ゲームへのログインに関して

[vbsnbk]

なんだかセキュリティに詳しい人が多いようなので下記が現実的でない理由を教えてください

１．なんらかの手段をもちいて偽装サイトに被害者となるユーザー（以下被害者）を誘導する。その偽装サイトはスクエニアカウントのログイン画面を摸してある
２．被害者にログインＩＤ、パス、その瞬間のトークンの値を入力してログインボタンを押させる
３．ログインボタンが押されたら業者にピコンってインスタントメッセージ風にＩＤ、パス、トークンの値が即時通知される
（解説）えーと、ここまでワンタイムパスワード（ＯＴＰっていうのかぁ）はスクエニには通知されていない（未使用）のでまだ有効ですよね？

正規のログインの場合重複ログインがカウントされますが、フィッシングサイトを用いた偽装ログインの場合、使用済みかどうかは関係有りません。
サーバ側の時計で30秒以内しか有効ではありませんので、この30秒以内（トークンを入力してから30秒でも、トークンに表示されてから30秒でも
無いことに注意、実際にはもっと短くなります）に

４．トークンのＯＴＰが有効な内に業者のＰＣで被害者のキャラで１４にログイン

（解説）ＩＤ、パス、ＯＴＰが揃っていてログインできない理由はないと思いますが

ここまで出来るかが重要です。それが出来れば原理的には可能ですね。
ただし攻撃者側がこの全てを「有効な期限」以内に実施する必要があります。これを越えれば
盗んだ認証情報は全て無効化されます。
被害者側のPCにバックドアでも仕掛けて常時監視かつ自動で14へのログインまで行えるようにしているような場合は可能ですが、
そういう場合ってまず間違いなく足が付く恐れが大きくなります（バックドアが何処にデータを送信しているかを解析されちゃう）。
それを回避する方法も皆無ではありませんが、それなりにコストが掛かります。
オンラインバンキングのように直的な金銭的利益が大きい場合はともかく、ネトゲでははっきり言って割に合わなすぎるんです。
だから私が「理論的には不可能じゃ無いけど現実的にはあり得ない」と言っている訳。

５．被害者キャラの全アイテム売却して業者キャラが出品した超ぼったくりゴミアイテムを購入してログアウト

（解説）偽装サイトで何らかの表示でユーザーを足止めしておければその分作業に余裕ができます

これはダウト。偽装サイトから取得したOTPは正規のサーバにおいて30秒しか有効では無いので、偽装サイトで何をしようと余裕は発生しません。

パケット解析？　トークンの仕組みをハッキング？　そんなの必要ですか？

それから一晩考えたら上記フィッシングの手法とは別に罠ツールによる木馬的なハックもあれこれ出来るなぁと思いつきましたが上記が否定されたら書いてもいいかな？

上記の「最大30秒以内に全てをこなすという離れ業をこなした上で、そうした苦労をクリアしても一回きりしか利益を得られない」という
状態を回避するには、パケット解析なりトークンの解析なりが必要になると言う事です。
基本的に世の中のセキュリティは全て「コストと利益の兼ね合い」で動いています。
セキュリティに掛かるコスト、セキュリティを破ることで掛かるコストと利益、これを無視しては現実世界におけるセキュリティというのは
成り立たないわけですね。

[Poice]

これはダウト。偽装サイトから取得したOTPは正規のサーバにおいて30秒しか有効では無いので、偽装サイトで何をしようと余裕は発生しません。

上記の「最大30秒以内に全てをこなすという離れ業をこなした上で、そうした苦労をクリアしても一回きりしか利益を得られない」という
状態を回避するには、パケット解析なりトークンの解析なりが必要になると言う事です。

途中までは同意ですがここから”え？”という感じです
罠サイトでのＩＤ、パス、トークン値の取得＞ログインまでの時間が３０秒かからずログインまで済ませてしまえばあとはゆっくり料理できるのでは？
なぜパケット解析やトークン解析などという話がでてくるのかわかりません。
「一回きりしか利益を得られない」って当たり前じゃないですか？　一度すっからかんにした被害者を再度ハッキングする必要はないでしょう

基本的に世の中のセキュリティは全て「コストと利益の兼ね合い」で動いています。
セキュリティに掛かるコスト、セキュリティを破ることで掛かるコストと利益、これを無視しては現実世界におけるセキュリティというのは
成り立たないわけですね。

これはセキュリティに対する意識が低すぎるのではないでしょうか？
まぁ個人的にはこんな過疎っててギルにほとんど価値のないゲームをハッキングしてどうするの？って感じですが、実際に被害者がいるわけですしその加害者がどこまで高度な技術をもっているかは未知数ですよ

[Matthaus]

まぁ個人的にはこんな過疎っててギルにほとんど価値のないゲームをハッキングしてどうするの？って感じですが、実際に被害者がいるわけですしその加害者がどこまで高度な技術をもっているかは未知数ですよ

これは、トークン利用者が被害に遭った実例があると言うことでしょうか？
トークン未使用者の被害なら聞いたことがありますが、
それが本当なら、ソースを提示して頂けますでしょうか？

世界規模の、大ニュースですので。

同じトークンを利用しているFFXIでも、トークン利用者の被害報告は聞いたことありません。

それ以前に、もっと前から同じトークンを採用していたであろう金融機関等の被害も聞いたことありませんが...

[Poice]

、
それが本当なら、ソースを提示して頂けますでしょうか？

ＲＳＡが破られたとかそういう話ではないのですが・・・

世界規模の、大ニュースですので。

同じトークンを利用しているFFXIでも、トークン利用者の被害報告は聞いたことありません。

それ以上に、同じトークンを採用しているであろう金融機関等の被害も聞いたことありませんが...

＃８０を読んだ上でこの発言をしているというのであれば返す言葉もないです。あれ以上丁寧/詳細まで手順を説明できません
こうすればトークンの仕組みを破らずにハッキングできるのでは？という可能性について話をしているのに「世界規模の大ニュース」とか・・・

[Matthaus]

実際に今までトークンが破られたという事例がないのに、
貴方だけ、トークンが簡単に破られて当たり前という前提で話されているから、
いつまで経っても、議論がかみ合わず終息しないのですよ。

只のマイナス思考の被害妄想に過ぎませんね。

可能性を提示するのは一向に構いませんが、
他の方は、それを実際に行うとなると現実的ではないとおっしゃっているのです。

それなら、どう対策されるのが良いとお考えなのですか？

このままでは、何でもかんでも否定だけして対策を提示しない、政治屋と同じじゃないですか。

トークン利用者を良くない考えの方へ導こうとしている節が見受けられます。
貴方なら、現在トークン以上のセキュリティ向上策が浮かびますか？

ミスリードは止めてください。

貴方は、トークンが破られることを望んでいるのですか？

[Poice]

実際に今までトークンが破られたという事例がないのに、
貴方だけ、トークンが簡単に破られて当たり前という前提で話されているから、
いつまで経っても、議論がかみ合わず終息しないのですよ。

只のマイナス思考の被害妄想に過ぎませんね。

トークン利用者を良くない考えの方へ導こうとしている節が見られます。
貴方なら、現在トークン以上のセキュリティ向上策が浮かびますか？

ミスリードは止めてください。

貴方は、トークンが破られることを望んでいるのですか？

トークン導入によってそりゃセキュリティが飛躍的に上がることは重々承知していますよ。通常版ユーザーにも新クライアントディスク送付時にトークンも添付して全ユーザートークン必須にすべきだと思ってます

ただ「絶対」ではないと言いたいのです
可能性があるのに「想定外」「前例がないから」といって考えもしないのは某電力会社と一緒じゃないでしょうか？

「ウイルス対策ソフト入れるから大丈夫」という被害者を散々袋だたきにしておいて「俺はトークン使ってるから絶対大丈夫」という思考はレベルの差があるだけで同じ思考じゃないですか？　むしろそういう人こそ罠サイトや罠ツールに引っかかりやすそうじゃないですか？

[Matthaus]

ただ「絶対」ではないと言いたいのです
可能性があるのに「想定外」「前例がないから」といって考えもしないのは某電力会社と一緒じゃないでしょうか？

まだお気づきでないのですか？

貴方の発言は、問題提起だけして何も打開策を提示していないから、
周りから総スカンを食らっているのですよ。

その問題提起も、架空の空論ですし。

物事全てに絶対はあり得ません、それは当たり前でしょう。
でもそれを受け入れられないのなら、それを避けるしかないのではないですか？

絶対ではない、だからなんなのですか？
他のプレイヤーにどうしろと言いたいのですか？

ただ不安を煽っているだけにしか見えませんよ。

ちなみに私は、もちろんトークンを使用しています。

[vbsnbk]

途中までは同意ですがここから”え？”という感じです
罠サイトでのＩＤ、パス、トークン値の取得＞ログインまでの時間が３０秒かからずログインまで済ませてしまえばあとはゆっくり料理できるのでは？

全く理解できていないんだったらぐだぐだ言うのはお止めになっては如何でしょうか？
それが「出来れば」その1回だけは何とでも出来るのは確かですが、現実的には難しいのです。
そのアカウントハッキングから利益を得、なおかつ犯罪者が尻尾を掴まれずに逃げおおせるのは
もっと困難なんです。
その点については十分説明しています。理解できないのでしたらもっと勉強しなさい。

なぜパケット解析やトークン解析などという話がでてくるのかわかりません。
「一回きりしか利益を得られない」って当たり前じゃないですか？　一度すっからかんにした被害者を再度ハッキングする必要はないでしょう

愉快犯だのRMTだのだけがゲームハッキングの目的では無いんですよ。むしろそんなのはログをたどれば
アイテムとギルの流れからすぐに「誰がそこから利益を受けたか」を割り出してしまえるんです。
そもそも、アカウントハック被害に遭ったユーザが何故1ヶ月程度経って初めて
復旧して貰えるのかご存じない？
あれはばらまかれたギルだのアイテムだのの流れた先を確認して、
被害を訴えたユーザが他のユーザと共謀して偽の被害を訴えているのでは無いか、あるいは
業者なりを疑われるアカウントに流れていないかというのを確認しているからです。
単に仕事が遅いから復旧に時間が掛かっているわけでも何でも無いの。

　一番防がなければならないのは携帯の「端末流し」のように、他の不正行為の為の踏み台として
使えるアカウントを作られてしまうことなんですよ。
そういう捨てアカというのは裏市場での売買の対象になりますし、そうしたアカウント経由で
ハラスメントされたら「本当に悪いことをしたのは誰か」ということを突き止めるのは至難の業です。
　STFなりスクエニの運営なりは少なくとも貴方よりも十分ネット上での犯罪行為について理解しています。
見当違いの批判は鼻で笑われるだけですよ。

これはセキュリティに対する意識が低すぎるのではないでしょうか？
まぁ個人的にはこんな過疎っててギルにほとんど価値のないゲームをハッキングしてどうするの？って感じですが、実際に被害者がいるわけですしその加害者がどこまで高度な技術をもっているかは未知数ですよ

世の中をもっと勉強してはどうでしょうか？

[Poice]

それが「出来れば」その1回だけは何とでも出来るのは確かですが

一度ログインできることまでは認めるんですね？
私は一度ログインするところまでしか想定していません。ログインできた時点でハッキングは”成功”でしょう。業者がその後どういう手順で足がつかないようにギルを吸い出すのか等は知りませんし、それについて議論する必要性ありますか？。
垢ハック被害と言えば　装備ギル全部うっぱらわれて素っ裸、ＲＭＴシャウトするくらいしか聞いたことないですが

　STFなりスクエニの運営なりは少なくとも貴方よりも十分ネット上での犯罪行為について理解しています。見当違いの批判は鼻で笑われるだけですよ。

運営側もトークンを過信しすぎてると思っていますが

[vbsnbk]

一度ログインできることまでは認めるんですね？
私は一度ログインするところまでしか想定していません。ログインできた時点でハッキングは”成功”でしょう。業者がその後どういう手順で足がつかないようにギルを吸い出すのか等は知りませんし、それについて議論する必要性ありますか？。
垢ハック被害と言えば　装備ギル全部うっぱらわれて素っ裸、ＲＭＴシャウトするくらいしか聞いたことないですが

私のこのコメントをもう一度見直して下さい。「1回ログインを奪取」した上で「足が付かないようにする」
ことは非常に困難なんです。
それを無視して理論をもてあそぶんだったら付き合ってられませんので以後何も言う事はありません。

運営側もトークンを過信しすぎてると思っていますが

それをいうなら銀行もネトゲ業界もセキュリティ企業も全て「過信している」ということになりますね。
貴方は何をしたいのですか?「世界の敵」でも気取るつもりですか?