携帯電話を併用したログイン制限機能を実装して欲しい

[Micktlll]

契約者が現在利用中のISPとIPアドレスをアカウント及びキャラクタに関連付けて、
ユーザーの環境に合致しない接続元からのログインをはじく等の技術的工夫

の実装をスクウェア・エニックス社に求めたいです。

これを直接的に実現できるプランとして
ＦＦ11及びプレイオンラインの正規契約者が所有する携帯電話に対し

デフォルトで関連付けられている接続元以外からログインが試みられた場合
それが正規契約者本人の接続かどうかの確認を促すための通知メール

をまず運営側から自動送信。メッセージは携帯用のメルマガにみられるhtmlメール形式のスタイルを基本とし
その中にSSL通信によって開けるリンクを埋め込み。
送信元はplayonline.comドメインでそのメールサーバーから。
このサービス利用者はこのドメインの指定受信を設定。

リンクを開くと「この接続はお客様の接続で間違いないでしょうか？」という本文と
その中に　yes　と　no　のラジオボタン。

yesでもnoでも、ボタンを押した際には
スクウェア・エニックスアカウントのID・パスワード・ワンタイムパスワードを入力して
「正規契約者本人による返答」が完了するというフロー。

携帯電話のメールアドレスの関連付けはプレイオンライン上ではなく
スクウェア・エニックスアカウント上で行えるものにし、
スクウェア・エニックスアカウントを取得しないとこのサービスを利用出来ないという取り決めにする。

デフォルトで関連付けられている接続元以外からの接続で、
例えログイン情報が正解であってもその正規契約者の携帯電話からの返答が行われるまで
デフォルトで登録している接続元以外からのログインを制限するといったもの

なので被害が確実に０に近付きます。

例えば不正アクセス等で第3者が特定のアカウントに不正にアクセスした場合は
その悪意ある第3者のプレイオンライン画面上に情報入力後「現在本人確認中です」とメッセージを表示。

正規契約者によりNoの処理が行われたら「本人確認が出来なかったため切断します」と表示し
第3者からのアクセスを遮断出きるシステムです。

普段正規契約者が利用中のISP及びIPアドレスの関連付けも
スクウェア・エニックスアカウント上でのみ本人のみが関連付けが行えるものとし
その関連付けの際には自動でリモートホスト・逆引きIPアドレス等の情報が
スクウェア・エニックスアカウントのログイン中のみ表示させる機能もつけた上で
正規契約者の関連付け作業の効率化を図る。

また、スクウェア・エニックスアカウント上で
yesとnoでそれぞれ処理をした接続元の履歴を表示し
正規契約者の手によりアクセスブロックをコントロール出きる「ブロック対象の接続元」も
併せて関連付けが可能になるというものです。これにより一度でも不審な接続があれば
早急にブロック登録する事により二度とその不審な接続元はアカウントに接続出来ない状況を実現出来ます。

ブロックされた接続元側はログインしようと試みても画面上に
「この接続はお客様により拒否されました」と出るものです。

この機能は
アカウントの譲渡・共有・貸し出し等の規約違反行為を未然に防げる可能性も秘めており

これはFF11へのアクセスやログインのみならず


・公式フォーラム利用時やリンクシェルコミュニティ利用時等の
スクウェア・エニックスアカウントへのアクセスやログイン

にも対応すべきものだと言えます。

開発から実装までかなりの根気を要するものですが
ユーザーサイド側がデジタルディバイドで溢れているとしても
ユーザーサイドが直接的にリアルタイムで感知出来るセキュリティ構想なので
とても汎用性があり、また悪意ある第3者の接続元を早急に洗い出せるという点で
ユーザー及び運営双方にメリットがあると断言します。


これをβオプションサービスとして実装し、時期を見て有料オプションサービス化
お値段は採算の都合で社内で決めてもらえればそれでいいと思っています
ので是非宜しくお願いします。

[kabubu]

不正アクセスを排除したいという部分は私も同じくです、その上で意見を

そもそもセキュリティトークンのみで事実上不正ログインは不可能となっています。
あまりにもセキュリティを性能上げる為に手順を増やしすぎると
逆に利用する人が減り、本末転倒になります。
セキュリティ性能と利便性のバランスが重要だと私は考えています。
これ以上のセキュリティ対策はスクエニには必要ないでしょう。

IPやISPが違う場合からのアクセスに対してメールで通知するより
トークンの入力違いやパスワードの違うアクセスに対しての通知で十分と思います。
トークンでガードしていてもIDやPASSがユーザー側から流出している場合の早期発見に繋がります。

[Micktlll]

IPやISPが違う場合からのアクセスに対してメールで通知するより
トークンの入力違いやパスワードの違うアクセスに対しての通知で十分

そもそもこんなアクセスを行う者は
正規契約者本人以外の者で限定されており

確実に普段の正規契約者の接続元以外からの第3者によるアクセス試行です。

私が提唱するこの「はじく機能」は
入力ミスもカバーされるレベルのものであり
入力ミスうんぬん以前に、アクセス元そのものを検閲する機能なので
正規契約者本人が預かり知らぬアクセスを全て携帯電話で通知出来る代物です。
アクセスを試みる普段の正規契約者の接続元以外からの接続を全て検知するので
入力失敗時のアクセスであっても通知されます。

また

第3者が特定のアカウントの各種ログイン情報を入力ミスし
不正アクセスを失敗して諦める。それで済めばいい話ですが、
もし仮に正解の情報が入力（セキュリティトークンも含む）されてしまったら
運営側は無条件でそのアカウントへのログインやアクセスを許可してしまう
というのが現状であり、後に不正アクセスだと正規契約者からの申告がない限り、
申告がされるまではそれらを全て正常なアクセスとして許可し続けるというのが今の仕様です。

つまり「その接続が正規契約者本人の物であるかどうか」の判別が
運営側で出来る機能を暫定で実装していない証拠です。

従って

運営側は現時点で

「正解の入力情報のアクセス・ログインを検閲出来ていない」

という事です。不正アクセスをスクエニのサーバー側で許してしまっている根幹であり
これこそ本末転倒であり後手なのです。

システム側で対処できる事はシステム側で万全に行うべきです。

スクウェア・エニックスアカウント取得の正規契約者だけに
モバイル通知及びログイン制限等のコントロール機能を提供すべき理由は

こういった公式フォーラムでも
不正アクセスによる成りすまし書き込みが想定される

からです。更に

これをスクウェア・エニックスアカウント取得者限定のオプションサービスとして実装すれば
その利用を望む現ユーザーがスクウェア・エニックスアカウントを取得してくれる展望も期待出来ます。

そして

実際セキュリティトークンを所持していても不正アクセスされるケースが存在しており
セキュリティトークンがあっても不正アクセスが起きているという事実を無視すべきでは在りません。

ユーザーのせいにばかりせず、この様な確実性が期待できる未然防御システムが必要です。

私が提唱する「運営側で実装する事でそれをもカバー出来るこのセキュリティ構想」は
結果としてユーザーと運営の両サイドの安全に繋がるのです。

[kabubu]

ISPで仮に関連付けしたとしても
IPアドレスは変動しますし同一ISPでのアクセスだと
別のユーザーの過去のIPと重複する可能性も高いです。
トークンでの認証と比べ非常に劣ったセキュリティ対策と思えます。
またネットカフェや友人宅でのログイン、ISPの変更等で手続きが増える手間の方が多く感じます。

むしろ１アカウントに対して１つ関連付けされているトークンの方が
重複の心配も無く、利便性も高く使いやすいと思います。
セキュリティ性能を上げることはいくらでも可能でしょう
しかし数多くの方に使ってもらえる利便性との兼ね合いが一番重要だと思います。
実際トークンの数字の番号入力すら面倒という人も多く存在します。
こういったバランスを考えても現在のトークンは必要十分な対策と思います。

トークンを導入した場合にでも不正アクセスを受ける場合もあるとありますが
あったとしても極々稀であったり、利用方法が間違ったりというパターンでしょう。
この少数の対応のために新たなセキュリティを導入するよりも
利用していない人たちへの正しいトークン利用の告知を積極的に
呼びかけてもらうほうが遥かに効果的と思います。

こういった公式フォーラムでも
不正アクセスによる成りすましによる書き込みが想定される

とありますが、不正アクセスを行ってまで成りすまし書き込みをするメリットが感じられません。
スクエニ側のIDを取得して混乱させるなどでしたらまだ理解できますが
一般ユーザーのIDで成りすます事は想定しにくいと思います。

[Micktlll]

ISPで仮に関連付けしたとしても
IPアドレスは変動しますし同一ISPでのアクセスだと
別のユーザーの過去のIPと重複する可能性も高いです。
トークンでの認証と比べ非常に劣ったセキュリティ対策と思えます。

ですので、正規契約者本人の手により
スクウェア・エニックスアカウントにログインを行った上での関連付けをしてもらう事で
この作業を運営側に負担させないというフローになります。

そしてトークンと併用するものであると私は書いているのできちんと読み直しましょう。

またネットカフェや友人宅でのログイン

セキュリティの観点からしてこれを私は勧めることが出来ません。

むしろ１アカウントに対して１つ関連付けされているトークンの方が
重複の心配も無く、利便性も高く使いやすいと思います。
セキュリティ性能を上げることはいくらでも可能でしょう
しかし数多くの方に使ってもらえる利便性との兼ね合いが一番重要だと思います。
実際トークンの数字の番号入力すら面倒という人も多く存在します。
こういったバランスを考えても現在のトークンは必要十分な対策と思います。

トークンを利用した上で更に、ということです。くどいようですが
実際セキュリティトークンを所持していても不正アクセスされるケースが存在しており
セキュリティトークンがあっても不正アクセスが起きているという事実を無視すべきでは在りません。

トークンを導入した場合にでも不正アクセスを受ける場合もあるとありますが
あったとしても極々稀であったり、利用方法が間違ったりというパターンでしょう。

ご自身で分からない事なのであれば言及しない方がよろしいでしょう。

この少数の対応のために新たなセキュリティを導入するよりも
利用していない人たちへの正しいトークン利用の告知を積極的に
呼びかけてもらうほうが遥かに効果的と思います。

少数だと何故貴方が言い切るのか。その根拠を示してください。

不正アクセスを行ってまで成りすまし書き込みをするメリットが感じられません。
スクエニ側のIDを取得して混乱させるなどでしたらまだ理解できますが
一般ユーザーのIDで成りすます事は想定しにくいと思います。

起こってからでは遅いというのがセキュリティについて言えば常であり
トークンの実装に関してもはっきり言えば後手です。

運営には今後こうした
「被害者が出てからの対策」ではなく「被害者が出る前の対策」に切り替えないといけません。

携帯電話を使った通知機能及びログインコントロールに見られる
「正規契約者本人によるアクセス検閲及び本人認証・確認」は

暫定でセキュリティトークンを所持していても不正アクセスされるケースが存在している以上

公式フォーラムをはじめとするスクウェア・エニックスアカウントを利用したサービス

においては必要であると再度提唱します。

暫定で１００歩譲って仮に少数であるとして
セキュリティトークンがあっても不正アクセスが起きているという事実を無視すべきではなく

検閲すべきアクセスを検閲しないと

運営が対処すべき仕事が無くなる所か無駄に増え続ける一途を辿ると警鐘します。

[Flow]

実際セキュリティトークンを所持していても不正アクセスされるケースが存在しており
セキュリティトークンがあっても不正アクセスが起きているという事実を無視すべきでは在りません。

そのケース数例を詳細に記載しないと、たぶん運営はもちろん、このスレッドを見てる人全員が納得しないと思いますよ。
もちろんユーザーが最大限の自衛をしての不幸という前提があってですよ。

[kabubu]

どんなに優れたセキュリティでもあまりにも複雑化して面倒であれば
利用者が出ずに、結局無意味なものになってしまいます。
これについてはどうお考えでしょうか？

私は現状トークンで理論上は十分なセキュリティを維持しつつ
利用方法も簡単なので十分と思っています。
トークン方式でしたらセキュリティの低い場所でも
スレ主が考えるセキュリティ方式と違い
場所の限定をせず利用出来るという利点もあります。

30秒に１回、１００万通りのパターンからランダムで鍵が生成される
セキュリティトークンが破られる状況が想定しにくいのですが…
トークンを利用していて破られたという説明が欲しいところです。

それでもまだセキュリティ対策が不十分というのなら各種銀行のセキュリティも
ワンタイムパスワードを採用している所はセキュリティが不十分という事になってしまいます。

[Micktlll]

そのケース数例を詳細に記載しないと、たぶん運営はもちろん、このスレッドを見てる人全員が納得しないと思いますよ。
もちろんユーザーが最大限の自衛をしての不幸という前提があってですよ。

運営側との電話確認で当方が手に入れている情報なので運営は知っています。
そして閲覧者に納得してもらうつもりは実はありません。
ですので要望フォーラムに投稿したのです。

そしてユーザーが最大限の自衛をするのは必然であり
それは運営が出来る事も最大限で、という理論と同じものです。

私が提唱するシステムは運営側で実装可能な代物であり
実現不可能なものではなく、結果ユーザーと運営の双方にメリットが出るものです。

スクウェア・エニックスアカウントを利用した上での公式フォーラムですから
それに関して危惧して要望を運営に投げるのは至極普通の事です。

こういったアイディアを運営側に伝えるのも我々に出来る最大限の協力であり

他者の投稿にむやみにケチをつけるだけのなんちゃって評論家気取りの書き込みと
真摯に運営に向けてメッセージを投げている私とでは意味が違います。

私に何かを宛てる前に
まずは全てをきちんと読み取り理解しましょう。

[Jhonny]

そもそも携帯電話ありきで話が進んでいるけど、
世の中には携帯電話をそれほど使っていない人もいるという事は知っておいてください。

携帯電話は便利かもしれませんが、そもそも「機能」を欲しない人にとっては「無用の長物」ですから。

[Micktlll]

そもそも携帯電話ありきで話が進んでいるけど、
世の中には携帯電話をそれほど使っていない人もいるという事は知っておいてください。

携帯電話は便利かもしれませんが、そもそも「機能」を欲しない人にとっては「無用の長物」ですから。

それは「この御時世にPCを持っていないプレイヤーだっているんだぞ」という類と同じ理論です。

トークンを利用するにはスクウェア・エニックスアカウントというPC環境必須の前提があります。
で、今貴方がここに書き込めているのもその限定された環境を備えているからですよね。

これについても恐らく
「世の中にはパソコンでネット接続利用をそれほど使っていない人もいる」とおっしゃる人は確実にいますよ？
でもそんな事を言って何になるんですか？？

実施されている公式フォーラムのあり方やスクウェア・エニックスアカウントのあり方にまで
ケチをつけそうな勢いですね。

しかし
我々が最大限の自衛をするという中に「環境を揃える」と言った事も含まれます。
ネットを閲覧できるPC環境が無いのであればまずそれを自力で備えて
その上でスクウェア・エニックスアカウントに登録しトークンを用意する。

それさえ行わないのであれば不正アクセスされてもギャーギャー喚くなということ。

環境に関してはご自身の努力すべき事です。

上記の引用に見られるものを「不毛なイチャモン」と言います。
世の流れにそこは沿うべきものであり、文句を言うのは筋違いです。