touketu
2016年1月28日に【「リスト型アカウントハッキング」によって大規模で不審アクセスが確認されたため、該当するSEGA IDを抑止対策として一時的に利用停止を実施。】とpso2運営が突然の声明を出して未然に食い止めるために対策をしました。

IDが停止されてしまった方は本人確認のための所定の手続きが必要になるのですが、秘密の質問が分からなかったり引っ越し等で住所変更するのを忘れていて、登録したときの住所や電話番号など記憶が曖昧になってしまったせいで未だにID停止が解除されず休止や引退を迫られてしまった方が数多くいます。

その中でNPCレシピを提供していた「その日暮らし」さんが残念ながら復帰できず休止してしまいました。(´・ω・`)

ニコニコ動画のように事前に停止告知して個人情報の見直しを与える期間を設けるべきでは?と思ったのですが、運営側にしたら「アカウントハックされてからじゃ遅い!」という答えが返ってきそうなので、正直何が一番ベストだったのか難しいところです。

本題になりますが、ID停止しなければいけないほどセキュリティがガバガバなのか?確認してみた。

IDとPWがバレても不正ログインされる確率は低い

今回は「リスト型アカウントハッキング」という手法で事前に他社サービスから入手したIDとPWを使ってPSO2に攻撃を仕掛けたというもの。ウイルスを自作して個人の情報を抜き取るよりはこちらの方が効率的なので主流となりつつあります。会員サービスを使うにあたって忘れないようにIDとPWは同じものにしているという方の割合はかなり多く、簡単に突破しやすいのも実行犯のメリットともいえるでしょう。

ただ、PSO2の場合はIDとPWがバレても不正ログインされる可能性は低いと見ています。
その理由は以下の通りです。

IPとMACアドレスの端末情報でログインさせていいのかどうか判定している

通常、私たちがインターネットをするためには住所の代わりとなる「IPアドレス」の他に「MACアドレス」というものが存在します。IPアドレスは契約するインターネット会社(プロバイダ)を変更したり、ルーター再起動でIPが変わったりしますが、MACアドレスはPCのネットワーク機器そのものに付与されている製造番号みたいなもので普通は変更できないようになってます。

この2つが一致しないとログインが遮断され、「本当に本人?ちょっと確認取るわ!」とサーバーからメール認証が飛ぶように設計されています。ちょっと安心だね!

ちなみにワンタイムパスワードを導入している人は上記に関係なくログインできるようになります。

海外からのVPN経由は一部対策済み

そもそもVPNって?という方に簡単に説明すると、日本国内にあるサーバーを経由してWebにアクセスできる技術で、本来は危険なサイト等にアクセスしても影響が出ないようにセキュリティを高める代物だったのですが、これを悪用する外人がほとんどで昔から問題視されています。

PSO2は日本国外のアクセスを弾くようにしているのですが、変わらず世界各国の外人プレイヤーが普通にログインしています。なぜかというとVPN利用することで日本国内からアクセスしているように見せかけることができるからです。
外人からすると「おらぁ!SEGA!俺たちをおま国にしてんじゃねぇ!だったら別手段でプレイしてやんよぉ!」と考えた結果、VPNにみんな走ってしまったようです。普段洋ゲーをやる人はジャップ来るんじゃねー!ってことよくあるよね(´・ω・`)

「さっさと外人をBANしろ!追放しろ!」という方がいますが、VPNをやられると特定が難しいんです(´・ω・`)なぜかというと外人だけが使う&本来そういう目的で使うツールではないので、特定のVPNを使ったものをBANすると関係ない人が巻き込まれる可能性があります。そう考えると調べるのも大変だし中々手が出せないのが今の現状ではないか?と思います。

外人プレイヤーが嫌いな方は悲報かもしれないですがここは諦めて受け入れるしかないでしょう!

vpn
VPNを使用した場合の適当なイメージ図

諦めろ!というけど運営はこの問題を一切対策していないわけでもないです。

一時期、外人が一気に2鯖からいなくなった珍事件を覚えている方はいるでしょうか?ほとんどの外人が利用していたとされている「とあるVPNサービス」が潰されたことによってログインが出来なくなるということが起きたのではないか?と予想しています。

syadan
特定のVPN経由だとログインするだけで強制切断する仕組みに

実際に去年は利用できていたはずの「とあるVPN」で試したところ、強制的に遮断されるようになりました。それでも今も変わらず普通に外人がいるのは、新たな穴があるということです。
そう考えると完全にイタチごっこでキリがありません。

最終的に何を言いたいかというとVPNを使えば海外からでも不正アクセス可能!ということです(´・ω:;.:…


もしかするとまた大規模な不正アクセスが起こる可能性があるので突然のID停止に備えて個人情報は確実に管理してください!

メールが最も狙われやすい

メール認証が飛んだらもちろん確実にメールが狙われます。ここで生死が決まるといっても過言ではないです。特にどこでもアクセスできるフリーメールは危険です。Gmailのように二次認証付きのサービスを選び、携帯の電話番号(docomo・au・softbank等)のショートメール(SMS)と紐づけすれば携帯を紛失しない限り大体安全です。必要なら携帯もパターンロックしよう。

ここが守り切れなかったらもうおしまいです(´;ω;`)ブワッ
そんなことにならないように何度も言いますがワンタイムパスワードはしっかりしよう!

(´・ω・`)最初からキャリアメールで登録すれば安全じゃないかしら?
という考えの方もいるかもしれません。例えばDocomo IDがあればフリーメールのようにどこでも確認できるサービスがあるため安心とは言えません。ここも過去に何度も攻撃されています。
https://mail.smt.docomo.ne.jp/

常に狙われているという意識を持つことが大事

ちなみにこのサイトは無料ブログではなく、サーバーを借りたりブログ構築から始めているためセキュリティに関しては自己管理しなければいけないのですが!
毎日めっちゃ狙われてます。それも10秒ぐらいの感覚で(´・ω:;.:…

hack
去年の12月下旬の分。こちらは総当たり攻撃で海外からの不正アクセスが止まらない

その数はこのサイトだけで1か月で1000回以上超えてますがこれでも少ない方です。でもこの攻撃者はちょっと頭が賢いので、このサイトは「yucomia.com」でキャラも「ゆこみあ」だからIDもyucomiaだろ!と推測しています。

でも安心してください。当たってますよ!(白目)

まとめ

セキュリティのレベルに関しては他のネットゲームより高いと言えます。基本的にMACアドレスで弾くように導入されているところは少ないです。例えばネクソンとか。

今回のSEGAの規模で言うと他社の被害状況と照らし合わせて20万回ぐらいされていると思います。出来れば運営元がしっかり対策してほしいところですが、残念ながら技術的に100%防ぐことはできません。万が一のためにパスワードは定期的に変える!可能なら他社サービスで使用したIDとPWを使いまわさない!

当たり前だけど簡単かつ一番効果が高い対策かもしれません。

6 コメント

  1. 僭越ながらとても解りやすく噛み砕いた良い警鐘記事ですね。もっとこういった記事が増え、素直に(面倒…、私は…と思わず)読んでくださる方が増えると良いのですが。
    残念ながら、統計やアンケートの記事を見る限り、これほど被害が出ているのにもかかわらず、PASS、IDの使い回しや、誕生日など個人情報を推察できるもの、1324など連続したPASSなどが大変多いのにびっくりします。
    個人でどんなに気を配っても、有名大手企業が何万件と抜かれることもしばしばあるご時世、被害を最低限に留めるためにも1ID1PASSは大事ですよね。

    • 過去にやられたことがあるのでハックされても問題ないアカウントは使い回しのIDとPWで、ハックされるとマズイものは全く違うものにするというやり方で使い分けてます!

      自己防衛は大事です!

      • できたら全て1ID1PASSが良いですよ、面倒っちゃ面倒ですけどね。
        万が一ハックにあっても、あまり問題のないと言われるアカウントでも、そういった事をしている輩に成功例というか、実績のようなもののチャンス(スキ?)与えてるような気がして、なんかね…
        実害がなければ、連中がくたびれ儲けになるだけなんだけど。(ただ、リスト型でもハックで抜かれた企業側はそれなりに何かと経費が膨らむそうなので、それがサービス全体に多少なりとも影響でもあれば、巡り巡ってユーザーの不利益になるのかなと…考えすぎ?)
        元は、そんな輩が後を絶たないから面倒なことになってるし、顧客アカウントを扱う企業の防壁がもうちょっと強固だと、こんな心配いらないんですけどね。

  2. なるほど… かなり勉強になりました。他社をハックするのも結構骨が折れそうな作業かなと思うけど、入手したらまた売買して更に広がる可能性ももしかしたらあるかもしれないですね。

    それにしても未だにINできない人いるのか…

コメントする

▼スパム防止のため答えを入力してください▼ *