割と本気で即座にサーバー停止して緊急メンテ案件なんですがこれほっといて良いんですか……?
無料ログインキャンペーンとかやってる場合じゃないですよマジで
PCGamer 記事: 危険なストーキング MOD
Printable View
-
01-13-2025, 11:10 PMCoerulea
-
01-13-2025, 11:46 PMAN135
初投稿失礼します。
まず、運営のツールに対する認識の甘さつまりは事実上の黙認のツケがここに来て一気に来た感じに見えます。
他のオンラインゲームがどのような対策をしているかは詳細は分かりかねますが、普通であればかなりの大問題ではないですかね?
そのプレイヤーのサブキャラなどの情報しかわからないようですが、下手したら本名や住所、登録しているクレジットカード情報の引き抜きも可能では?と疑念に駆られます。
他所のアンチチートソフトウェアを導入するだけでも防げたと思いますし、運営には改めてツールに対する認識を強化してほしいと思っています。 -
01-14-2025, 12:01 AMkakelu
クレカ情報などは「スクエニアカウント」の方に紐付いているリアル情報で、今回のは「FF14アカウント」に紐付いてるゲームキャラ情報だと思いますが
スクエニアカウントの情報は申請して許可だけをクライアントに送ってると思うのと
スクエニアカウントは14のキャラデータが保管されているサーバーとは別で、スクエニ全体のサービスへのログインを管轄するサーバーの方なので別の場所です
今回は14のサーバーに保管されているキャラデータがクライアントに送られる際に情報を読み取られているのかと思います -
01-14-2025, 12:07 AMAN135そういうのはわかりました、しかしこういう疑念は絶対に出ると思います。Quote:
Originally Posted by kakelu
ましてや、サブキャラの情報知られたくないって人は一定数いるはずですし、悪用する人も然り。
現に海外の有名な配信者が既に被害に合っていると聞いております。
これを危惧してFF14そのものを引退するユーザーもいると思います。 -
01-14-2025, 05:18 AMxxSouxx
運営も麻雀配信とか予定している場合ではないのでは。
キャラを変えてはストーカー行為を続けていたプレイヤーの対策には必要だったんだろうとは思いますが、アカウントIDを送信データに含めてしまうとは…
ストーカー被害にあい、時にサブキャラに逃げることでどうにかしのいでいる人たちにとっては死活問題かと思います。
対応を予定しているのか否か、予定しているならいつまでに対応予定なのか、アナウンスをお願いしたいです。 -
01-14-2025, 09:46 AMGoldclock
キーカラムが必要なのは理解できるのですが、データベースを暗号化していなかったということでしょうか…?
そうだとすれば現在黙認状態であるツール類の対策含め甘いなぁとしか。
本件、今までのツール類とは比較にならないレベルの案件だと思います。
早急な対策と対応を強く望みます。 -
01-14-2025, 11:03 AMfavorite_ru_ru
追加された機能で発生している事象ならひとまずその機能を緊急メンテでリバートして欲しいです。
かなりクリティカルな事象であると思います。 -
01-14-2025, 02:28 PMZinaida
このスレの記事のツールのGithubは規約違反で現在削除されてますね
ただ問題の本質としてはキャラクター固有のIDを取得できるようになっていることで、その仕様だと似たようなツール作れるのでは
もしかしたら今も同じ様なツール非公開で作ってる人いるかもしれないのでこのツールどうにかしたって解決はしないでしょうね
このツールも9月から非公開で使われてたらしいですし -
01-14-2025, 03:07 PMmirapurisuki
今回話題になっている不正ツールから直接クレカ情報などを抜き取られるということはないかもしれませんが…
開発者がこのツールに対してアカウント情報を非公開にしたい人は開発者のDiscordサーバー内にあるオプトアウト用のGoogleフォームから申請するようにと説明しているんですよね
フォームに非公開にしたいキャラクターについて記入して送信した上で、指定された文字列を該当キャラクターのロドストのプロフに記入するようにとなっていました
普通に考えたら到底信用できるようなシロモノではないのでURL等は伏せますが、ストーカー被害にあっている人は藁にもすがる思いで送ってしまうかもしれないですよね
今のところは金銭を要求されるようなことにはなってなさそうですが、今後どうなるかはわからないと思います
ツールそのものではなく、非公開化するためという口実でツール以外のところで要求された情報を渡してしまうことで間接的に被害が拡大する可能性はないとは言い切れません
別件にはなりますが、不審なtellに記載されたURLにアクセスしてしまってアカウントハックされるという問題があるようですが、
このツールに対してユーザーが抱いている不安の大きさから鑑みても、運営がきちんと対処してそういった不安を払拭しなければ似た問題が二次被害として起こりうる可能性は十分あると思います
それから、スクエニのプライバシーポリシー内で収集する個人情報として定められたものが記載されていますが、そこには機能利用状況やロドストのページで閲覧できるゲームの進行、アチーブメントなどが含まれています
そしてそれらの個人情報についての利用や第三者への提供についても定められているところですが、当然のことながらそこに不正ツールの利用者への提供は含まれていません
ですが、今回のツールによって、ロドストのURLや名前やサーバーについても履歴がたどれるということは、変更サービスなどの機能の利用状況をプライバシーポリシー内で定めていない不正利用者に対して意図せず渡してしまうのと同義ということになります
そういった意味でも運営の方には深刻なプライバシーポリシー違反に該当する案件だと考えて対処して頂きたいと思います
プライバシーポリシー云々の話をせずとも、そもそもキャラクター名のみで氏名や住所などの個人情報がない状態でもプライバシー権が認められるようになったのが世の中の実情です
実際に、某掲示板や某SNS上ではFF14のキャラクター名だけを挙げた状態での誹謗中傷や脅迫、プライバシー侵害などの不法行為に対してプロバイダ責任制限法に基づく発信者情報開示請求訴訟で勝訴した例がたくさんあります
それくらい、キャラクター情報というのは重要な侵されてはならない個人のプライバシーの一部であると言えます
海外ではすでに配信者の方に被害が発生しているという事実も見過ごせませんし、スクエニが対処する理由としては十分すぎるはずです
今回の改修で起きた問題という点で考えれば、一時的に元に戻してから再度改修するなどすれば技術的な問題も十分解決できるはずです
こんな不正ツールを作った人が一番悪いのはみんなわかっていると思いますが、どうか一刻も早い対応を望みます -
01-14-2025, 04:25 PMrobertデータベースや暗号化は関係なく「クライアント側で複数のキャラクターが同一のユーザーのものかを判定している」のが真の問題と思います。Quote:
Originally Posted by Goldclock
(ユーザーの判定に使っているIDが暗号化されていたりハッシュ化されていたとしても、結局クライアントが判定できるならMODも判定できてしまう)
ですので自身のキャラクターが誰かの表示範囲内に入ったりチャットなどの範囲に入るたびに「サーバー側でBLの判定をして結果だけをクライアントに送信する」という処理に変更する必要があると思います。
ですが恐らくサーバー側の処理がとんでもなく跳ね上がるので 6.x に戻すしかないだろうと思います。