まかふぃーぶはじめました 第23回

「やばいと思ったが、アカウントの使い回しを抑えきれなかった」

オンラインゲーマーよ！6文字パスワードは17秒で破られる

ネトゲとかSNSのID・パスワードを
使い回してる悪い子は挙手

マカフィー サイバー戦略室のシニア・セキュリティ・アドバイザー佐々木伸彦氏にお話を伺った

　リスト型アカウントハッキング。平たく説明すると、どこかのサービスから漏洩したログイン情報を利用して、他のサービスへ手当たり次第ログイン作業を行なうもの。被害のニュースは今年に入ってから幾度も流れているため、リスト型アカウントハッキングの文字を見たことがある人もいるだろう。

　リスト型アカウントハッキングは、ウェブサービスを利用する以上、まず意識すべき問題といえる。どのサービスを利用するにせよ、基本的にログインIDとパスワードの入力があるからだ。その代表格は現在だと、SNSとオンラインゲーム（またはSteamやOrignなどのゲームポータル）といったところだろうか。

　この手法が成功してしまう背景には、ログインIDとパスワードの使い回しがある。たとえば、Twitterのログイン情報とオンラインゲームのログイン情報が同じという人は意外といるのではないだろうか。人によっては、全部一緒だというケースもあるだろう。

“乗っ取られたら終わり”なのは
オンラインゲームもフリーメールもSNSも同じ

　オンラインゲームのアカウントの乗っ取りは、SNSの利用率が高くなる前から問題になっていたこともあり、運営側の対策も手馴れたものとなっている。

　たとえば、現在筆者が絶賛プレイ中の「ファンタシースターオンライン2」（以下、PSO2）公式サイトでは、ほぼトップの位置に『不正アクセスを防ぐため「パスワードの使いまわし」にご注意ください』という注意文が掲載され、パスワードを変更したユーザーにゲーム内アイテムをプレゼントといったキャンペーンまで行なっていた。

　と、ここまで書いたところで、上記の注意文が『【重要】不正アクセスを防ぐため、登録メールアドレスにご注意ください』に変更されたようだ。同時に、ゴールデンタイムにはゲーム内でも登録メールアドレスのパスワード変更をうながすアナウンスが流れている。

　この原稿は連休直前に執筆しているので、プレイ人数の増加に伴う処置だろう。タイムリーでもあるので、この事例を元にIDとパスワードについて考えてみよう。

　PSO2のログインは、クライアント起動時に“SEGA ID”と“パスワード”を入力する。セキュリティとしては、初回ログイン時にそのPCを認証するために、登録メールアドレスにトークンを送信して認証する方法だ。つまり、異なるPCからログインしようとする場合でも、トークンを受信できないとログインできないことになる（ただしネットカフェは除く）。

PSO2オフィシャルサイトに掲載されているお知らせ。原因についての説明が明瞭なのでプレイしていない人にも一読の価値がある

　次にウェブサイト上からの場合を見てみると、こちらはワンタイムパスワードの利用に対応している。ワンタイムパスワードのサービスはSecureOTPを採用しており、スマホかフィーチャーフォンでトークンを確認するという流れだ。

　プレイしているタイトルがワンタイムパスワードに対応しているのであれば、SEGA IDに関しては、物理的な盗難がないかぎり、まず安心といえる。

　さて、『【重要】不正アクセスを防ぐため、登録メールアドレスにご注意ください』の“登録メールアドレス”への言及は何を意味するのだろうか。

　注意文には、「悪意のある第三者にSEGA IDとパスワードを勝手に利用され、ゲーム内にログインされる『不正アクセス』（アカウントハッキング）と思われるご報告を多数いただいております」とある。

　理由はいくつか考えられるが、可能性が高いのは、ゲーム側ではなく、メールサービス側のパスワードが漏れている場合だ。

　多くのユーザーがフリーメールアドレスで、オンラインゲームに登録していると思うが、そのフリーメールのパスワードが悪意ある第三者に漏れた結果、PSO2への不正ログインが多数実行されているという解釈。

　これはカンタンな話で、登録メールアドレスの大元にログインできれば、PSO2のログインIDやパスワードの参照は容易だ。これはPSO2だけでなく、あらゆるオンラインゲームに言えることだ。