ゲームへのログインに関して

[Poice]

んー、Poiceさんの目的は何ですかね？トークンが信用出来ないんですかね？
とりあえず、トークンを使うのが現実的（経済的）に一番ベターな選択肢ですよ。それ以上ってのは多分無い。
（ありますけど、生体認証みたいな（物理的な）認証機構やらが必要で、実現に必要なおカネの額が４～５桁上がります）
と、その辺はご理解戴いてると思うので、その上で。

トークンによって飛躍的にセキュリティが向上するのは間違いないと認識しています。が、昨日争っていた方々は「トークン使ってて１４でハッキングの被害があったら世界中でニュースになる」というほどに信頼しすぎていて取り合ってくれない物で・・・

そして問題はＣの場合。ユーザーのPCにウィルスやらナニやら入れられた時点で、まあ大体「詰み」なので、
ウィルス対策ソフトとか、OSやブラウザを最新にするとかは、基本的にこれをやられない為の対策です。ところが、トークンを使ってると、この「詰んだ」状態でも1/100万の確率でしかログイン出来なくなるんですね。なのでトークンが重要（かつお値ごろ）という訳ですが、もっと重要なのはンなものに感染しないことであるのは言うまでもありません。

”ここの「詰んだ」状態でも1/100万分の一の確率でしかログインできない”
というところです。中間者攻撃といわれるフィッシングの手口を使えば偽物のサイトでＩＤ、パス、ワンタイムパスワードを抜き取り、ＯＴＰが有効な時間内に本物のサイトに通常の手段でハッカーがログインできるのではないでしょうか？
フィッシング詐欺の初歩の初歩＋αくらいしか複雑なことしてませんので1/100万を別なルートで抜けられる可能性は十分ありそうな気がするのですが。
高木先生がどういう人かしりませんがやはりそれについて指摘しています

.exeファイルをダブルクリックするということは、そのPCに対して何をしても良いよ、という許可を与えるということです。
（なので最近は、システムのヤバい箇所を触るソフトにはウザったい許可のウィンドウ（UACといいます）が
出るようになりましたが、これは上記の理由で必要な仕組みなのです）
要するに、そもそも誰が作ったかも分からないツールを使おうとする時点で論外なので、スクエニ側でも
そういう人向けへのサービスはさすがに出来ないｗ（が、トークンを使っていれば1/100万の確率で以下略）

ここも偽のクライアントでID、パス、ＯＴＰをハッカーに送信しハッカーがＯＴＰの時間内に（以下略）
（ついでにツールはだいたいメモリを覗きにいくので管理者権限必須なんですよねぇ）

[Minna]

https://secure.finalfantasyxiv.com/account/app~
であることを確認することが一番重要で効果的なようです。（Firefoxだと特別な表示がされますね）詳しくはわかりませんでしたがこれが破られたら世界中でニュースになるレベルらしい？

一度、ブラウザ上のアドレス表示が書き換えられるっていうんで2004年か2005年くらいに騒ぎになりましたねぇ。すぐにMSがパッチ出したけど。

・ログインページの一番下に「 個人情報を送信する前に、ウィンドウ上に表示されているドメインがSSL証明書のものと同一であることを、かならずご確認ください。」って重要なことがさらっと書いてあるのに始めて気付きました。ドメインって何？っていうレベルのユーザー（私も含め）にほんとに注意喚起してるつもりなんでしょうか？ハックされた時の言い訳用にしか見えません。

（めちゃくちゃ私的ですが）ぶっちゃけ言えば言い訳ですね。これは何もスクエニのアカウントサイトのみならず、いろんなソフト入れるときのEULA（End User License Agreement：使用許諾契約書）もそうだと思います。
#誰も読んでないよねぇ？あんな長い使用許諾・・・（汗

で、件の何も知らない人のためにどうするか？ですが、一昔前まではブラウザ毎の確認方法などのまとめて載せてたりしました。
例えば、今も三井住友の場合は以下のようなページを作ってます。（IE7なので既に古いのですが）
http://www.smbc.co.jp/security/taisaku/index.html
#毎度三井住友でごめんなさい！しかも今メンテ中だからどこから辿れるかワカラナイッ

で、昔は所詮IE、ネスケくらいだったので作るのも楽だったのですが、最近はIE、FireFox、Chrome、Safariなど多様化していて、
網羅しきれなくなり、文字だけになっていってるんだと思います。（ページ作るのもコスト・・・なんですよね）

また一言でも書いていれば、「ここに書いてるのを承知で押したんでしょう？」ってのが通るんですよね。
しかも、昔はこのように書いて見せることしかできなかったわけです。最近ではFireFoxで確認してるとおり、ブラウザ側でもっと違う
見せ方をしていますので、その２段階での確認が必要ってことになると思います。

・ドメインについてはJPNICの以下のサイトを参照
JPNIC：ドメインのしくみ
http://www.nic.ad.jp/ja/dom/system.html

蛇足：ページ上に書いたり、使用許諾に書かずに個人情報（またそれが類推できる情報）を送信又は蓄積しているなどで、今スマホ界はてんやわんやしているようですよ・・・
　　　　まるで10年前のネットのように。

・現行の専用クライアント（中身ＩＥですかね？）上でのパスワード入力は偽クライアントによるなりすましに対して脆弱だと思うのですがどうでしょう？　私の知っている限り日本のスクエニ以外の運営はブラウザ上でログインさせてます。　セキュアなページかどうか確認出来る分そっちのほうが安全な気がします

アドレスを見せてないので、上記のような確認が取れないため脆弱になるのでは・・・？ということですよね。
有り体に言えばそのとおりです。パッと見わからない。仰るとおりブラウザを開いてからログイン＞起動の方がいいかも知れませんね。

P.S.　MHFのハンゲームからのログインはブラウザからですが、ダレット側は専用クライアントだったりします。ROもまだ専用クライアントじゃないかな・・・。

・現在連射パッドによる放置合成が出来る仕様になっているのは以下を防ぐためだとか？ｗ（１１の最初期の寝釣りツール使ってたらキャラ削除されたって騒動を思い出しました）
マテリアシステムでいやいやクラフターのＬｖ上げする人口が増える　＞　自動合成ツールが出回る　＞　それを偽装した偽クライアントによるハッキング多発

■ｅ＜連射パッドで合成できるようにすることでツールが出回るのを防ぐことに成功しました！

いやぁ・・・そこまで繋がってるかは微妙でしょう。まぁ過去歴があるならそうかもしれませんが・・・。私はFF11やってないので調べてないです。
とはいえ、そういうのもネトゲーでは普通に有り得ますね。で、MHFはnProを採用してました。よくnProがバグって起動しなくなったりしましたけども！
最悪の場合クライアント再インストール・・・もっと最悪の場合OS再インストール・・・死ねる。

逆になぜスクエニは外部ツール防止のこれらを採用しなかったんでしょうね？

追記：
nProアカンて・・・こりゃあきまへん。
http://ja.wikipedia.org/wiki/NProtec...tect_GameGuard

＞ゲーム起動中にWindows7のスタートメニューが開けなくなるという不具合があり、現在も改善されていない。
流石nProtect・・・
Chromeも使えなくなるのか・・・すばらしい。入れないで正解だわー

[Poice]

いやぁ・・・そこまで繋がってるかは微妙でしょう。まぁ過去歴があるならそうかもしれませんが・・・。私はFF11やってないので調べてないです。

１１ではリリース時の仕様では連射パッドを使うことによって釣りをすることができました。当時ＲＭＴとかインフレとかいう概念も無く気付いた人が次々と寝釣りするようになりそれはずるいんじゃないの？と問題化。
それを防ぐ為に連打すると釣りを中断するように変更　＞　それに対抗するためにスクリプトを使う手段が広まる
じゃあ釣りをアクションゲーム化　＞　スクリプトがさらに高度化して難なく対応。（一般ユーザーが釣りしずらくなっただけだという）
そのツールに一定時間たったら自動でログアウトしてキャラを勝手に削除する罠がしかけられた亜種が広まる。（ログアウト選んでキャラ選択画面に戻る>下キーを何回か押す＞○キーを何度か押すという簡単なものでした）＞　キャラ消えたぞ！と阿鼻叫喚　＞この辺でやっと「ツールを使うことは規約違反とします」と規約変更。その時点ではＧＭによる監視等は無くしばらく野放しだったと思います。取り締まり始まったのはどれくらいだったっけかなぁ1年は余裕で経ってたと思いますが

って感じの流れだったと思います。今ではとてもかんがえられませんが、ユーザー側もオフゲの裏技的な感覚しか持ってませんでしたからね。２ｃｈでも普通にスクリプトの組み方についてあれこれ話し合ってました。

[Zhar]

”ここの「詰んだ」状態でも1/100万分の一の確率でしかログインできない”
というところです。中間者攻撃といわれるフィッシングの手口を使えば偽物のサイトでＩＤ、パス、ワンタイムパスワードを抜き取り、ＯＴＰが有効な時間内に本物のサイトに通常の手段でハッカーがログインできるのではないでしょうか？

YES
ワンタイムパスワード方式は、中間者攻撃に対して脆弱性があることは広く知られていますよ。
これに対する対策は「フィッシングに引っかからない（詐欺師に騙されない）」です。
CITIBANKだったかな？の事例では最初に偽サイトへ誘導するメールが被害者へ送られ、
それを信じたユーザーが被害に遭いました。
このケースでは「そもそも最初にメールに騙されなければ」被害に遭うことはなかった、ということになります。
まあ、相手は詐欺師なので難しいですね。ですがこんなのはネットに限った話ではないですから・・・

ただ、その「偽者を見抜く」手段として、先に書いた「ドメイン名」と「正規のSSLサーバー証明書」のセットは
かなり有効に機能します。結局、利用者側が面倒がらずにキチンと確認しなさいって事ですよ。

ここも偽のクライアントでID、パス、ＯＴＰをハッカーに送信しハッカーがＯＴＰの時間内に（以下略）
（ついでにツールはだいたいメモリを覗きにいくので管理者権限必須なんですよねぇ）

そっちのケースは、ワンタイムパスワードの仕組みを心配する前に、
自分のPCを何とかしろ・規約違反のツールなんか使うな、でFAですよｗ


今はFF14は割と平和ですが、11の初期は酷かったですからねえ・・・
当時のフレで、業者にキャラを乗っ取られて引退した人もいましたよ。
そいつのキャラがウリ広場にいたのを見た時は、マジで中国人業者（ピンイン話してたので確定）
に殺意すら覚えましたよ、ええｗ

14でそういう思いはしたくはないので、皆さん気を付けて下さいということで一つ。

[Poice]

Zharさん今日はお早いお帰りで

罠ツールのデモ版を作ったので見てもらおうとどこに上げようか探してた所なんですが

そっちのケースは、ワンタイムパスワードの仕組みを心配する前に、
自分のPCを何とかしろ・規約違反のツールなんか使うな、でFAですよｗ

とばっさり切られてしまった・・・

[YukiAri]

セキュリティー関連の方もおられるようなので、ふと思いついた質問をｗ

・ログアウトしない

ってのは、どうなんでしょ？ｗ
サーバーメンテナンスやwinアップデートとかは、仕方ないとして
常にゲームにログインしっぱなしなら、たとえＩＤ　パス　ＯＴＰが抜かれたとしても
外部からログイン出来ないと思うのですが？

あ、寝ている間にリモートＰＣで・・・
ってのも、技術的には可能なのかな？ｗ

[KanaTan]

リモートで乗っ取られるとマウスもキーボードも自由に動かされるのでは？
仮にＦＦ１４を外部から操作して、ごっそり抜かれると止めようがないですからね。

セキュリティーソフトは、十分条件ではないけれども、絶対条件なのだと思います。

[Minna]

セキュリティー関連の方もおられるようなので、ふと思いついた質問をｗ

・ログアウトしない

ってのは、どうなんでしょ？ｗ
サーバーメンテナンスやwinアップデートとかは、仕方ないとして
常にゲームにログインしっぱなしなら、たとえＩＤ　パス　ＯＴＰが抜かれたとしても
外部からログイン出来ないと思うのですが？

あ、寝ている間にリモートＰＣで・・・
ってのも、技術的には可能なのかな？ｗ

まさに・・・私は常時ログインしておりますよ。パッチとかの時だけクライアント落としたりOS再起動してます。
でもまぁ、電気代ガーな人には無理ですよね。
#月に電気代25kでございます。一人暮らしですが。

ちなみにリモートPCで～とありますが、OS付属のリモートデスクトップの描画にはFF14が使っているライブラリ（DirectXといいます）を使用していますので、バッティングしてクライアント起動しないです。
DirectXを使用できるリモート操作のソフトもありますが、今度は重くてゲームにならないです・・・。

[Poice]

ありゃ、流石にツールをアップするのは不味かったですか
でもここを見ているということですから一つお願いを

なりすましの手口がやりにくいように「ゲームのログインもロドストから」にしたほうがよくないですか？
他社がやっているようにロドストにゲームスタートボタンを追加してそこからクライアント起動

でもそれやるとＩＥからしかゲーム開始できないとかになっちゃうか・・・

[Zhar]

なりすましの手口がやりにくいように「ゲームのログインもロドストから」にしたほうがよくないですか？
他社がやっているようにロドストにゲームスタートボタンを追加してそこからクライアント起動

そっちの方が中間者攻撃くらうリスクが高まる気がしますぜ(´∀｀)