワンタイムパスワード」の導入です。詳しくはスクエアエニックスの該当ページを見てください。2008年から2009年頃の話です。

ざっくり「ワンタイムパスワード」を説明すると、物理的な「セキュリティートークン」と呼ばれる「パスワード」を発生させる機械を使ってログインすれば、論理的には秒単位でパスワードを変更してるのと同じになり、たとえIDパスワードを抜かれたとしても、抜いた側がアクセスする頃にはパスワードが変わっていてログインできないという仕組みです。コレが導入されてからFF11では不正アクセスは減りました。導入後に被害にあう人は例外なくワンタイムパスワードを使っていない人なので、ひどい言い方ですが「アホの子扱い」です。

DQ10でもユーザーがこのシステムを導入すれば不正アクセスが減るかとおもわれますので、ウイルスとかよくわかんない!という人は特に導入することをお勧めします。使用方法は簡単、ログイン時にIDいれてパスワードいれるところまでは今までと同じ。もう一つのパスワードを「セキュリティートークン」のボタンを1回押して表示される6ケタの数字を入れるだけです。

【自己防衛】
怪しいWebページを見ないとかパスワードを頻繁にかえるとか知らないメールは開かないとか、よく言われる「自己防衛」ですが、現実的には不可能です。
そのページが怪しいと事前に解る方法は?FF11での不正アクセスでは最大手のBlogのテンプレートにウィルス/スクリプトが仕込まれていました。
ゲームとは何の関係も無いページしか行ってない?ページのバナー広告にウイルスが仕込まれていました。サーバーが乗っ取られていたのです。
パスワードを頻繁に変える?間違いなく忘れます。山ほどある、あちこちのIDやパスワード全部覚えられますか?紙に書いておく?論外です。
知らない人からのメール?偽装メールは簡単に作れます。スクエニからのメール偽装もありました。
ウイルス検知ソフトがあるから大丈夫?ウィルスの新種は秒単位で増えてますよ?

自己防衛では過去も現在も未来も「不正アクセスに対抗するのは無理」というのが、現状です。

【暗い話】
上記結論でセキュリティートークンが一番安全とかいいましたが、「敵」も考えてます。
今年の春、スクエアエニックスのセキュリティートークンのシステムを動かしてるサーバー自体を攻撃し、停止させる手に出ました。結果20IDほどのアカウントのセキュリティートークンが停止し、不正アクセスされた模様です。(スクエニ公式発表)そんな少数で済んだの?とか本当はどうなんだ?とかは、当然のことながら詳細は発表されていません。敵に効果測定結果教えるわけにはいきませんからね。

世の中「絶対安全」なモノは無いことの証明みたいなものですが、現状最善の手(ワンタイムパスワード)を使わないで簡単に盗まれるよりかはマシです。危ないのはドラクエだけではありません。銀行口座のWebログインとか大変危険です。この期にイロイロ勉強してみてはいかがでしょうか?

そのWewbサービスが安全かどうかを図る簡単な方法があるんですが、その話はまた今度に。

【で、敵はだれ?】
誰とは名指しできません。謎の組織が私を狙っている!私のドラクエ内通貨が!全財産2万Gが!(ショボイ)
私自身はパソコンに範囲IPアドレスを弾くシステムをいれていて、.cnとか.krとか.hk.twな方々は基本的にこっちからもむこうからもアクセスできないようにしています。あと.ruと東欧方面も。ナンデかしりませんが、アクセスログみると毎日うんざりするほどそっち方面から私のPCにアクセスがあります。
何しに来てるんでしょうかね?俺を踏み台にした!?いのですかね。


その2へ続く。
[PR]

by svetlana | 2012-11-09 20:24 | DQ10

<< 古書堂の惨劇 ライトニングボルト >>