人気ブログランキング | 話題のタグを見る
the black echo

アカウントハック その4

ワンタイムパスワードも盗難、新ウイルスに注意

 金融機関からインターネットバンキング利用者にメールで送信される「ワンタイムパスワード」を抜き取る新型ウイルスによる被害が国内で初めて確認され、警察庁が注意喚起している。

 抜き取ったパスワードを悪用し、口座から預金を不正送金する手口で、同庁は、パスワードをメールで受信する際には、ウイルスに感染するリスクの低い携帯電話を使うなどの対策を講じるよう呼びかけている。

 大手都銀などはインターネットバンキングでの不正送金被害を防ぐため、従来の固定型パスワードに加え、取引のたびに毎回、数字の組み合わせが変わる可変型のワンタイムパスワードを導入。メールなどで受け取った利用者は、固定型と、ワンタイムパスワードの両方を入力する。
(2013年4月28日10時44分 読売新聞)


いま知ったんですが、ワンタイムパスワードをメールで送ってくるシステムがあるようです。
・・・

バカ?

2つ目のパスワードを正規ユーザーが手元で発行することに意義があるのに。
誰にも覗かれないための仕組みを考えて、途中経路と末端PCにデータ「盗むタイミング」があるから、それを避けようと物理的なパスワード発生器(セキュリティートークン)や携帯やスマホのソフトウエアトークンでパスワードを作る。Netのどこかにいる窃盗犯には見られない。

それをメールで送ってくるなんて。しかも平文。
考えた奴は、物理的トークンやソフト開発のコスト削りました!お安く提供できますって思ったんだろうけど、それに乗るやつもどうかと思う。普通に考えたらわかるのに。

「ユーザーのPCは信用できません。ウィルス対策は出来ていないモノと考える。だとしたらどうすればのぞき見する奴を排除できるか?」
この視点だけ持っていれば、こんなバカシステムに乗るはずないのにね。
こんなアホシステムつかっている銀行は使わないように。

あと1点。使ってはイケナイWebシステムの見分け方。
ユーザー登録して「パスワードわすれましたー」ということにする。
アホシステムだと、メールで「あなたの登録したパスワードはコレです」って平文で送ってきたら、そのシステムは使ってはイケナイと判断しましょう。理由はもうわかりますよね?

# by svetlana | 2013-04-28 23:45 | メディア

アカウントハック その3

どうやらセガのMORPGであるファンタシースターオンライン2(PSO2)でもアカウントハックが発生してる模様です。

【重要】不正アクセスを防ぐため、登録メールアドレスにご注意ください@PSO2.セガ

不正アクセスが発生する原因について

これまで寄せられたご報告などをもとに、PSO2運営チームで随時状況を調査しておりますが、ゲーム内、あるいはSEGA ID登録サイトから、IDやパスワードの流出等は確認されておりません。

現在、不正アクセスを受けた事例の多くにおいては、SEGA IDの登録メールアドレスが不正利用されているとの報告を受けております。
メールボックスが不正利用されると、お客様の個人情報を不正に利用されることで、パスワードの再設定を狙われることに加え、メールアドレスに発行される「PC認証キー」を読み取られ、別のPCでログインされてしまう可能性があります。
したがいまして、登録メールアドレスとパスワードにつきましても、厳重な管理をお願いいたします。


どうやらWebで登録する際のSEGA-IDに付随するMailアドレスが狙われたようです。
IDとmailアドレス盗むなら、パスワードも一緒にキーロガーで盗んでるから、登録Webでさくっと変更して後は装備/金を盗み放題ですな。てか、ゲームログインにワンタイムパスワードないのかいw なんでやねんw


何度もしつこく言いますが、ワンタイムパスワードを使いましょう。
どんなゲームでも銀行でもPCが絡むシステムで、ワンタイムパスワードの仕組みが入っていないのは、ザルといっていいです。そういうシステムは盗まれでも死なないしどうでもいいのダケ利用しましょう。
それとシステム側でワンタイムパスワードが提供されていて使わないのは、アホの子です。
個人PCからイロイロ漏れようが、システム側がお漏らししようが、ワンタイムパスワードで止まります。

あと共通MailアドレスにGoogleのGmailつかっているなら、2段階認証を使いましょう。アレでだいぶ防御できます。

業者BOTをどんどんつぶすと、個人資産狙ってくるというのは、かつてFF11で通った道。
.cnだけ弾いてもVPNでつないだり(日本国内に中継サーバー立てるのですよ:電気通信事業法違反だとさ)敵もいろいろかんがえるのう。新型鳥インフルエンザで全滅しないk(ry

そおいや、PSO2はアルファ/ベータテストやって、アイテム課金に呆れて本番やらずだったんだが、セガIDとかどうなったんだろう!?放置してた!IDもパスもわからんぞ!(←一番犯罪の温床/こういう放置IDがBOTに使われる)

# by svetlana | 2013-04-28 02:02 | DQ10

youtubeの広告が

youtubeの広告が超絶うざい。
初めに5秒とか流れてくるアレです。貼り付けた人に金が入る仕組みらしいのですが、死ぬほど要らない広告は、逆効果になると思うんですが!ターゲッティングしてないだろうな広告はイラン。

【対策】
http://googleads.g.doubleclick.net/*
これを弾いたら、すっきり消えてくれます。

私はavast!アンチウイルスソフトのサイトブロックに入れています。他に「はてな」とかも入れてます(ぷ)

doubleclick.netというのは、昔からいるnet広告会社でバナー広告がウザかったんですが、いつの間にかGoogleが買収してました。知らんかった。Googleならcookie読んで広告2度読みしないとか芸を見せてくれると思ったんですが。(プライバシーなんか無視!)

もう一つ。
「Clea.Nr for youtube」 というFirefoxアドオンつかうと、youtubeの画面周りのごちゃごちゃした「飾り」をすっきり消して、動画だけにしてしまいます。おすすめとかすっきりなくなります。これも入れております。
ただし、イロイロ副作用がありますので、あまりお勧めはできませんですはい。

# by svetlana | 2013-04-25 12:42 | メディア

アカウントハック@ドラクエ10 その2

アカウントハック その1の続き

偽装mailでスクエニから来たように見せかけて、ダミーWebページに誘導しID・パスワードを入力させるのがまた頻発してると、公式にありました
手口としては古典的でマタカイナとは思わないでもありませんが、知らない人には効果的です。
ここで注目したいのは、そもそもMailアドレスはどこから知ったのだ?ということ。
単純に考えるとスクエニに登録してあるmailアドレスがスクエニから漏れた!と思いがちですが、ほかの経路もあります。

メールアドレスに紐づいてどのWebページを見てるか?というトラッキングデータを持っているのです。敵は。
そんなものどこから?というと、当然のことながら、ユーザーのブラウザ履歴からなんですね。そういうのを常時送信しているマルウェア(スパイソフト)があなたのブラウザ/PCにひそかに仕込まれていたりします。トラッキングデータからDQ10のマイページや公式見てると判断されたMailアドレスに送りつけてると思われます。で、mailアドレスは、どこかのWebに入力したmailアドレスなんかを、キー入力を記録するソフトで取得するのですね。よくアカウント名を他のゲームやWebサイトのIDと共用するのや危険です、というのはここからきています。mailアドレスをアカウント名にすると、危険性が倍増いたします。


常に新しいマルウェア/ウィルスに対抗するのは、大変しんどいです。
ので、ドラクエを守る!という1点だけに賭けるなら、ワンタイムパスワード/セキュリティートークンを導入し、第2のパスワードで防御することです。これ以外に手はありません。

最近では物理的なセキュリティートークン(1000円)と同等機能のスマートフォンアプリ(無料)で、ソフトウエアトークンが導入されております。お手軽でいいんですが、個人的には導入をためらっております。
スマホがこわれたらどうすんねん!別途登録した強制解除パスワードでリセットする?あのクソスクエニアカウントシステムで?!?

興奮してしまいました。

スクエニのアカウント管理システムはイロイロ「イタイ」仕様でして、現在私が参加している、オンラインゲームである新生FF14(一度死んだ)ではクローズドベータテストが開催されておりますが、その登録が「よくわからん理由で」できなくなってしまいました。アルファテストやクローズドベータテスト・フェーズ1では問題なくできていたのですが、フェーズ2になってから突然アウト。旧FF14の時も謎のアカウント管理バグで1か月もスタートできなかったのですが、まーその間のやり取りときたら、絵にかいたような人工無能との会話そのもので。詳細を書くと本1冊かけるくらいです。3歳児に「これは馬です84式酸素魚雷ではありません」というのを教えることがこんなに大変だとは(たとえ話)

最終的にはスクエニアカウント管理システムでは「一度登録したmailアドレスは削除すると二度と再登録できない」というunko仕様が判明。それ削除とはいわないw なんで残してるの?消せよw ていうか消せといったのはお前だろうが!(いろいろトライアンドエラーのシステム実験をさせられたのです)
とまあ、今回の新生FF14のベータテストにおいてのunkoネタもおそらくココらへんが引っかかってるかと妄想。調べますのでお待ちくださいと言ったきり早3週間・・・

4/25追記:こう書いてるところ、やっとこ対策してもらえました。もしかしてここみてる!?

このようなアホ実装をしてるので、これ以上アカウント管理的何かを期待するのが超怖いんです。スマホのトークンアプリしかりリセットパスワードとか。超怖いねん。


話がおおおお大きくそれました。
結論を再度言いますと「セキュリティートークンを導入しなさい。あなたの心配事はこれで万事解決」です。


根本的になぜにアカウントハックがしたいのか?という話は長くなるのでまた今度。
単純に言うとRMTがらみです。ゲーム通貨をリアル金で買うやつは死ね。
といっても、買う人はアカウント凍結されても次のゲームに行くだけのお手軽ユーザーなので、痛くも痒くもないでしょうがねぇ。
DQ10的には、あれだけ業者湧いてるのにインフレにならないシステムって変だ、という感想。

# by svetlana | 2013-04-24 04:25 | DQ10

リトルウィッチアカデミア

どういう経緯のアニメかはココに解説が。

びっくりの超動き。
アニメーションはやっぱりグリグリ動くといいねぇ。
深夜萌えアニメばっかりだと「おおとも」しか見なくて、子供がついてこられない。
10年後は市場が死んでしまう。
おとーさんおかーさんが「みてもいい」と言えるモノが増えてほしい。
ポケモンとプリキュアに頼り過ぎだ。



で、私的ポイント。
スーシィの声充ててる「村瀬 迪与」様
リトルウィッチアカデミア_d0062535_2326792.jpg

萌え声じゃなくダミ声。
超かわいい。

「あたしの出番だね」
「はい あーん して」

しびれる。
かわいすぎ。
倒れる。

キャラの動きも
猫背で
タレ目で
三白眼で
ズルズル歩く
かわいすぎる!!

ジブリだったら1時間30分に伸ばして「ジブリ声優」充てられるところだったけど、やっぱり本職がやらんと駄目でしょう。コレ日曜19:00から2クールでやらないかなぁ。

あと、キャラでハンナとバーバラってでてくるけど、コレってハンナ・バーベラだよね?ちがう!?

# by svetlana | 2013-04-23 23:54 | メディア