 |
ラティサ |
09/02/28 16:54 |
外部のサイトで、農場を借りたりした場合IDが外部に漏れる、セキュリティとしての脆弱性が指摘されました。
指摘内容を見る限り、「ネットワーク管理に使われる、あるソフト」を、入れるだけで収集できると思われます。
コストを掛けず、IDを収集できると思ってよいでしょう。
ネットワークの知識が少しでもあれば、実行可能です。
しかも、推測される手法は「自分に来る通信」に対して行うので、規約にも法律にも触れないようです。
ですので、悪用された場合を除き“規制することは、ほぼ不可能”だと思われます。
よって、農場借りたことがある方は、
1. 今すぐにパスワードを
『 5 桁 を 超 え る 長 さ 』
2. IDを出した脅し、パスワード聞き出しは
絶 対 に ス ル ー し 、 即 通 報
してください、サイバー犯罪対策窓口(各都道府県警の案内、もしくはインターネット・ホットラインセンター http://www.internethotline.jp/)や該当する機関へするようお願いします。
メモなどゲームシステムを利用した脅しの場合は、サポートにも通報してください。
なお、オレオレ詐欺と同様に、運営や外部からパスワードを伺うことは在りえません。
なお、農場システムを使った事がない方でも、公式サイトでもXSS脆弱性でIDを引っこ抜けるのが1年放置されていた事が指摘されておりプレイ期間が長い方は、この機会に変更することをお勧めします。
そして、「5桁を超える長さ」を推奨するのは、計算結果を見れば一目瞭然です。
アルファベット26文字+数字0~9で「1文字あたり36通り」
5文字ですと「36の5乗で、60,466,176 約6000万通り」になりますが。
最小の『4文字程度だと36の4畳・・・1,679,616通り。たったの160万通り』になります。
さらに、マビノギのログインシステムは、一定回数入力ミスしたときに弾く機能が無い模様です(検証が必要ですが・・・)
なので、5文字でも総当りで近日中に解析されてしまう危険性が高いです。
さらに、他のサイトでの掲示板書き込みし削除用パスワードなど共通にしている場合は、そこから引っ張ってこられる可能性があります。
なお、よくあるパスワードはある程度抑えられており、そのパスワードは間違いなく突破されます。
さらに、ネクソンとマビノギIDが同じ場合はネクソンIDを支配されすべて支配されるリスクも発生します。
ログインしたまま放置しても支配は防げません。
他からログインされると、一旦両方切断されます。
(メインPCでプレイ中に、サブPCで間違ってログインした事が在っり、立証済み。)
つまり、いきなり切断されて「前回の接続が~」とか言われた場合、解析されてしまったと思ったほうが良いみたいです。
なお、IDを支配された場合、救済する某大手ゲーム会社と違い「BANする」と明記されるため、正当な手段(消費者センター等)でも復帰は難しいでしょう。
http://www.mabinogi.jp/6th/notice/noticeBoardContent.asp?th=1368999&ix=1368
不幸なBANを防ぐためにも、自衛措置をお願い致します。
