このページの本文へ

前へ 1 2 3 次へ

まかふぃーぶはじめました ― 第23回

「やばいと思ったが、アカウントの使い回しを抑えきれなかった」

オンラインゲーマーよ!6文字パスワードは17秒で破られる

2013年06月08日 21時00分更新

文● まかふぃーぶ

  • この記事をはてなブックマークに追加
  • 本文印刷

ネトゲとかSNSのID・パスワードを
使い回してる悪い子は挙手

マカフィー サイバー戦略室のシニア・セキュリティ・アドバイザー佐々木伸彦氏にお話を伺った

 リスト型アカウントハッキング。平たく説明すると、どこかのサービスから漏洩したログイン情報を利用して、他のサービスへ手当たり次第ログイン作業を行なうもの。被害のニュースは今年に入ってから幾度も流れているため、リスト型アカウントハッキングの文字を見たことがある人もいるだろう。

 リスト型アカウントハッキングは、ウェブサービスを利用する以上、まず意識すべき問題といえる。どのサービスを利用するにせよ、基本的にログインIDとパスワードの入力があるからだ。その代表格は現在だと、SNSとオンラインゲーム(またはSteamやOrignなどのゲームポータル)といったところだろうか。

 この手法が成功してしまう背景には、ログインIDとパスワードの使い回しがある。たとえば、Twitterのログイン情報とオンラインゲームのログイン情報が同じという人は意外といるのではないだろうか。人によっては、全部一緒だというケースもあるだろう。

最近の不正アクセス事件
発表日 被害サービス日
2月1日 Twitter
2月15日 Facebook
3月3日 Evernote
3月17日 JINS
4月3日 gooID
4月4日 Yahoo! JAPAN
4月4日 フレッツ光メンバーズクラブ
4月6日 eBookJapan
4月17日 My JR-EAST
4月27日 DOCOMO USA Wireless

“乗っ取られたら終わり”なのは
オンラインゲームもフリーメールもSNSも同じ

 オンラインゲームのアカウントの乗っ取りは、SNSの利用率が高くなる前から問題になっていたこともあり、運営側の対策も手馴れたものとなっている。

 たとえば、現在筆者が絶賛プレイ中の「ファンタシースターオンライン2」(以下、PSO2)公式サイトでは、ほぼトップの位置に『不正アクセスを防ぐため「パスワードの使いまわし」にご注意ください』という注意文が掲載され、パスワードを変更したユーザーにゲーム内アイテムをプレゼントといったキャンペーンまで行なっていた。

 と、ここまで書いたところで、上記の注意文が『【重要】不正アクセスを防ぐため、登録メールアドレスにご注意ください』に変更されたようだ。同時に、ゴールデンタイムにはゲーム内でも登録メールアドレスのパスワード変更をうながすアナウンスが流れている。

 この原稿は連休直前に執筆しているので、プレイ人数の増加に伴う処置だろう。タイムリーでもあるので、この事例を元にIDとパスワードについて考えてみよう。

 PSO2のログインは、クライアント起動時に“SEGA ID”と“パスワード”を入力する。セキュリティとしては、初回ログイン時にそのPCを認証するために、登録メールアドレスにトークンを送信して認証する方法だ。つまり、異なるPCからログインしようとする場合でも、トークンを受信できないとログインできないことになる(ただしネットカフェは除く)。

PSO2オフィシャルサイトに掲載されているお知らせ。原因についての説明が明瞭なのでプレイしていない人にも一読の価値がある

 次にウェブサイト上からの場合を見てみると、こちらはワンタイムパスワードの利用に対応している。ワンタイムパスワードのサービスはSecureOTPを採用しており、スマホかフィーチャーフォンでトークンを確認するという流れだ。

 プレイしているタイトルがワンタイムパスワードに対応しているのであれば、SEGA IDに関しては、物理的な盗難がないかぎり、まず安心といえる。

 さて、『【重要】不正アクセスを防ぐため、登録メールアドレスにご注意ください』の“登録メールアドレス”への言及は何を意味するのだろうか。

 注意文には、「悪意のある第三者にSEGA IDとパスワードを勝手に利用され、ゲーム内にログインされる『不正アクセス』(アカウントハッキング)と思われるご報告を多数いただいております」とある。

 理由はいくつか考えられるが、可能性が高いのは、ゲーム側ではなく、メールサービス側のパスワードが漏れている場合だ。

 多くのユーザーがフリーメールアドレスで、オンラインゲームに登録していると思うが、そのフリーメールのパスワードが悪意ある第三者に漏れた結果、PSO2への不正ログインが多数実行されているという解釈。

 これはカンタンな話で、登録メールアドレスの大元にログインできれば、PSO2のログインIDやパスワードの参照は容易だ。これはPSO2だけでなく、あらゆるオンラインゲームに言えることだ。

前へ 1 2 3 次へ

この連載の記事
せきゅラボの全貌がわかるムービー公開中!

McAfeeウイルス駆除サービスバナー

McAfeeウイルス被害疑似体験サイトバナー

「ドコモ あんしんナンバー チェック」のサービス提供対象やご利用方法などの詳細はNTTドコモのウェブサイトをご覧ください。

スマートフォンから PCなどから