ニュース(ハッキングについて) |
![]() |
ファルシスー | 09/05/18 21:07 |
4Gamerの記事です
エムゲームジャパン,公式サイトの脆弱性でアカウントハッキング発生
エムゲームジャパンは,5月14日に同社公式サイトで「ナイトオンラインクロス」「英雄」「ルナティア」の3タイトルについてアカウントハッキングが発生していたことを発表した。
これは,公式サイトのXSS脆弱性を突いたもので,他人のIDでログインができる状態であったという。XSS(クロスサイトスクリプティング)とは,Webブラウザがサイトに送信するURLなどに細工をすることで,データベースなどを誤動作させることをいう。今回の件では他人のIDで簡単にログインができる状態になっていたものと思われる。
エムゲームによると,アカウントハッキングが報告されだしたのが,4月初めで,調査・対策が完了したのが5月14日11:00。同日,公式サイトで情報が公開されている。対応に約1か月かかっているわけだが,情報収集やログチェック,原因の究明と対応策などを考えると,まあしかたないところではあろう。対策を確立しないまま情報公開をすると被害を拡大させてしまうので,対応が終わるまで情報を伏せざるをえなかったというのは分かるが,その分,被害を看過していたのも確かなので,被害者への補償はきっちりやっていただきたいところだ。
XSS脆弱性は,Webのセキュリティでは基礎的な部類に属する。「試してみたら入れちゃった」といった程度のいたずらから発生することもあるレベルだが,不正アクセス禁止法違反であるのはいうまでもない。エムゲームでは,法的処置を含めて断固たる対応を行うと明言している。
なお,個別のIDに対しての不正ログインとなるため,会員全体にわたる情報流出や被害は起きていないという。しかし,個別のプレイヤーについては,他人のIDでログインしてゲームをプレイできたと思われるので,Mintやアイテム,ゲーム内通貨,キャラクターデータをはじめとした被害が発生している可能性がある。上記3種類のゲームのプレイヤーは,自分のアカウントに被害がないかを確認しておこう。被害が発生していた場合の対応などは,各ゲームの公式サイトを確認してほしい。被害が分からないという人も,念のためにパスワードは変更しておこう。
![]() |
泪橋の伊助 | 悪い、さっきのコメントは俺の勘違いだった。 09/05/18 21:23 |
![]() |
リバーシュ | その お話は昨日あるブログで見かけて、ブログ元とルナティアの公式告知のリンクを流用したところ 問題あったようでした。 あるブログのお話では たまたま台湾の下っ端ハッカーを見つけコンタクトをとった所 上層階級のハッカーが盗み出したID情報を買って自分がハッキングしている。 ハッキングしたとき 不自然な歯抜けの盗り方をするのは ・操作が面倒 ゲームに不慣れ ・物の価値がわからない 上記理由により 相応の値段設定がされない。 また、下っ端ハッカーは数を数えていないほどのアカハックをしている、 (恐らく侵入に成功した)上層ハッカーは何でも知っている。 と下っ端ハッカーが話していたとのことです。 09/05/18 21:24 |
![]() |
アヌルッダ_tri | やっぱ値段適当だったのはそれらの理由があったからなのね。 09/05/19 00:03 |
![]() |
ナディアーノ | エムゲームはブラウザでログインして、そこからクライアント起動するので、 クライアントを起動してから、IDとパスを入れるマビノギとは関係ないのでは? 09/05/18 21:27 |
![]() |
あるもん | しかし課金やこういう書き込みをするときは 公式でログインをしなければならない事実 09/05/18 21:30 |
![]() |
ナディアーノ | XSSの脆弱性、というものがよく分からないのですけど・・・ IDが分かれば(適当に打ってみて)、パスが分からなくてもログインできたのかなぁ、と思ったんです。 公式サイトにログイン→サイトのゲームスタートボタンよりゲームログイン という流れなので。。 09/05/18 21:44 |
![]() |
猫きのこ_mar | |ω`) そういえば マビも 昔公式にゲームスタートボタンがありましたなぁ |ω`) いつの間にかなくなったけど 09/05/18 21:52 |
![]() |
あるもん | 適当でIDを打ってPWなしでもログインできるとなると 誰か忘れたけどIDが長すぎる人が垢ハック被害に遭ってるので 適当打ちではさすがにヒットが厳しいかと思われますね。 農園事件でIDを不正入手した情報を元に垢ハックをしたのか… まぁ よくわからんとです。 09/05/18 21:59 |
![]() |
ナディアーノ | 私が言ったのは、エムゲームの事ですよ?? 『IDが長すぎる人』というのもエムゲームの人ですか? マビは公式サイトにログインされたとしても、ゲーム内は関係ないわけで。 だからエムゲームの件は、マビノギの垢ハクとは無関係じゃないのか? と思った次第です。分かりにくくてすみません;; 09/05/18 22:13 |
![]() |
流星ジョニ一_tar | U・ω・)データベースなどを誤動作というよりは ユーザーに攻撃者が意図した動作をさせる的な感じなんじゃないかと思う。 ログイン情報を保存してるクッキーを攻撃者に送信するとか 09/05/18 21:30 |
![]() |
リバーシュ | 追記 (ほかのゲームの場合ですけど) パスワード変更に加えて パスワードリマインダなどそのほかの個人情報の改竄がないかも確認しないとダメです。 たとえば、自分のメアドにパスワード情報を送るところがありますけど メアドをすり替えられていたら、アウトです。 マビの場合は マビID 旧PWの入力から新PW それと ネクソンIDを入れないとダメなようですが。 09/05/18 21:46 |
![]() |
キルローグ | XSSの脆弱性を突かれての、こういう不祥事は、これを商売にしてる人にとって ひじょ~に、恥ずかしいことらしいです。 09/05/18 21:47 |
![]() |
ホラス | それを商売にしてる、つまりプロを謳ってる連中が、 どこの馬の骨ともわからん奴にコテンパンにされてるってことだからそりゃあな。 09/05/19 03:05 |
![]() |
リバーシュ | 公式からIDとPWが抜けた時点でアウトなら 公式とは別の2重認証を使うのが妥当だと思う。 案を再提示 1 決済時に ユーザーしか知らない3桁の番号を発行してもらう。 2 キャラ選択時に3ケタ番号が必要だけど 公式にはまったく関係ないようにする。 3 3桁の番号はID初回作成時か 何らかの課金決済を行ったときのみ設定できる。 4 クラッカーはIDとPWを手に入れても 最低購入金額のネクソンポイントを購入して3桁の番号を得るか 3桁の番号を逐一クラックしなければならない。 5 4の前者の場合最低500円を決済しないと乗っ取れないが、中にそれ以上の価値のあるものが詰まっているかはわからないため、リスクが増す。 後者の場合は 認証が何回も失敗すればクラック防止のため、一定時間IDがロックされる。 RMT売却益が目的の場合1アカウント 500円かけるか、3桁番号を突破するかになり 効率は確実に落ちる。 この案どんなもんでしょうか・・? 09/05/18 22:36 |
![]() |
吟遊商だすと | 結局のところ垢ハックもBOTもRMTがなくなりゃ無くなるんかな…? RMTなんとかしろよ… 09/05/18 23:00 |
![]() |
穂香_cic | 残念ですが、「趣味でハッキングする人」や「荒らすを目的でやる人」がいらっしゃるのですよ。 RMTがなくなれば頻度は下がると思いますが、やはり警戒が必要です。 09/05/19 02:14 |
![]() |
まきまき | あーあクロスサイトスクリプティングきちゃったかー 恥ずかしいことではあるけれど、よくある不具合だってのも確か。 マビノギのサイトは大丈夫だろな? 09/05/18 23:21 |
![]() |
Blow_tri | ┐・_・)他ゲーでも垢ハック… 今現在、IDやらパスワードがわかってしまう 新手のウィルスが公式HP等でも出没してるそうで… 人間はトンフル、パソもウィルスと…最近 ウィルス関連多いですよね… 09/05/18 23:39 |
![]() |
pphs41 | 16歳のクソ餓鬼が自分のクラッキング能力を売り込むために、ネットにワームを流して名乗りを上げる時代ですからねぇ・・しかもその餓鬼をIT企業がネット犯罪抑止の名目で雇用したって言うんだから・・・ひどい時代だ 09/05/19 00:11 |
![]() |
ホラス | 印象に残ってるクソ餓鬼といえば、 エレゴシ欲しさに3600万円荒稼ぎしたクソ餓鬼も記憶に新しいな。 09/05/19 02:50 |
![]() |
綾輝 | ゲームスタート式マビノギ http://mabinogi.hangame.co.jp/ 09/05/19 08:22 |
件名 | 名前 | 日付 | 閲覧数 | ||
![]() |
2005/03/23 | ||||
![]() |
2005/03/04 | ||||
![]() |
2005/01/17 | ||||
+3 |
![]() |
口みくる口 | 2009/05/19 | 1433 | |
+16 |
![]() |
菜摘 | 2009/05/19 | 1230 | |
+8 |
![]() |
戦闘員01_mar | 2009/05/19 | 1843 | |
+1 |
![]() |
刑天 | 2009/05/19 | 1842 | |
![]() |
erumu | 2009/05/19 | 1086 | ||
+51 |
![]() |
特攻玉砕野郎_tar | 2009/05/19 | 4886 | |
+1 |
![]() |
冬乃 | 2009/05/19 | 703 | |
+5 |
![]() |
クェルチャ | 2009/05/19 | 1173 | |
+1 |
![]() |
黒様69 | 2009/05/19 | 2020 | |
※元の記事は削除されました。 |
|||||
+5 |
![]() |
バラモス_tar | 2009/05/19 | 4733 | |
+20 |
![]() |
ユークリッド_mar | 2009/05/19 | 3001 | |
+14 |
![]() |
ヘルキウス | 2009/05/19 | 6023 | |
+16 |
![]() |
ぷりんてぃん_tar | 2009/05/19 | 7788 | |
+6 |
![]() |
abon_mar | 2009/05/19 | 1199 | |
+20 |
![]() |
刑天 | 2009/05/18 | 4529 | |
+20 |
![]() |
ってのは嘘 | 2009/05/18 | 3233 |