the black echo

アカウントハック@ドラクエ10 その2

アカウントハック その1の続き

偽装mailでスクエニから来たように見せかけて、ダミーWebページに誘導しID・パスワードを入力させるのがまた頻発してると、公式にありました
手口としては古典的でマタカイナとは思わないでもありませんが、知らない人には効果的です。
ここで注目したいのは、そもそもMailアドレスはどこから知ったのだ?ということ。
単純に考えるとスクエニに登録してあるmailアドレスがスクエニから漏れた!と思いがちですが、ほかの経路もあります。

メールアドレスに紐づいてどのWebページを見てるか?というトラッキングデータを持っているのです。敵は。
そんなものどこから?というと、当然のことながら、ユーザーのブラウザ履歴からなんですね。そういうのを常時送信しているマルウェア(スパイソフト)があなたのブラウザ/PCにひそかに仕込まれていたりします。トラッキングデータからDQ10のマイページや公式見てると判断されたMailアドレスに送りつけてると思われます。で、mailアドレスは、どこかのWebに入力したmailアドレスなんかを、キー入力を記録するソフトで取得するのですね。よくアカウント名を他のゲームやWebサイトのIDと共用するのや危険です、というのはここからきています。mailアドレスをアカウント名にすると、危険性が倍増いたします。


常に新しいマルウェア/ウィルスに対抗するのは、大変しんどいです。
ので、ドラクエを守る!という1点だけに賭けるなら、ワンタイムパスワード/セキュリティートークンを導入し、第2のパスワードで防御することです。これ以外に手はありません。

最近では物理的なセキュリティートークン(1000円)と同等機能のスマートフォンアプリ(無料)で、ソフトウエアトークンが導入されております。お手軽でいいんですが、個人的には導入をためらっております。
スマホがこわれたらどうすんねん!別途登録した強制解除パスワードでリセットする?あのクソスクエニアカウントシステムで?!?

興奮してしまいました。

スクエニのアカウント管理システムはイロイロ「イタイ」仕様でして、現在私が参加している、オンラインゲームである新生FF14(一度死んだ)ではクローズドベータテストが開催されておりますが、その登録が「よくわからん理由で」できなくなってしまいました。アルファテストやクローズドベータテスト・フェーズ1では問題なくできていたのですが、フェーズ2になってから突然アウト。旧FF14の時も謎のアカウント管理バグで1か月もスタートできなかったのですが、まーその間のやり取りときたら、絵にかいたような人工無能との会話そのもので。詳細を書くと本1冊かけるくらいです。3歳児に「これは馬です84式酸素魚雷ではありません」というのを教えることがこんなに大変だとは(たとえ話)

最終的にはスクエニアカウント管理システムでは「一度登録したmailアドレスは削除すると二度と再登録できない」というunko仕様が判明。それ削除とはいわないw なんで残してるの?消せよw ていうか消せといったのはお前だろうが!(いろいろトライアンドエラーのシステム実験をさせられたのです)
とまあ、今回の新生FF14のベータテストにおいてのunkoネタもおそらくココらへんが引っかかってるかと妄想。調べますのでお待ちくださいと言ったきり早3週間・・・

4/25追記:こう書いてるところ、やっとこ対策してもらえました。もしかしてここみてる!?

このようなアホ実装をしてるので、これ以上アカウント管理的何かを期待するのが超怖いんです。スマホのトークンアプリしかりリセットパスワードとか。超怖いねん。


話がおおおお大きくそれました。
結論を再度言いますと「セキュリティートークンを導入しなさい。あなたの心配事はこれで万事解決」です。


根本的になぜにアカウントハックがしたいのか?という話は長くなるのでまた今度。
単純に言うとRMTがらみです。ゲーム通貨をリアル金で買うやつは死ね。
といっても、買う人はアカウント凍結されても次のゲームに行くだけのお手軽ユーザーなので、痛くも痒くもないでしょうがねぇ。
DQ10的には、あれだけ業者湧いてるのにインフレにならないシステムって変だ、という感想。
[PR]

by svetlana | 2013-04-24 04:25 | DQ10

<< youtubeの広告が リトルウィッチアカデミア >>