スクウェア・エニックスのオンラインゲームサービスにてIDやパスワード等漏洩の可能性 43
ストーリー by hylom
内部からやられるとは珍しい 部門より
内部からやられるとは珍しい 部門より
Wool100% 曰く、
スクウェア・エニックスは、同社の運営するオンラインゲームプラットフォームであるプレイオンラインにログインするために使用する、プレイオンラインID、プレイオンラインパスワード、さらにその他登録情報の一部が漏洩した可能性があることを発表した(お客様のプレイオンラインIDに関する重要なお知らせ)。
「弊社内の特定コンピューター端末に対して攻撃が行われた」とのことで、クレジットカード情報等の漏洩はないという。同社はセキュリティトークン(ワンタイムパスワード)を導入し、プレイヤー側のセキュリティレベルを向上させる施策を打ってきたが、今回は同社自身から情報漏えいした可能性があるという事態になってしまった。。
今までよく耐えたのか、ようやく対象にされたのか (スコア:3, 興味深い)
国内でサービスしているオンラインゲームで、韓国系・中国系ではかなりのタイトルがアタックを受け被害に遭っているが、これまでFF11は自ら知人に教えてしまうなどセキュリティに対するリテラシーの低い、自業自得的な被害しか報告されていなかったかと思う。
そう考えると、スクエニは比較的優秀な堅牢性を保っていたのではないだろうか。
それとも、いままでアタッカーから相手にされていなかっただけなのか?
特定の端末にってことはトロイかRootkitあたりとも推測できる。中の人がWEBサーフィンで踏んじゃったのだとすると、システムレベルの問題ではなく人的ミスによるものだろうか。
やはり、セキュリティ対策で一番のウィークポイントは人ってことか。
Re:今までよく耐えたのか、ようやく対象にされたのか (スコア:1, 参考になる)
数年前から中華のハックが散々騒ぎになってたりしますよ?
因みにセキュリティートークン(有料)なるものを導入してる方としていない方とで
当然ながら対応が違っていたり
郵送と言っても転居の手続きへの対応がアレとかだったりするので
今回チャットサポートを導入したのは大英断だとは思う
Re: (スコア:0)
>中華のハック
それはクライアント側の話でしょう。
サーバー側の話は初めてだと思う。
Re: (スコア:0)
チャットサポートは前からですよ、ワンタイムパスワード導入したあたりからかな
以前から出ていたクラックはクライアント側のクラックでサーバー側ではありません
ちなみにクラック対象は、プレイオンライン側のシステムらしいので
ワンタイムパスワードを導入してなくても、スクエニアカウントに
管理を移行していたアカウントでは問題が無いらしいです
ただこのチャットサポート、長時間(1-2時間?)待たされるわ
平日の19時までしかやってないわで...
せめて土曜日だけでも対応してほしいところかなぁ~とは思いました
Re: (スコア:0)
> それとも、いままでアタッカーから相手にされていなかっただけなのか?
つい先日発売された公式ガイドのインタビューによると、ここ数年の状況として
> 捕まるのを覚悟でギルを稼ごうとしたり、不正アクセスを試みたりと、
> なかなか「諦めの境地」には達してくれないようです。
と解答しているので常にそういう攻撃はあったようです。
Re: (スコア:0)
今般の告知にしたって、先月末から幾度か上がってた被害の声がようやく公に認められただけのことです。しかも対応が出遅れてる上、さらに後手後手。
つまりこれは‥ (スコア:2, おもしろおかしい)
そしてFF14サービスイン日‥
「FF11はスーパーハッカーにのっとられてしまったため、残念ながらサービスを終了させていただきます。
FF11先生の次回作にご期待ください」
# ノリで書いた、今は反省している
数ヵ月後、 (スコア:1)
「そこには元気に携帯アプリとしてサービスインを果たしている、FF11-2の姿が!」
# ノリd(ry
今まで「大規模」な漏洩がなかっただけ (スコア:2)
こまかなところでは結構頻繁に起こってました。
「あれ、知り合いなのに挨拶しても無視……?」
と思ってたら、チャイナにアカウントをハックされてて、
貴重品を転送させられている最中だった、とかいうのもあります。
セキュリティトークンのおかげでそういう事例は激減しましたが、
今でも「IDとパス教えてくれメール」みたいなのが出てきたり、
フィッシング詐欺のメールが届いたりということは頻繁に注意喚起されてます。
そこはさすが、日本一のユーザ数(同時接続数?)を誇るだけのことはある。
ちなみにFF14に関してはPlayOnlineとは切り離されるそうなので、
今回漏れたようなPOLのIDとかとは無関係そうです。
Re: (スコア:0)
/.Jでもクライアント側の漏洩とサーバ側の漏洩の区別がつかない人が多いんだなぁ
Re:今まで「大規模」な漏洩がなかっただけ (スコア:1)
それは私に対する嫌味ですか?
>「IDとパス教えてくれメール」みたいなのが出てきたり、
>フィッシング詐欺のメールが届いたり
というようなことが、サーバ側の漏洩なしに起こると思ってます?
無差別にメール送ればそりゃいつかはFF11やってるひとに届くかもしれませんけど。
それにこういう前段階なしに起こる「クライアント側」の漏洩なら、
比べ物にならないほど大量に起こってますよ。
Re:今まで「大規模」な漏洩がなかっただけ (スコア:1)
>というようなことが、サーバ側の漏洩なしに起こると思ってます?
無粋な突っ込みだけど、n/pはサーバから直接落として漏洩するんじゃなく
中の不良社員やちょっとした伝達ミス、オフィス泥棒で資料が外部に漏れる可能性もありますよ。
むしろ事例としてはそっちが多い。シュレッダーかければ安全、って意識も危険だし。
どっちかといったら元ACさんの意見に同意かな~
「クライアント側の漏洩でない」は「サーバ側の漏洩である」と同義じゃないよ。
// でかいビルだと清掃員が書類を一枚二枚拝借する、とか
// 離席PCを操作して漏洩する、なんて日常茶飯事なのだよー
// そのためのPマークなわけで。(:>^
Re:今まで「大規模」な漏洩がなかっただけ (スコア:2)
「クライアント:サーバ」というパソコン上の関係と、「ユーザ:デベロッパ」という人間としての関係の、両方についてごちゃまぜになってますね。その点はすみません。
ユーザが原因でクライアントから漏洩することもあれば、デベロッパが原因でクライアントの情報が漏洩することもある。ユーザが原因でサーバの情報が漏洩することは滅多に無いけど、デベロッパが原因でサーバの情報が漏洩することはある。今回の問題はおそらく一番最後に挙げたもの。
とはいえ、今までもあきらかに「デベロッパが原因でサーバの情報が漏洩した」と思われるような事例もあったし、チャイナからハック攻撃を仕掛けられたけど防いだよという報告もスクエニ側からあったこともあった。だから、今まではそれほど大規模ではなかったにしろ、こういう事例はあっていたし、セキュリティトークンが導入された今は逆に漏洩があったとしても、厳密には何の損害もないから問題が無い。
つまり、どうでもいいことの一つに過ぎない。
Re:今まで「大規模」な漏洩がなかっただけ (スコア:2)
うーん?
>「クライアント:サーバ」というパソコン上の関係と、「ユーザ:デベロッパ」という人間としての関係の、両方についてごちゃまぜになってますね。
なんて話じゃなくて、私も#1776438のAC氏の意見と同じく、クライアント側の漏洩とサーバ側の漏洩の区別が付いてないように思えます。
>今までもあきらかに「デベロッパが原因でサーバの情報が漏洩した」と思われるような事例
って具体的にどんな話がありましたっけ?
#1776400の書き込みで貴方が述べられている被害(?)は、全てクライアント側からの漏洩のみで起こり得ることです。
例えばspamの件は、POLのアドレスなんてほぼFF11プレイヤーなのですから
メールアドレスさえ判ってしまえば、いくらでも送れます。
# ちなみに私は、昨年10月くらいまでFF11を遊んでましたが、その手のspamは受け取ったことがありません
端的に言うと、貴方が今お使いのPCにキーロガーとか仕掛けられていませんか?ってことですね。
私は今回のこれが「デベロッパ(スクエニ)が原因でサーバの情報が漏洩した」初の事例ではないかと思っています。
なので、「どうでもいいことの一つ」ではない。
だとすると、これは結構大きな話ではないでしょうか。
だからこそ、ここでスクエニには対応を間違って欲しくないんですよね。
FF14のサービス開始も控えてるんですから。
Re: (スコア:0)
以前GMが会話ログを漏らした例があります。
http://www.playonline.com/polnews/ffxi/news563.shtml [playonline.com]
Re:今まで「大規模」な漏洩がなかっただけ (スコア:1)
パスワードとか個人情報を紙に打ち出す時点で問題が...
荷物発送とかでも今だと必要な分だけを帳票としてプリンタで打ち出せば良いので
リストとして出す事はほぼ無いと思うんだけどなぁ
この手のは最低でも画面表示のみだと思ってたんだけど
Re: (スコア:0)
そーそー。
やってもいないゲームのアカウント情報尋ねらるメールなんて、今まで何通受け取ったことか。
Re: (スコア:0)
むしろ、今ならFF11のパスワードが漏洩したため強制変更しました
XXのページでパスワードを変更できるようにしてあります
とかで釣りサイト作ってメール出しまくれば釣られるやつが居そうで怖い
Re:今まで「大規模」な漏洩がなかっただけ (スコア:2)
それすら、セキュリティトークンで防げてしまいますけどね。
Re: (スコア:0)
導入前に引退したため、詳細はわかりませんけど
別サイトでID、パスワードを入力することすら止めることが出来るのですか?
Re: (スコア:0)
>別サイトでID、パスワードを入力することすら止めることが出来るのですか?
IDとパスワードが漏洩しても、セキュリティトークンのワンタイムパスワードと組み合わせないと
POL経由でFFXIをプレイ(あるいは装備や金を強奪)することも、
スクウェアエニックスアカウント管理システムでパスワード変更などを行なうことも
できないよ、ってことでしょう。
Re: (スコア:0)
理解しました。
知識不足でお恥ずかしい限り。
チャットサポートの件といい、私がいた頃よりはいろいろ改善されているのですね。
World of Warcraft (スコア:1)
http://blog.f-secure.jp/archives/50391326.html [f-secure.jp]
FFXIのアカウント事情 (スコア:1, 興味深い)
FFXIには手間的・時間的な意味でかなり既知外じみた入手難易度なアイテム(しかもキャラクター間譲渡不可)がごろごろあります。
またワールド間移転をするときに細工をすればキャラクター名を変えることが出来ます。
これにより半年くらいをかければユーザコミュニティ内における知名度のロンダリングも不可能ではありません。
ただ問題は
・そういったアカウントを購入しようとする人間がどれだけいるか?
・それほどまでにキャラクターを鍛えたようなユーザがそう簡単にアカウントハイジャックトラップに引っかかるか?
ということなのですが…
前者は名誉の問題です。たとえいいアイテムをたくさん持っていようが、中の人のプレイヤースキルが低く、
ワールド間移転をくりかえし人的コネクションを失ったようなキャラクターはFFXI世界においてはほとんど活躍の余地はありません。
また後者のようなユーザであればワンタイムパスワードトークンをほぼ間違いなく持っているのですよ。
(OTPトークン購入特典がキャラクターのアイテム携行可能量を一挙に拡大するアイテムだった→ヘビープレイヤーなら必携)
よって仮にアカウントを奪取されたとしても奪取者はOTPトークンを持っていないが故にそのアカウントにログインできず、
奪取されたプレイヤーはスクウェアエニックス社に連絡すれば奪還可能であるはずです。
Re: (スコア:0)
お金は有るけど時間が無い社会人相手だとそれなりのアカウントでも十分商品になります
アカウントを直接販売しなくてもゲーム内の不正行為用やロンダリング用に使用される可能性もあります
かつては廃人で引退時に複数アカウントを3ナンバーの新車がフル装備買える価格で売却した
恥ずかしい過去があるのでAC
Re: (スコア:0)
> 恥ずかしい過去があるのでAC
自慢?
真面目な話、ちっとも恥ずかしいことじゃないと思う。
参考までに、どんなものが、どこで、いくらで、売れたのか教えてもらえませんか?
Re: (スコア:0)
Re: (スコア:0)
他人が勝手に決めた規則に盲従して、
それに抵触するのを「不正」だと思い込むことのほうが
よっぽど恥ずかしいと思うけど。
Re: (スコア:0)
3ナンバーつってもTOYOTAオーリス150万からLEXUS LFA3750万まであるからなぁ。
担当者が「終日」不在 (スコア:0)
http://getnews.jp/archives/61974 [getnews.jp]
コメントしたくないときに「担当者が不在なのでコメントできない」って言い訳するのは定番だけど、さすがに「終日不在」はないだろ…。ずっと無断欠勤でもしてるのか? 何その給料泥棒。
つーか担当者がずっといないんなら対策何もやってないのか? やってるならそいつが「担当者」じゃないのか?
…くらいのことは一瞬で思い付きそうなもんだがどういうわけか取材側も空気を読むことになってるんだよな。
Re:担当者が「終日」不在 (スコア:2)
対応に追われてるから終日不在(データセンターに行ってるとか)という可能性もあると思うが。
Re: (スコア:0)
Re:担当者が「終日」不在 (スコア:1, すばらしい洞察)
Re: (スコア:0)
担当者オワタ(AA略)とか担当者逃げてぇ(AA略)なんじゃないかと。
担当者のイニシャルだけでも書かないと
Re: (スコア:0)
パスワードも流出 (スコア:0)
つまり生パスワードを参照可能な状態にしてあるってことで、まともなエンジニアなら絶対に取らない選択だと思うんだけど。
Re:パスワードも流出 (スコア:2)
POLの最初期のクライアントは、クライアント側のパスワードも平文で保存してたんですよ。驚くべきことに。
初期のダメな設計を根本的に修正できないため、運用現場は色々苦労してきたんでしょうねえ。
ともあれ、流出させてしまったものは仕方ないので、一刻も早くまともな対応をすべきなんですが・・・
何か見てると、まともなインシデント対応の仕組みが社内に出来てないようにも伺えますね。
私自身もFF11は過去にプレイしていたので、中の人には頑張って欲しいところです。
気をつけなければならない人は、現プレイヤー以外にも (スコア:0)
過去に、一度アカウントを取って遊ばなくなって放置したアカウントを残してる人は、
今、プレイしているゲームのアカウントとパスワードが同じものを使っていたら、パスワードを変えるように。
ネトゲのアカウントって取るのは簡単だけど、削除できなかったりできてもDBには残ってたりするから困る。
より深刻な問題 (スコア:0)
IDとパスワードが分かっていればWEBからそれを入力するだけで
自分の個人情報を閲覧できるURLがあった(ある)っていうふざけた話。
業者<パス忘れちゃいましたー^^;
サポート<本人確認しますね
業者<住所氏名年齢電話番号メールアドレスはこれこれこうです
サポート<はいOKです、じゃあ新パスワードを郵送しますね
業者<あ、引っ越して住所変更してないんですけど
サポート<じゃあ現住所教えてください
業者<これこれこうです
サポート<分かりました、新パス郵送と住所変更やっておきますね
業者<どうもありがとう^^
http://live28.2ch.net/test/read.cgi/ogame/1275651176/ [2ch.net] >>461
Re: (スコア:0)
>IDとパスワードが分かっていればWEBからそれを入力するだけで
>自分の個人情報を閲覧できるURLがあった(ある)っていうふざけた話
いや結構よくある話じゃないかこれ
AmazonとかそのほかのサイトでもIDとパスワードがあったら
見れてしまうところのが多いと思うぞ間違ってるのは、この対応..
>業者<あ、引っ越して住所変更してないんですけど
>サポート<じゃあ現住所教えてください
>業者<これこれこうです
でも元見るとスクエニの対応じゃなくて、個人的な想像による対応じゃ
>業者<どうもありがとう^^
>こんな感じになるわけかw
コピペするならこの部分を除外したらだめじゃん
しかもスレで大量に突っ込みうけてるしw
Re: (スコア:0)
今日もお仕事お疲れ様です!
Re: (スコア:0)