セキュリティトークンを使用していても不正アクセスされた事例があるという投稿について

[Manta-ray]

とあるスレッドにて

by Micktlll
実際セキュリティトークンを所持していても不正アクセスされるケースが存在しており
セキュリティトークンがあっても不正アクセスが起きているという事実を無視すべきでは在りません。

という投稿がなされました。
セキュリティトークンというのはFF11だけでなく他の重要な機関等でも利用されているものです。
このシステムの安全性は広く周知されており、仮にこのシステムに穴があるとすればFF11のフォーラムで騒ぐどころの話ではありません。セキュリティトークンを利用している各種サービスは早急に見直しをしなければなりません。

もし仮にセキュリティトークンを使用しており、かつセキュリティトークンを第三者に渡らせないように保管しているのにも関わらず、第三者のアクセスを許したのであれば大問題です。

また、その事実があったとしてもそれを公式に告知し利用者に警戒を呼びかけるのでなく、一ユーザーに電話で返答するなどという対応は事実であれば企業としては考えることのできない対応です。


しかし、にもかかわらず、

by kabubu
この対策要望はセキュリティトークンを導入していながらも
アカウントハックを受けた事が前提になっていると思われます。
まずその確認をよろしいでしょうか？

というユーザーの問いかけに

by Micktlll
サポートセンターに電話で聞いたので間違いありません。

と返事をしていることから、企業側（スクエニ様）が返信したという回答があがっています。真偽は不明ですが。


仮に事実だとすれば一秒でも早く公式サイトにニュース告知を出しトークン利用者に警告を行うべきです。またセキュリティトークンは他のシステムでも利用されているためそれら関連する企業、サービス全てに警告を行わなくてはならないのではないでしょうか。

逆に、この話が偽りだったとすれば事実ではないことを不特定多数が閲覧できるフォーラムに書き込んだということになります。それはそれで大きな問題があるのではないかと疑問に思う次第です。特にトークン提供元の信頼に大きく関わることですから。


もちろん、私はセキュリティトークンが破られ不正アクセスがあったということに関しては一切信じておりません。
しかし、不特定多数が閲覧するフォーラムにて記載すべき内容としてはあまりにも目に余るものでありこれが真実であれ、虚偽の内容であれユーザーおよびスクエアエニックス側にとっても何らかの不利益を被る可能性があるのではないかと思った次第です。
新たなるセキュリティシステムに関する要望に関しては問題ないと思いますが、不正アクセス関係のお話については信用問題になりかねないのではないかという懸念です。

果たしてトークンを使っていても本当に不正アクセスに遭ってしまうのか、スクエニ様が情報を隠蔽しているのかなどなど、皆さんはこの件についてどう思いますか？
また、公式側の回答、もしくは適切な対応をこの記事の要望とさせていただきます。

引用元：
http://forum.square-enix.com/ffxi/threads/1187-

[higechan]

これは気になりますね。
だいじに育てたキャラクターデータがアカウントハックにあってしまうと困るので是非運営側からの返答をお願いします。

[Yosikawa]

先ず、そんな事例はありえないので、彼の虚言でしょうね、セキュリティートークンを導入してるのにアカウントハックを受けたのは。
この手の虚言を不特定多数の閲覧できる場で、そのような発言をして、某政治家のように「記憶にございません」と言い逃れしようと
しても、過去の発言を辿っていけば必ずボロが出て窮地に立たれても彼の場合は、自業自得の一言で説明できますし。
彼はどうやら過去に、所属してるカーバンクルワールドからアカウントハックの被害に遭って、セイレーンワールドに移動させられた。
と主張していましたが、STFにアカウントハックの被害に遭ったと連絡すれば、少しの時間が掛かりますが、戻してもらえるのに、
有料ワールド移動サービスの時間制限の３ヵ月後にカーバンクルワールドに戻ってきたそうです。
実際、自分のフレンドもアカウントハックの被害に遭って、STFに被害届の報告をして調査をしてもらったら、別ワールドでRMT業者に
操作させられていたので、少しの時間が掛かりましたが、巻き戻しをしてもらってましたから。
長文すみませんでした。

[Shinemon]

セキュリティトークンそのものがハックされるケースは０ではありませんが極稀です。
ワンタイムパスワードの有効期間は１分程度です。
マルウェアや、サーバー側のクラック、漏洩が絡んできてると個人的には推測します。
また、フィッシングサイトにID、PASS、ワンタイムパスワードを入力すると即狙われますのでご注意を。

[Pyonsama]

＞ワンタイムパスワードの有効期間は１分程度

30秒じゃなかったっけ・・・？

[Hawkwood]

Mantaさんは元発言に疑問を持ちつつ念のために警鐘を鳴らしているようですが、私も元発言に疑問を持つものです。

元発言を見ましたが、この人は多分セキュリティインシデントというものをちょっとかじって、その知識を振り回したくてうずうずしてる人みたいですね。
セキュリティトークンや鍵方式の認証システムは、最高のセキュリティを実現しようとしていくらでもお金をかけられる大企業でも最高の手段として導入されているものです。
論理的にはこれを破る方法はあります。ただし、その為には何億もの金と何年もの歳月と労力をかけてのみ実現可能。
素人が偶然破れるような代物ではありません。

誰がそんな金と手間をかけるのだろうｗ

この場合、最も重要な「ユーザーがしっかり管理していたのか？」という点について発言主はぼかしています。
これが最重要ポイントなのにね・・・・セキュリティハザードの原因として最も多いのがユーザーの管理不十分なんですから。
これだけを見ても、発言主はセキュリティインシデントについて素人同然という事がわかります。
慎重に推移を見守る必要はあるでしょうが、まあ、エンドユーザーの管理不十分かただの勘違いってオチなんじゃないですかね(´Д｀)

なぜ元発言へのレスにしないのかって？

ヒステリックに反論されると疲れるからです(´・ω・｀)

[kenta]

スクエニ側を悪役にすれば、それっぽく正しい意見に聞こえてしまいがちです。

＞サポートセンターに電話で聞いたので間違いありません。
↑これ自体の真偽が不明です。

セキュリティ知識は、業者だけでなくユーザー個人にも求められるものです。
お客様は神様です。みたいなことを「ユーザー側が」言ってはいけません。
自らの対策も疎かになるでしょう。
業者側もできる範囲でできるだけのことをやっているんで、ユーザーの側も意識しましょう。

[Pyonsama]

だいたい「携帯電話で云々」って無くしたり盗まれたり落としたり壊れたりしたらログイン出来なくなるじゃないか＾＾；
トークン以上に持ち運ぶ機会があるものだけにそういったリスクに対して何にも考えてなかったようだしね・・・

「電話して確認した」って発言はウソだと思いますよ・・・確認してないかも知れませんし、
確認はしたけど「そんなことはない」って答えをされたのかもですけど

[Esperiga]

＞ワンタイムパスワードの有効期間は１分程度

30秒じゃなかったっけ・・・？

３０秒は表示時間だろ
表示消えてもある程度なら有効だ

[Pyonsama]

３０秒は表示時間だろ
表示消えてもある程度なら有効だ

勘違いしてました。ご丁寧にどうもです。