自由掲示板
| アカウントハックまとめ |
 |
小薔薇_cic | 06/11/02 12:12 |
アカウントハック被害を受けてから4日目。
故意に目立つ場所に放置したり、中華に対抗する露店を出して挑発したりしていますが、パスワードを変更してからはいまのところ再度の被害は受けていません。
これまでの経緯を簡単にまとめると、
IDは無作為な英数字の羅列だった ・・・ まぐれ当たりする確立は473京分の1
ただしパスワード=IDだった ・・・ 自分でパスワードを忘れたときに緊急避難的に変更してそのまま
キャラ名を見てアカウントIDを推測することは不可能です。また、PCはウイルス、スパイウエア等に感染してはおらず、ネットカフェも利用していない、ルーターのログを見ても不明なサイトに接続した形跡なしと、クライアントPCから直接アカウントやパスワードが流出した可能性は0です。
BOTが蔓延していることからして、マビノギのサーバ~クライアント間の通信内容はすでにほとんど解析が済んでいるのは間違いないようです。加えて、昔は取引時にお互いのアカウントが表示されていたというタレコミ、他のMMOでも個別認識のためのID情報としてアカウントIDがそのまま使われることが一般的(大いに問題だと思いますが)になっていることから、現在もアカウントIDがそのまま漏れている可能性は高く、
通信ログから特定キャラクターのアカウントIDを抜くことは容易
という状態になっているようです。
パスワードは当てずっぽう、または総当りで探している可能性が高いと思われますが、IDからパスワードを推測する手段(IDそのまま、IDの逆順など、心理学的類推手段)は心得ているようです。(まるきり犯罪者集団ですね・・)
ハッキングを受ける直前には、ハッキングを仕掛けた人物らしきキャラよりフレンド登録をされています。(その後同一人物より何らかの指示をするメッセージやメモが連続して届いていることから間違いはありません。)このことから、少なくとも
フレンド登録の操作を行うと相手のアカウントIDを抜くことができる
ようです。
私の場合は右クリックメニューからのフレンドに追加、の操作が行われたようですが(*)、フレンドリストの追加操作でも同様かどうかはわかりません。露店には店主の名前が表示されるので、もし追加の操作で直接名前を入力してもIDが抜けるとすればどこに逃げていても同じです。
*:私の使っていたPCは旧式のため、ログアウトすると必ずエラー終了し、直前の画面がそのまま残る(ただしSSは取れません)ことから判明しました。
つまり、
IDは筒抜けなのでどんなに複雑なアカウント名にしても無意味
パスワードを可能な限り難解にする以外に防衛手段がない
ということです。
--- 以下愚痴 ---
私が狙われた原因は明白ですね。
中華の祝福詐欺露店の横で延々と祝福を安く売っていましたから。
露店キャラには安い装備しか持たせていなかったので、金を持っていそうだから狙われたということもないでしょう。
商売で勝てないから商売敵を殺してしまえというわけですか。
さらに、キャラが中華仕様に作り変えられていたので(裸族でツルハシ装備)、財産を奪ったばかりか、キャラそのものにも不正行為の片棒を担がせるつもりだったようで、下手をするとネクソンIDを共有する本キャラのほうにも被害が及ぶ(不正行為を理由に連BAN)ところでした。本当におぞましいことです。
中華の本質をまざまざと見せ付けられました。
受けたゲーム内マネー被害は、現金で80万G、露店売上げが20万G、装備していたレアカラー武器&防具、熟練100武器(G1仕様)など、現在の相場で処分して現金化したとすれば全部で300万G程度になります。
RMT専門サイトを見たところ、現在の交換レートは10万Gあたり200円前後のようですので、全額をRMTで現金化したとすれば6000円程度の被害額ということになります。
私自身はRMT絶対否定派なので実際にRMTで現金化することはないのですが、「RMT相場では××円の被害になる」という形で被害届を出すのは有効かもしれませんね。もしくは、精神的苦痛に対する慰謝料請求とか。
結局、法的には無価値なはずのゲーム内マネーを有価証券化させているRMTという存在があるからこそこうした犯罪行為が蔓延するわけで。
 |
フォンシャア | まとめ、お疲れ様です。 RMTは私も絶対反対派ですが。 何よりゲーム通貨を買うのが日本人だけ。 と言う現状自体変わらない限りRMTは無くならないのでしょうね… 06/11/02 12:20 |
|
|
かげまろ | まさに体を張ったタイトルですね。 辛い目に合われながらもごくろうさまです。 06/11/02 12:30 |
|
|
takechan_tar | IDを作成した経緯は知りませんが、公開されているパスワード作成ツールを使ってIDを作成すると簡単にばれるでしょうね。 06/11/02 12:35 |
|
|
小薔薇_cic | キーボードをデタラメに乱打して作成した文字列から必要文字数を切り出して作りましたので、紙にメモでもしておかないと本人でも忘れます^^; 06/11/02 12:40 |
|
|
ちょっとだけ_tar | お気持ちは察しますが・・・ 現金換算云々で訴えを出すのは有効かもしれないけど余りやって欲しくないかな・・・RMT否定派とは言ってますが、その訴えが通る事によって社会的にRMTが肯定されかねない RMT否定派であるのなら不正アクセスの方面で訴えるほうがいい気がすますよ 06/11/02 12:53 |
|
|
小薔薇_cic | 不正アクセス被害を受けたのは私の管理するサーバではなく、サーバを管理しているネクソンなので、ユーザーが不正アクセスで訴えるのは難しいと思います。(ただし、不正アクセスを放置していれば運営側は社会的モラルを問われることになります。) ゲームマネーの現金価値については、実害がないと動かない警察に動いてもらうための方法として提案してみたもので、実際にこれからそれで訴えを起こすという意味ではありません。 RMTを許容するつもりは毛頭ありませんが、RMTの存在を広く社会的に認知(容認ではない)してもらう必要はあると思います。 RMTがもっと大きく社会現象としてジャーナリズムに取り上げられ、それが政府を動かしてゲーム内マネーを現金と交換することを明確に禁止する法律が施行されるということが個人的な希望です。(先日のゲームマネー取引詐欺の判例のように、司法は動き始めた感を受けますので、遠からず何らかの動きがあると期待しています。) 現実問題として、ゲームマネーを現金にすることが可能な現状が様々な犯罪行為を呼び込んでいるわけですし。(金が絡むと人間は際限なく汚くなりますから・・・) 06/11/02 14:25 |
|
|
ちょっとだけ_tar | 不正に自分のアクセス権限を侵害されたみたいな感じで行けそうな気が RMTを取り締まる方向で進む・・・だろうけど、無くさずに管理する方向に流れる可能性が極めて高いとだけ 明確に禁止する為にはデータは全て運営会社の所有物なので無断で取引するなーとかになるんでしょうけど 違う方向性から検討すると非常に厄介な事に・・・ 取引詐欺の判例なんてRMT肯定されかねない典型的な例でしょう・・・・あれが基準になるとゲーム内の物には現実的な金銭価値がある事が前提になってしまう 06/11/02 15:52 |
|
|
小薔薇_cic | 現実問題として、ゲームマネーには現金に換えられる価値があることになってしまっています。(RMT業者がその価値を保証しています。) 法整備の段階で、RMTがゲームマネーに価値を与えてしまうのが諸悪の元凶であるからその大元を断たねばならない、という方向で進めばいいのですが。 RMTが容認され、ゲームマネーに換金価値が保証されてしまえば、MMOなんてギャンブルと同じですからね。 よりギャンブル性の高いゲームが増えて、マビノギのようにまったり楽しめるMMOは衰退していくでしょう。 06/11/02 16:48 |
|
|
ちょっとだけ_tar | まだ合法でも非合法でもない現段階において、金銭的価値を認めたら合法に傾く可能性が上がるって事ですよ・・・ 実質的にそうなのと、社会的認識がそうなるのとでは違うと思うんだよ 06/11/02 17:07 |
|
|
小薔薇_cic | 社会的認識といっても、現状はRMTの知識があるごく一部の人の間だけですからね。社会的影響が限られているうちは政府も動かないので、裁判所での判例止まりになっている状態だと思います。上にも書いた通り、もっと社会的に存在が認知されないことには・・。 ただ、あまり個別の判例が重なってしまうと「現状」を追認する形でしか法整備できなくなってしまうのはおっしゃる通りで、早いところRMTは非合法という定義付けをして阻止してくれないと現状はどんどん悪化していきます。(業者にとってはウハウハでしょうが。)後手後手のツギハギ立法はもうたくさんです。 06/11/02 17:31 |
 |
藤宮千沙 | ハックされたのかはわかりませんが、あたしは急にエラー落ち⇒INしようとパス入力すると、「既にインしている」という警告窓。それが1時間に3回起こりました。 それでマビのフレンドに相談したところ、ハッキングかもしれないとのことで、パスをすぐ変えました。 すると、それ以来はとりあえず同じ状況になることはないみたい。 怖いですね~ 06/11/02 13:02 |
|
|
シャヴィ_rua | なんていうかさ、昔から結構問題になってたと思うんだけど 流石ネクソン。動じてないぜ! 海外からの接続を完全にアウトしてくれないかねぇ。BOTだの中華だのいい加減消えて欲しいんだがなぁ カタカナは使えないと言われてきた中華達だけど最近はカタカナ交じりの 名前のやつも出てきてるし、そろそろ対策してくれないかねネクソンさん。 06/11/02 13:04 |
|
|
ミアコーダ | >IDは筒抜けなのでどんなに複雑なアカウント名にしても無意味 IDというのはサーバ内でアカウントを管理する為の通し番号のことです。 ログインの際にはマビノギID(アカウント名)が必要ですが 通し番号からマビノギIDを引き出すことはできませんので、 アカウント名を複雑にすることは、ハッキング対策としては有効です。 あなたがハッキングされたのはマギノギID=パスワードにしていたのが原因です。 それがたとえ無作為な英数字の羅列でも、総当り式の攻撃には無力です。 06/11/02 15:40 |
|
|
ちょっとだけ_tar | マビノギIDが筒抜けな可能性も充分あるんだけどね マビノギID=パスだとしても・・・どうやってIDに確信持ったのかが問題な気がする 06/11/02 15:57 |
|
|
小薔薇_cic | >通し番号からマビノギIDを引き出すことはできませんので、 通常はそうだと思いますが、マビノギではアカウント名をそのままゲーム内の識別用に使っていると考えたほうが論理的だと思います。 もちろん暗号化はされているでしょうが、クライアントの通信部分を解析すれば複合化することはできるでしょう。ハッキング犯人はBOT開発などの過程で通信内容を解析するうちに、アカウント情報がそのままの形で流れてくることを知ったのだと考えるべきだと思います。 私のIDは完全に無作為な英数字の羅列でした。総当りでアカウントを探ったとしても、誰かのIDにまぐれ当たりする確率は(ユーザ総数/約473京)となり、まさに天文学的な的中確率です。 マビノギID=パスワードにしていた私の不注意もありますが、私もマビノギIDが他人知られるようなケースは想定していませんでしたので。 やはり第三者にアカウント名を見せてしまうようなシステムになっていると考えるべきで、開発者のセキュリティーに対する認識不足を指摘するべきかと思います。 アカウント名もパスワードもわからないからこそ、ログインという手続きが意味を持つのですから。 06/11/02 16:31 |
| 件名 | 名前 | 日付 | 閲覧数 | ||
 |
2005/03/23 | ||||
|
2005/03/04 | ||||
|
2005/01/17 | ||||
| +4 |
|
yabee | 2006/11/26 | 3551 | |
| +15 |
|
コロナン_cic | 2006/11/08 | 5334 | |
| +1 |
|
さもはーん | 2006/11/04 | 4294 | |
| +8 |
|
Durindana | 2006/11/04 | 5991 | |
| +32 |
|
テラワロスン_mar | 2006/11/04 | 7140 | |
| +73 |
|
小薔薇_cic | 2006/11/02 | 7964 | |
| +9 |
|
リバーシュ | 2006/11/02 | 3724 | |
| +15 |
|
小薔薇_cic | 2006/11/02 | 6923 | |
| +9 |
|
kirsh | 2006/11/01 | 6713 | |
| +77 |
|
アロエリア | 2006/10/30 | 8502 | |
| +38 |
|
小薔薇_cic | 2006/10/30 | 11887 | |
| +4 |
|
テラワロスン_mar | 2006/10/30 | 3921 | |
| +9 |
|
テングタケ | 2006/05/14 | 8882 | |
| +34 |
|
スプーキー_rua | 2006/01/07 | 7955 | |
| +1 |
|
ふま_rua | 2005/12/12 | 9350 | |
| +7 |
|
naoyan5 | 2005/08/15 | 3353 | |
| +27 |
|
primea | 2005/04/13 | 5511 | |