【事件】Mobageに不正アクセス!?ユーザーの個人情報があぶない!


AdobeStock_85167242_WM

4/1にこんなニュースが報道されました。

Mobageに不正アクセス…確認されたID件数は最大104,847件、『グラブル』や『デレマス』のプレイヤーは要注意(インサイド)

不正ログインが確認された期間は2016年1月9日~4月1日で、対象ID件数は最大104,847件(4月1日時点)です。同社によると、2016年3月29日に「Mobage」ユーザーからの問合せを受け調査がを開始し、3月31日に他社サービスから流出した可能性のあるID/パスワードを利用した不正ログインと思われる試行が、海外のIPアドレスから行われていたことを確認。期間を遡って調査した結果、前述した期間に同一のアクセス元とみられる情報端末から不正の可能性があるアクセスがあったことが判明しました。

3月に中国からの不正アクセスの土台となっていた代理サーバー業者「日中新生コーポレーション」が摘発され、ショッピングサイトなどのID約10万件が抜かれたと報道されたことは記憶にあたらしいところです。

代理サーバー 通販IDなど1800万件 摘発業者が保存(毎日新聞)

 大量にIDなどが見つかったサーバーを保有していたのは、昨年11月に不正アクセス禁止法違反容疑で摘発された「日中新生コーポレーション」(埼玉県戸田市)で、主に中国の利用者からの接続を中継していたとみられる。サーバーには、自動的にサイトへの接続を繰り返し、有効なIDなどを選別する「アカウントハッキングツール」もあった。

約1800万件のID・パスワードはサーバー内で「有効」「無効」などに分類されてリスト化されていた。捜査関係者によると、有効とされる約178万件のうち約172万件はネットサービス大手「ヤフー」のIDとパスワードで、他はネット通販を手がける「楽天」など国内外の企業計30社のサイトで実際に会員が登録していたものだった。

同課は、このサーバーの利用者が何らかの手段で大量のIDなどを入手し、自分の情報を隠すために代理サーバーを経由して通販サイトなどに不正接続を繰り返し、有効な情報を選別していたとみている。不正接続は昨年6月から11月まで続いた。

「日中新生コーポレーション」摘発の際、中国人従業員4人も逮捕されたようで、この会社自体がそもそも中国のネット犯罪組織の関与があっただろうと思われます。
「日中新生コーポレーション」はインターネットバンキングによる不正送金なども行っており、日本における中国のネット犯罪組織の橋頭堡となっているであろう会社だと考えられます。

で、当然ですが、この会社が摘発されたから一安心というわけではありません。同じような代理サーバー業者は他にも多数いるでしょうし、今回はたまたま中国系が摘発を受けましたが、不正アクセスを試みているのはなにも中国人ばかりではありません。

先月は弊サイトの管理画面への不正アクセス試行が多数見られました。アクセス元のIPは195.154.xxx.xxx。同一のIPから多数のアクセス試行が行われていたいました。当然代理サーバーの可能性の方が高いので、そのIP=犯人の国ということはないでしょう。このIPはフランスのものですが、ID総当たりの時に漢字が使われていた形跡もあるので、大元は漢字を使うアジア圏からのアクセスだと考えて間違いないでしょう(日本という可能性もあります)。

総当たりツールが試行するIDは、1234などの単純な数字の行列、adminなどの管理者のデフォルトID、monkeyやdreamなどの名詞(その後ろに数字の羅列がつく場合も多い)、メールアドレスが多く、特にサイトの名前やサイト名に関するものが多かったです。

アカウントハッキングツールを使う総当たり式の不正アクセスは、サービス側では防ぐ方法がありません。デバイスごとの二段階認証や画像認証等を挟み、オートツールではアクセスできない方法を取り入れるなどの手段はありますが、同時にユーザーの利便性も下がるので、サービス側としてはやりたくないことでしょう。

結果、IDとパスワードについてはユーザー自身が管理と自衛をするしかありません。ひとりのユーザーが多くのサービスを利用するようになった現在、複数のサービスで同一のID、メールアドレス、パスワードを使っている人が大多数かと思われます。その場合、どれか一つのサービスでIDとパスワードを抜かれると、利用している全てのサービスでアカウントハックされる危険性が出てきます。

 

■ネットゲームは常に不正アクセスとの戦いだった

そこで今回のmobage(DeNA)の発表となるわけですが、ネットゲームサービスとユーザーは常にこのような不正アクセスと戦ってきました。
特にMMOが流行してた当時は、RMT(リアルマネートレード)というものが流行っており、ゲーム内通貨を現金にて販売していました。そのため業者キャラが狩場を荒らしたり(そもそもゲーム内通貨がなければ商売にならないため)、貴重な装備やアイテムを落とすボスキャラを独占したり、botなどを駆使してシステムから大量にゲーム内通貨を引き出した結果、ユーザーが本来の遊びができなかったり、業者キャラにひどい目にあわされたり、通貨があふれて超絶インフレが発生したりとろくでもない結果になりました。

そのような業者が「てっとりばやく」ゲーム内通貨を稼ぐには、強力なキャラをハックし、装備や所有通貨を横流しするか、そのキャラを使って効率のいい狩り(ボス戦含む)をやるのが一番です。そのため不正アクセスが絶えず、運営と業者のいたちごっこになったりするわけです。そのいたちごっこに巻き込まれてキャラを奪われないよう、ユーザー側もさまざまな配慮をするしかありません。

例えばFF11、FF14、DQXを運営しているスクウェア・エニックスでは「セキュリティートークン」という、ワンタイムパスワードを表示する二段階認証用のトークンを販売しています(現在ではスマホ用アプリも配信。こちらは無料)。

FF11ではセキュリティトークンを導入することで「モグサッチェル」という、携行できるアイテムを大幅に増やすことができる「かばん」をもらうことができました。DQXでもきせかえドールがもらえるなど、導入することで特典が受けられます。
不正アクセスはユーザーの被害は言うに及ばず、サービス側もセキュリティや業者対策に大きなコストを強います。そのため、ユーザーメリットを大きくしてでもセキュリティ対策を導入して欲しいという考えもあるのでしょう。

私のFF11プレーヤー時代、一番親しかった主婦廃人のYさんは、ある日アカウントをハックされた挙げ句、膨大なギルを横流しされ、装備も全部売られたあげく、素っ裸でジュノ港に立たされてバザーさせられていました。彼女は機械が苦手というだけで、セキュリティトークンの導入をやらなかった結果、こんな悲惨な状況にあわされました。数年積み上げた財産もハッキングされれば一瞬で消え去るわけで、彼女はそれを機にFF11を引退してしまいました。そりゃそうですよね。

もちろん悪いのはハックした業者です。Yさんの責任ではありません。しかしハックされる恐れがあると前々から言われていたわけで、多少なりとも自衛の手段は必要でした。

少なくともスクウェア・エニックスはセキュリティトークンを発行しているだけ、セキュリティに対する意識は高かったのかもしれません。
それだけ不正アクセスが多かったのでしょうし、またスクウェア・エニックスという大手ゲームメーカーだからこそ、セキュリティにコストがかけられたとも言えますが。

 

■ゲームを遊び続けたいなら、パスワードを自衛するしかない。

しかし多くのネットゲーム、ソーシャルゲームは前述の通りユーザーの利便性を優先し、IDとパスワードのみの認証というサービスがほとんどです。そしてスマホで一度認証すればID、パスワードの入力も求められず、いつでもログインができるサービスが増えました。今回不正アクセスの実態を発表したMobageもそうです。

そのため、以前に比べてIDとパスワードの「重要性」は認識が薄まっているように感じます。もしかしたら、自分のパスワードが分からない、忘れたらメールで送ってもらえばいいや、という感覚の人も多いかも知れません。

忘れてしまうくらい複雑なパスワードを組んでいるならいいですが、そんな人に限って「1234」だったり、誕生日を使っていたりと危険なパスワードを使っているような気がします。また、複数のゲームで同じパスワード使っている人も多そうです。あれこれ試遊するとき、ひとつひとつパスワード変えるの面倒ですもんね。

結局、大事なアカウント(キャラ)を守るには、パスワードを自衛するしかありません。ツールでIDとパスワードを総当たりされてしまえば、サービス側にも対抗手段はありませんし、他のセキュリティの甘いサービスで抜かれたIDとパスワードを使われては、ログインを防ぐ手段もないのでしょう。

Mobageなにやってるんだと言いたくなりますが、そのような前提で考えれば、今回被害実態を発表しただけマシかと思います。先の報道によれば楽天を始めとしたショッピングサイトのIDも抜かれているわけで、当然不正アクセスは発生しているだろうと思われますし。

ともあれ、これを機会にパスワードを変更することをオススメします。またやっていないゲームやサービスは早々に退会し、穴を塞いだほうがいいでしょうね。

かくいう私も、登録したまま忘れてるサービスとかありそうな気がします。明日いろいろ思い出してみましょう…。

(文/赤蟹)

※もちろんPCをはじめとしたデバイスのセキュリティも高いに越したことはありません。私はESETセキュリティを使っています。動作が軽くてオススメです。


赤蟹

スベスベマンジュウガニ並みに猛毒を吐きまくる赤い蟹の人。「てらどらいぶ」の裏ボス。サイト管理とコーディング、デザインなどを担当。文章を短くできないのが悩み。

コメントをどうぞ

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。