セキュリティトークンを使用していても不正アクセスされた事例があるという投稿について

[HumA2]

セキュリティトークンを所持していながらアカウントハックを受けたものです。

もう随分と前の話しですが、私がログイン中にアカウントヘのアクセスがあり、
ゲームからの強制ログアウトを受けました。
システムメッセージも詳しくは覚えていませんが、
アカウントへのアクセスがあったので強制終了しますといったものです。
直ぐにパスワードを変更し、ログインしたので特に被害はありませんでしたが、
戯言でもなんでもなく事実、そういう被害を受けました。

これに対して、オンラインのチャットサポートに問い合わせを行いましたが
長い定型文書で説明され改善策を訴えましたが、報告しますといわれそれで終わりでした。

現在のログインシステムは、後からログインした人が先にログインした人を押しのけてログインすることができます。

セキュリティトークンさえあれば100％絶対安全というわけではないということを実感させられた瞬間でした。
どうすればいいのかはわかりませんが、なにか対策を取っていただけると助かりますね･･･。

[Wildboar]

セキュリティトークンさえあれば100％絶対安全というわけではないということを実感させられた瞬間でした。
どうすればいいのかはわかりませんが、なにか対策を取っていただけると助かりますね･･･。

セキュリティトークンを使用していても100％安全ではない、というのは当たり前の話だと思います。
ただ、現状導入できるシステムで最高のものだと言えるので、これ以上のセキュリティはオンラインゲームに必要ないと考えます。

実際にトークンを突破してハッキングできるなら、ゲームデータなどではなく、ネットバンクから現金を引き出したほうが遥かに犯罪者に有益でしょう。

そして公式には下記のように説明があります。

※「スクウェア・エニックス　セキュリティトークン」を利用している状況で、万が一不正アクセスの被害にあわれた場合は、回数に制限無く救済を承ります。
http://support.jp.square-enix.com/fa...82%AF%E3%83%B3

もし本当に被害に遭った場合でも何度でも救済をしてくれるので、安心していいと思います。

[Mildia]

マルウェアや、サーバー側のクラック、漏洩が絡んできてると個人的には推測します。
また、フィッシングサイトにID、PASS、ワンタイムパスワードを入力すると即狙われますのでご注意を。

少し技術的な話になりますが、SquareEnix 様が使用しているワンタイムパスワードの場合、ID,Passwordを元にセキュリティトークンIDを導出し、トークンIDを元にワンタイムパスワードを作成しているため、単純なID,PASSの方式に比べ、格段に堅牢性が高くなっています。
この方式の場合、フィッシングサイトにて入力した程度では、余程大量に入力しない限り問題になることは少ないでしょう。（1IDの紐付けが可能なほどの回数、入力することは稀だと思います）
これ以上の堅牢性を求められるのであれば、ドングル（ハードウェアキー）にて対応するしかないのでは、と思われる程です。

＞サポートセンターに電話で聞いたので間違いありません。
この Micktlll 様の発言の真偽は不明ですが、セキュリティトークンを導入した企業であれば、セキュリティトークン方式の対応にて不正アクセスされる可能性が非常に低いことは認識しているはずです。
その中でそのような回答をされたというのであれば、それは質問内容の認識に齟齬があるか、他の回答と間違えているかのどちらかではないでしょうか。

以上です。長文失礼しました。

[Taruco]

タルコもセキュリティトークン使ってて、いきなり誰かにログインされたことありますタル
そのまま寝て、朝起きてログインしたらちょっとＬｖがあがってましたタル

ちなみに朝起きた際にトークンなかったので、探したらパパの机の上にありましたタル
夜中に勝手に歩いていくＡＩ機能でもついているのでしょうタルか？

[Shinemon]

別スレでも書きましたが外国で銀行を騙ったダイレクトメールにてフィッシングサイトに誘導され、ID,PASS,トークンPASSをハックされトークンの有効時間内（１分程度）に預金を引き出されたという事例がありました。
ご参考までに。

[Tonnura]

きっと被害を受けた人はパス入力画面を見られてたんだよ。
背後でノーパソ抱えたハッカーさんが、ワンタイムパスが入力されるのをじっと待ってたりとか。

[Hawkwood]

なにか対策を取る必要があるのはHumA2さんの方じゃないでしょうか？
パスワードを変更したらもう不正アクセスされなかったということはあなたのパスワードをその人が知っていたということです。

セキュリティトークンで生成されるワンタイムパスワードはログインIDとセキュリティトークン内部にあるコードと結び付いているもので、これらが判らなければ正しいワンタイムパスワードを生成する事はできません。
つまり、あなたは何らかの方法でこの両方の組み合わせを誰かに知られてしまったわけです。
この情報はあなたの手元か、スクエニのアカウント管理サーバあたりにしかないはずです。
アカウント管理サーバがハッキングされて情報が漏洩したのなら、もっと騒ぎになっているはずですよね。
ということは・・・・・もうひとつの方が原因って事です。

どなたかも書いてますが、まあ、それと知らずにフィッシングサイトに引っかかったか、身内の誰かがトークンを持ち出してログインしてみたか、そのあたりなんじゃないですか。

[sety]

セキュリティトークンを持っていてもログインに必要なIDやパスワードが第三者に漏洩している場合、強制ログアウトする可能性はあると思います。
少し前に私が意図せず、やってしまった事があるので参考になればと思い書かせていただきます。

もう随分と前の話しですが、私がログイン中にアカウントヘのアクセスがあり、
ゲームからの強制ログアウトを受けました。

この強制ログアウト自体は、２アカ操作可能な環境があれば誰でも起こせるはずです。

私は現在PC２つ（FFXIのIDとパスをPCに保存済み）で彼と一緒にFFXIをしています。
セキュリティトークンは両アカウントとも使用してログインしていたのですが、間違えて彼のアカウントを選択し、自分のログインパスワードとトークンパスワードを入力してログインを行ってしまいました。

そうするとログインしていた彼のFFXIは強制ログアウトされ、私のPCではログインエラーが出ました（当たり前ですがパスワードが違うのでログイン失敗したわけです）
つまり、パスワード入力前の情報を入力してログイン試行をされた場合パスワードが間違っていたとしても強制ログアウトしてしまうんです。

現在のログインシステムは、後からログインした人が先にログインした人を押しのけてログインすることができます。

これは確かですが、後からログインしている人が必ずしもログイン成功しているとは限りません。
私がやってしまったケースだと、スクエニパスワードとトークンパスワードは間違った状態で強制ログアウトになったので。
セキュリティトークン自体セキュリティが高いものですし、被害がないHumA2さんの場合、第三者にログインされかけたがパスワードが分からずログイン失敗した状態ではないでしょうか。

自衛的な対策としては、もしこのような強制ログアウトがあった場合、変更できるIDやパスワードは変更する（その際に分かりづらいもの、他サービスと違うものにする）セキュリティトークンは絶対使うことを徹底すれば、ウィルス等でPCの情報が漏れない限りかなり安全だと思います。

参考になれば幸いです。長文失礼いたしました。

[Hawkwood]

少し前に私が意図せず、やってしまった事があるので参考になればと思い書かせていただきます

これは驚いた・・・・

セキュリティトークンでの認証を後付でやったせいで、こんな事が可能になったんでしょうね。

奇しくもセキュリティトークンの信頼性を証明する結果になったようですが、認証に失敗しているのに障害が起きるこの仕様は何とか直して欲しいものですね・・・・・

システム屋の端くれとして、これはとても参考になります。
貴重な事例をありがとうございます。
（と、スクエニのシステム担当も思っているかもしれない(・´з`・)）

[Osashimi]

パスワード入力前の情報を入力してログイン試行をされた場合パスワードが間違っていたとしても強制ログアウトしてしまうんです。

この状況になると、外部から不正アクセスを受けたと思ってしまいそうですね。
たとえば別室で家族がこの状況を作り出してしまい、その後お互いにこの事を話し合わなければサポートにも判断できませんしね。