View Full Version : セキュリティトークンを使用していても不正アクセスされた事例があるという投稿について
Manta-ray
03-12-2011, 10:37 PM
とあるスレッドにて
by Micktlll
実際セキュリティトークンを所持していても不正アクセスされるケースが存在しており
セキュリティトークンがあっても不正アクセスが起きているという事実を無視すべきでは在りません。
という投稿がなされました。
セキュリティトークンというのはFF11だけでなく他の重要な機関等でも利用されているものです。
このシステムの安全性は広く周知されており、仮にこのシステムに穴があるとすればFF11のフォーラムで騒ぐどころの話ではありません。セキュリティトークンを利用している各種サービスは早急に見直しをしなければなりません。
もし仮にセキュリティトークンを使用しており、かつセキュリティトークンを第三者に渡らせないように保管しているのにも関わらず、第三者のアクセスを許したのであれば大問題です。
また、その事実があったとしてもそれを公式に告知し利用者に警戒を呼びかけるのでなく、一ユーザーに電話で返答するなどという対応は事実であれば企業としては考えることのできない対応です。
しかし、にもかかわらず、
by kabubu
この対策要望はセキュリティトークンを導入していながらも
アカウントハックを受けた事が前提になっていると思われます。
まずその確認をよろしいでしょうか?
というユーザーの問いかけに
by Micktlll
サポートセンターに電話で聞いたので間違いありません。
と返事をしていることから、企業側(スクエニ様)が返信したという回答があがっています。真偽は不明ですが。
仮に事実だとすれば一秒でも早く公式サイトにニュース告知を出しトークン利用者に警告を行うべきです。またセキュリティトークンは他のシステムでも利用されているためそれら関連する企業、サービス全てに警告を行わなくてはならないのではないでしょうか。
逆に、この話が偽りだったとすれば事実ではないことを不特定多数が閲覧できるフォーラムに書き込んだということになります。それはそれで大きな問題があるのではないかと疑問に思う次第です。特にトークン提供元の信頼に大きく関わることですから。
もちろん、私はセキュリティトークンが破られ不正アクセスがあったということに関しては一切信じておりません。
しかし、不特定多数が閲覧するフォーラムにて記載すべき内容としてはあまりにも目に余るものでありこれが真実であれ、虚偽の内容であれユーザーおよびスクエアエニックス側にとっても何らかの不利益を被る可能性があるのではないかと思った次第です。
新たなるセキュリティシステムに関する要望に関しては問題ないと思いますが、不正アクセス関係のお話については信用問題になりかねないのではないかという懸念です。
果たしてトークンを使っていても本当に不正アクセスに遭ってしまうのか、スクエニ様が情報を隠蔽しているのかなどなど、皆さんはこの件についてどう思いますか?
また、公式側の回答、もしくは適切な対応をこの記事の要望とさせていただきます。
引用元:
http://forum.square-enix.com/ffxi/threads/1187-
higechan
03-13-2011, 08:56 AM
これは気になりますね。
だいじに育てたキャラクターデータがアカウントハックにあってしまうと困るので是非運営側からの返答をお願いします。
Yosikawa
03-13-2011, 09:08 AM
先ず、そんな事例はありえないので、彼の虚言でしょうね、セキュリティートークンを導入してるのにアカウントハックを受けたのは。
この手の虚言を不特定多数の閲覧できる場で、そのような発言をして、某政治家のように「記憶にございません」と言い逃れしようと
しても、過去の発言を辿っていけば必ずボロが出て窮地に立たれても彼の場合は、自業自得の一言で説明できますし。
彼はどうやら過去に、所属してるカーバンクルワールドからアカウントハックの被害に遭って、セイレーンワールドに移動させられた。
と主張していましたが、STFにアカウントハックの被害に遭ったと連絡すれば、少しの時間が掛かりますが、戻してもらえるのに、
有料ワールド移動サービスの時間制限の3ヵ月後にカーバンクルワールドに戻ってきたそうです。
実際、自分のフレンドもアカウントハックの被害に遭って、STFに被害届の報告をして調査をしてもらったら、別ワールドでRMT業者に
操作させられていたので、少しの時間が掛かりましたが、巻き戻しをしてもらってましたから。
長文すみませんでした。
Shinemon
03-13-2011, 09:33 AM
セキュリティトークンそのものがハックされるケースは0ではありませんが極稀です。
ワンタイムパスワードの有効期間は1分程度です。
マルウェアや、サーバー側のクラック、漏洩が絡んできてると個人的には推測します。
また、フィッシングサイトにID、PASS、ワンタイムパスワードを入力すると即狙われますのでご注意を。
Pyonsama
03-13-2011, 09:37 AM
>ワンタイムパスワードの有効期間は1分程度
30秒じゃなかったっけ・・・?
Hawkwood
03-13-2011, 09:44 AM
Mantaさんは元発言に疑問を持ちつつ念のために警鐘を鳴らしているようですが、私も元発言に疑問を持つものです。
元発言を見ましたが、この人は多分セキュリティインシデントというものをちょっとかじって、その知識を振り回したくてうずうずしてる人みたいですね。
セキュリティトークンや鍵方式の認証システムは、最高のセキュリティを実現しようとしていくらでもお金をかけられる大企業でも最高の手段として導入されているものです。
論理的にはこれを破る方法はあります。ただし、その為には何億もの金と何年もの歳月と労力をかけてのみ実現可能。
素人が偶然破れるような代物ではありません。
誰がそんな金と手間をかけるのだろうw
この場合、最も重要な「ユーザーがしっかり管理していたのか?」という点について発言主はぼかしています。
これが最重要ポイントなのにね・・・・セキュリティハザードの原因として最も多いのがユーザーの管理不十分なんですから。
これだけを見ても、発言主はセキュリティインシデントについて素人同然という事がわかります。
慎重に推移を見守る必要はあるでしょうが、まあ、エンドユーザーの管理不十分かただの勘違いってオチなんじゃないですかね(´Д`)
なぜ元発言へのレスにしないのかって?
ヒステリックに反論されると疲れるからです(´・ω・`)
kenta
03-13-2011, 04:13 PM
スクエニ側を悪役にすれば、それっぽく正しい意見に聞こえてしまいがちです。
>サポートセンターに電話で聞いたので間違いありません。
↑これ自体の真偽が不明です。
セキュリティ知識は、業者だけでなくユーザー個人にも求められるものです。
お客様は神様です。みたいなことを「ユーザー側が」言ってはいけません。
自らの対策も疎かになるでしょう。
業者側もできる範囲でできるだけのことをやっているんで、ユーザーの側も意識しましょう。
Pyonsama
03-13-2011, 04:25 PM
だいたい「携帯電話で云々」って無くしたり盗まれたり落としたり壊れたりしたらログイン出来なくなるじゃないか^^;
トークン以上に持ち運ぶ機会があるものだけにそういったリスクに対して何にも考えてなかったようだしね・・・
「電話して確認した」って発言はウソだと思いますよ・・・確認してないかも知れませんし、
確認はしたけど「そんなことはない」って答えをされたのかもですけど
Esperiga
03-13-2011, 04:35 PM
>ワンタイムパスワードの有効期間は1分程度
30秒じゃなかったっけ・・・?
30秒は表示時間だろ
表示消えてもある程度なら有効だ
Pyonsama
03-13-2011, 05:11 PM
30秒は表示時間だろ
表示消えてもある程度なら有効だ
勘違いしてました。ご丁寧にどうもです。
HumA2
03-13-2011, 05:55 PM
セキュリティトークンを所持していながらアカウントハックを受けたものです。
もう随分と前の話しですが、私がログイン中にアカウントヘのアクセスがあり、
ゲームからの強制ログアウトを受けました。
システムメッセージも詳しくは覚えていませんが、
アカウントへのアクセスがあったので強制終了しますといったものです。
直ぐにパスワードを変更し、ログインしたので特に被害はありませんでしたが、
戯言でもなんでもなく事実、そういう被害を受けました。
これに対して、オンラインのチャットサポートに問い合わせを行いましたが
長い定型文書で説明され改善策を訴えましたが、報告しますといわれそれで終わりでした。
現在のログインシステムは、後からログインした人が先にログインした人を押しのけてログインすることができます。
セキュリティトークンさえあれば100%絶対安全というわけではないということを実感させられた瞬間でした。
どうすればいいのかはわかりませんが、なにか対策を取っていただけると助かりますね・・・。
Wildboar
03-13-2011, 06:23 PM
セキュリティトークンさえあれば100%絶対安全というわけではないということを実感させられた瞬間でした。
どうすればいいのかはわかりませんが、なにか対策を取っていただけると助かりますね・・・。
セキュリティトークンを使用していても100%安全ではない、というのは当たり前の話だと思います。
ただ、現状導入できるシステムで最高のものだと言えるので、これ以上のセキュリティはオンラインゲームに必要ないと考えます。
実際にトークンを突破してハッキングできるなら、ゲームデータなどではなく、ネットバンクから現金を引き出したほうが遥かに犯罪者に有益でしょう。
そして公式には下記のように説明があります。
※「スクウェア・エニックス セキュリティトークン」を利用している状況で、万が一不正アクセスの被害にあわれた場合は、回数に制限無く救済を承ります。
http://support.jp.square-enix.com/faqarticle.php?kid=12651&id=11&la=0&ret=faq&pv=10&page=0&c=0&sc=0&so=0&q=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3
もし本当に被害に遭った場合でも何度でも救済をしてくれるので、安心していいと思います。
Mildia
03-13-2011, 06:49 PM
マルウェアや、サーバー側のクラック、漏洩が絡んできてると個人的には推測します。
また、フィッシングサイトにID、PASS、ワンタイムパスワードを入力すると即狙われますのでご注意を。
少し技術的な話になりますが、SquareEnix 様が使用しているワンタイムパスワードの場合、ID,Passwordを元にセキュリティトークンIDを導出し、トークンIDを元にワンタイムパスワードを作成しているため、単純なID,PASSの方式に比べ、格段に堅牢性が高くなっています。
この方式の場合、フィッシングサイトにて入力した程度では、余程大量に入力しない限り問題になることは少ないでしょう。(1IDの紐付けが可能なほどの回数、入力することは稀だと思います)
これ以上の堅牢性を求められるのであれば、ドングル(ハードウェアキー)にて対応するしかないのでは、と思われる程です。
>サポートセンターに電話で聞いたので間違いありません。
この Micktlll 様の発言の真偽は不明ですが、セキュリティトークンを導入した企業であれば、セキュリティトークン方式の対応にて不正アクセスされる可能性が非常に低いことは認識しているはずです。
その中でそのような回答をされたというのであれば、それは質問内容の認識に齟齬があるか、他の回答と間違えているかのどちらかではないでしょうか。
以上です。長文失礼しました。
Taruco
03-13-2011, 06:54 PM
タルコもセキュリティトークン使ってて、いきなり誰かにログインされたことありますタル
そのまま寝て、朝起きてログインしたらちょっとLvがあがってましたタル
ちなみに朝起きた際にトークンなかったので、探したらパパの机の上にありましたタル
夜中に勝手に歩いていくAI機能でもついているのでしょうタルか?
Shinemon
03-13-2011, 07:15 PM
別スレでも書きましたが外国で銀行を騙ったダイレクトメールにてフィッシングサイトに誘導され、ID,PASS,トークンPASSをハックされトークンの有効時間内(1分程度)に預金を引き出されたという事例がありました。
ご参考までに。
Tonnura
03-13-2011, 07:20 PM
きっと被害を受けた人はパス入力画面を見られてたんだよ。
背後でノーパソ抱えたハッカーさんが、ワンタイムパスが入力されるのをじっと待ってたりとか。
Hawkwood
03-13-2011, 07:41 PM
なにか対策を取る必要があるのはHumA2さんの方じゃないでしょうか?
パスワードを変更したらもう不正アクセスされなかったということはあなたのパスワードをその人が知っていたということです。
セキュリティトークンで生成されるワンタイムパスワードはログインIDとセキュリティトークン内部にあるコードと結び付いているもので、これらが判らなければ正しいワンタイムパスワードを生成する事はできません。
つまり、あなたは何らかの方法でこの両方の組み合わせを誰かに知られてしまったわけです。
この情報はあなたの手元か、スクエニのアカウント管理サーバあたりにしかないはずです。
アカウント管理サーバがハッキングされて情報が漏洩したのなら、もっと騒ぎになっているはずですよね。
ということは・・・・・もうひとつの方が原因って事です。
どなたかも書いてますが、まあ、それと知らずにフィッシングサイトに引っかかったか、身内の誰かがトークンを持ち出してログインしてみたか、そのあたりなんじゃないですか。
セキュリティトークンを持っていてもログインに必要なIDやパスワードが第三者に漏洩している場合、強制ログアウトする可能性はあると思います。
少し前に私が意図せず、やってしまった事があるので参考になればと思い書かせていただきます。
もう随分と前の話しですが、私がログイン中にアカウントヘのアクセスがあり、
ゲームからの強制ログアウトを受けました。
この強制ログアウト自体は、2アカ操作可能な環境があれば誰でも起こせるはずです。
私は現在PC2つ(FFXIのIDとパスをPCに保存済み)で彼と一緒にFFXIをしています。
セキュリティトークンは両アカウントとも使用してログインしていたのですが、間違えて彼のアカウントを選択し、自分のログインパスワードとトークンパスワードを入力してログインを行ってしまいました。
そうするとログインしていた彼のFFXIは強制ログアウトされ、私のPCではログインエラーが出ました(当たり前ですがパスワードが違うのでログイン失敗したわけです)
つまり、パスワード入力前の情報を入力してログイン試行をされた場合パスワードが間違っていたとしても強制ログアウトしてしまうんです。
現在のログインシステムは、後からログインした人が先にログインした人を押しのけてログインすることができます。
これは確かですが、後からログインしている人が必ずしもログイン成功しているとは限りません。
私がやってしまったケースだと、スクエニパスワードとトークンパスワードは間違った状態で強制ログアウトになったので。
セキュリティトークン自体セキュリティが高いものですし、被害がないHumA2さんの場合、第三者にログインされかけたがパスワードが分からずログイン失敗した状態ではないでしょうか。
自衛的な対策としては、もしこのような強制ログアウトがあった場合、変更できるIDやパスワードは変更する(その際に分かりづらいもの、他サービスと違うものにする)セキュリティトークンは絶対使うことを徹底すれば、ウィルス等でPCの情報が漏れない限りかなり安全だと思います。
参考になれば幸いです。長文失礼いたしました。
Hawkwood
03-13-2011, 08:16 PM
少し前に私が意図せず、やってしまった事があるので参考になればと思い書かせていただきます
これは驚いた・・・・
セキュリティトークンでの認証を後付でやったせいで、こんな事が可能になったんでしょうね。
奇しくもセキュリティトークンの信頼性を証明する結果になったようですが、認証に失敗しているのに障害が起きるこの仕様は何とか直して欲しいものですね・・・・・
システム屋の端くれとして、これはとても参考になります。
貴重な事例をありがとうございます。
(と、スクエニのシステム担当も思っているかもしれない(・´з`・))
Osashimi
03-13-2011, 09:00 PM
パスワード入力前の情報を入力してログイン試行をされた場合パスワードが間違っていたとしても強制ログアウトしてしまうんです。
この状況になると、外部から不正アクセスを受けたと思ってしまいそうですね。
たとえば別室で家族がこの状況を作り出してしまい、その後お互いにこの事を話し合わなければサポートにも判断できませんしね。
Nohohon
03-13-2011, 10:25 PM
参考までに(´・ω・`)
セキュリティーに関してですが、欧米と日本では前提となる考え方が違う部分が多少あります
欧米では『セキュリティーは破られる可能性があるもの』
日本では『セキュリティーは破られてはならないもの』
微妙なニュアンスの違いなのですが、考え方の前提としてはかなり違う物があります
システム構築をちょこっと囓ってる関係で、導入先に説明などを行うことがあるのですが、
ヽ(*´∀`)ノ「これさえ入れておけば大丈夫だね」
(;・∀・)ハッ?「いえ、これはあくまでもある程度防ぐことができるもので、絶対と言うことはありません」
( ´゚д゚`)エー「え~これだけ高い金額とってるんだから大丈夫でしょ?」
(;・∀・)ハッ?「機器やソフトを導入しただけでは十分とはいえず、きちんとした運用を行わないと効果はないですよ」
(´・ω・`)「ふ~ん、そうなんだ。じゃあもっと高いの入れればだいじょぶ?」
(;・∀・)ハッ?「いや、そういう問題ではなくて・・・」
セキュリティ対策のプレゼンをした方は経験があるかもしれませんが…
トークンに紐付けされている複数のIDなどで、別のIDにログインしようとしてパスワードなどの間違いで、先にログインしているIDもエラーで落とされるのは、おそらくセキュリティポリシー(セキュリティーの基準)が比較的高めに設定されており、不正なアクセスを防止するためにそのような動作を行ったのではと推察されます
利便性とセキュリティーの堅牢性の関係は相反する事が多く、一般的に面倒であれば堅牢性が上がる傾向はあります
このへんのバランスは難しい問題ではあるのですが、FF11のトークン方式は比較的利便性が高く、かつ堅牢性も確保されているので、きちんと運用を行えば現状は問題が無いレベルと考えています
個人のPCで運用に当たるといえば下のような物になるかと
・OSを最新のアップデートパッチを適用する
・ウィルス対策ソフトを導入し、最新のパッチを常時当てる
・パスワード等は定期的に変更する
・パスワードは名前や電話番号、生年月日など個人に関連性があるものは避ける
・他のWebサービスなどで利用しているパスワードなどは避ける
ちょっと、面倒な手順ではあるんですが堅牢性はかなり向上するのでお勧めです
HumA2
03-14-2011, 12:03 AM
>Setyさん
情報ありがとうございます。
ログインに失敗していても強制終了になるのは私も知りませんでした。
フィッシングメールや不振なサイト等、詳しくない割りに対策は施してたつもりではいましたが・・・。
もちろんNohohonさんが仰ってる対策は取っていたのですが、
所詮素人の浅はかさか、どこかでアカウント情報が漏れていたのかもしれませんね。
参考までに私が施してる対策は、
ウィルスバスター
Spybot-Serrch&Destroy
PeerGuardian
を使用しています。
アドバイスや、お勧めの対策ソフト等があれば是非教えていただければ非常にありがたいです。
Nohohon
03-14-2011, 12:17 AM
>HumA2さん
トークンを利用されてると言うことなので可能性としては、『SQUARE ENIX MENBERS』のアバターネームとスクウェアーエニックスIDが同じ名前が同じだった場合に、それから類推されて不正ログインを仕掛けられた可能性があるかもですね
SumiEarl
03-14-2011, 02:06 PM
すごいためになった!ありがとー!こうゆう裏話はダイスキで大歓迎です♪
オンゲーは世界の縮図…だと私は思います。
いろんな人がいて出会えるからいろんな知識をえられる良い場所♪
|ω・`)上手に活用できるかどうかは、その人次第ですけど♪
Pyonsama
03-14-2011, 10:27 PM
ちなみに朝起きた際にトークンなかったので、探したらパパの机の上にありましたタル
夜中に勝手に歩いていくAI機能でもついているのでしょうタルか?
信じられないかも知れないけどそれはAIではなく「妖怪トークン隠し」という奴の仕業だね
勝手に持ち去ってはどこかに隠しちゃうという困った悪戯をするんだよ・・・
似たようなのに「妖怪テレビのリモコン隠し」というのもいるんだよw
leonberger
03-14-2011, 11:08 PM
すでに掲示されて事の繰り返しになると思いますが、
セキュリティートークンが表示するワンタイムパスの値は、
非常に推測困難な物です。
ですが、 スクエニID,スクエニパスコード、ワンタイムパス値を
要求するサイトが、フィッシュサイトだったら・・・・
問題点が、セキュリティートークンとは別の所に存在します。
ID・パスコードを求められた時
ブラウザによって表示が異なるけど 認証局VeriSign, Incとか
証明書内容 とか 確認する習慣が必要です。
FFXIログイン後 毎度毎度 ウザい^^;
フィッシュサイトに注意 ってシートは、それを喚起しているんですから。