会員サイト情報流出について

[Misutosutera]

>>Alphardさん

ありがとうございます
トークンは今度続けていく上で使っていこうと思いましたが。

肝心のスクエニの対応にさすがに限界が来てます




スクエニの対応について

免許書のコピーを送れとかいうすごく怪しい手続きまで済ませて数日たってやっと来たメールがこちら

「不正アクセス調査の件につきまして、ご申告いただきました情報を基に、
対応を進めさせていただきます。」

今から？それって普通送ったその日か次の日にはメールするよ？

「返信までお時間がかかる場合がございますので、
今しばらくお待ちいただきますようお願い申し上げます。」

いや、このメールが来るまでにじゅうぶんかかってるよ？！

「今後とも弊社サービスをご愛顧くださいますよう、お願い申し上げます。」

だからそれはいまさらいうことでない！
そして最後に付け足すように書いてあるのが

「※2011年12月30日(金)より2012年1月3日(火)まで冬季休業期間となります。
　　順次返信を行なってまいりますが、平常時よりも時間を要する場合がありますので、
　　あらかじめご了承ください。」

はあ？
なんで困ってる客が目の前にいるのに
「すみません今から昼飯なんでちょっと待っててください」
の超絶拡張版やらかしてんの？

そこはかなり平謝りするところでしょ？
何当たり前のように「ご了承ください。」
とかいってんの？！

といった感じでなかなか堪忍袋の緒が切れそう

セキュリティーソフトでフルスキャンとかもしてみたのですが何も検出されません
検出されないものの被害？
基本怖がりなんで定期的にパソコンにフルスキャンさせているのですが

それに今までこんな状態あったことないし
以前もいったかな？
少なからずこのパスを使ったのはこのゲームが始めてなのに

まあ
何があっても誠心誠意のある対応があれば私もこんないらいらすることの無いのですが
ＧＭの対応から始まりこのメールまで
さすがに
ありえない

なんといっても私たちのせいではありませんといった態度のままなのがすっごくはらがたつ
とうゆうか、怪しい

あまり心の広いほうではないと思うけど、そんな良識の無い人間でもないつもりです
皆さんはこの対応にどうおもいますか？

[vbsnbk]

まずは同じ内容を複数スレ、それもこちらは全く関係の無いスレに立てるのは望ましくないですね……というのは置いておいて。

はあ？
なんで困ってる客が目の前にいるのに
「すみません今から昼飯なんでちょっと待っててください」
の超絶拡張版やらかしてんの？

そこはかなり平謝りするところでしょ？
何当たり前のように「ご了承ください。」
とかいってんの？！

といった感じでなかなか堪忍袋の緒が切れそう

良識的・常識的に考えて、IDとパスワードの組を管理する責任はスクエニではなくユーザ側にあります。
何故ならスクエニ的には「正しいID/パスワードをもってログインしてきたユーザは正規のユーザとみなす」以外に
正規/非正規ログインを区別する方法が無いからです。
なお「正しいID/パスワード」を機械を用いて生成するのがセキュリティトークンなので、
もしトークンを導入しても物理的に管理を怠って盗難されたら同じ事ですね。

本人確認にしたって、例えばサポートを求めてきた貴方が本当にサービスを受けている本人かどうかを確かめるには、
既にIDとパスワードが「信用がおけない（他社に漏れている）」ものである可能性がある以上、当然確認するには信用をおけない
類の認証情報になってしまっています。
　登録時のメールアドレスを用いてやり取りする、という簡易的な認証方法も無くはないですが、例えばPCを盗難され、盗んだ犯人が
貴方を装ってスクエニに連絡を取っている可能性も皆無では無い訳で。FAXなりで別のルートから確認を求めるのは至極当然の対応でしょう。

アカウント復旧サービスについてはあくまでも特例としてのサービスですし、「どこまで戻すか」を決定するには
接続元のネットワークが普段のものとは異なっている、普段と異なる行動をしている、といったサーバ側のログを解析して
「ここまでは正規のアクセス、ここからは不正なアクセス」という切り分けをすることになります。
またそれ以前に「今回復旧を依頼してきたユーザが本当にアカウントを作成した当人なのか」
「このサービスを悪用するつもりでは無いのか」
という疑いを頭の隅に入れながらの対応を求められます。
掛かっている人的コストを考えても、運営側の瑕疵の有無を考えても「復旧させて当然、お前らが悪い」と言う態度は
非常識ですね。悪いのは１に不正アクセスユーザで、それよりかなり責任の度合いが落ちるにしても、
ID管理を怠ったユーザ側には責任が全く無いとは言えないのが常識です。

[nukotte]

>>Misutosuteraさん

結論から言うと、スクエニの対応は常識的普通の対応。そしてあなたの考え方はちと非常識ですね。

ID管理に関しては本人が管理することであり、スクエニが管理してるわけではありません。
身分証明書の確認は当たり前、確認しなきゃ勝手にID使われる。
対応が遅い、休まずに対応しろとかスクエニで働いてる人も人間、不眠不休で働けってことです？
どんなセキュリティソフト使ってるか知りませんけど、セキュリティソフトも完全ではないです。

[Cyanos]

病院や銀行ですら休むというのに、
ゲームの運営を正月に休むなとか少々非常識と言われても仕方ないですね(;´Д｀)

逆にメール一本、何の確認もなしに復旧できるとしたら心配になりませんか？
一体なにを以てメールの主が自分という認識をしているのか、
よその誰かが同じようにメール一本入れれば自分のアカウントを
使えてしまうようになるってことですよ？

スクエニ側としては、ロドスト（=公式）で注意喚起をし、
セキュリティトークンという対抗策を用意し、
万が一突破された場合は入念な調査の後に復旧という対策を講じた時点で
サービス提供側としての責任は果たしていると思います。
他の方がおっしゃっている通り、アカウントのID・パス管理の責任は原則ユーザー側ですよ。

もしトークンを使っておらず、パスワードなども分かりやすい平易なものを利用して
アカウントハッキングをされたのだとしたら、申し訳ないですが脇が甘いと言われても仕方ないでしょう。

腹立たしい気持ちでいらっしゃるその心情はお察ししますが
そのいかにも「お客様は神様だ！スクエニは全力で自分に尽くせ！」
的な態度では対応する相手も親身にはなってくれないと思いますよー。

[Coven]

まあ平生でも遅いけどね対応

私も以前１．２０のバージョンアップ後になぜか課金手続きを強制され問い合わせのメール送ったけど結局２週間近く掛かりましたね。

まあフォーラムでその絡みで愚痴ったらもう少し待ってくださいすみませんてきな内容のメールが来ましたけど・・・。

因みに最終回答は「課金するレベルに達してないゲームの課金手続きを最初にしてなかったテメーが悪い」的な内容がやんわりとした表現で書いてあって呆れ果てましたが。

因みに不具合に対する修正等の対応はするつもり無いみたいですね。
まあコレは期間も短いので致し方無いとは思いましたが。

[nightmare]

ウイルススキャンして何も出てこないって事は、何処かのサイトに罠でも仕掛けられているのかな。
ある意味凄いと思う。腐ってもＦＦなんだね。
でも、実際に結構不正アクセスについて甘く考えている人が多いと思うよね。
抜かれたら後の祭りなわけだから。

[Rorn]

正直な所不正アクセスというか
IDPASSを抜かれるのを絶対に防ぐ方法ってのは皆無であって
抜かれて当然という対応取ったほうが身の為ですよ
FF14に限った話ではないですが
少なくともワンタイムパスをPCの制御から離れた部分で生成するようにしてるスクエニは
ネットゲームでは世界でもかなりセキュリティに金かけてる企業ですよ

ウィルススキャンなんか気休めにすらなりません
今はサイトアクセス型のデータ抽出がメインですし
キーロガーですらもう化石のような技術です

[Marino]

ウイルススキャンして何も出てこないって事は、何処かのサイトに罠でも仕掛けられているのかな。

もしそうだとすれば、抜かれちゃう人は、FFXIV の ID/Pass で他のサイトにも入ってるってことになるんでしょうか。それは、個人的にはありえないことなんですが……。

私自身は、FFXIV は専用、と言うか、他のサイトではぜったいに使わない ID/Pass で入っています。Pass に関しては、気が向いた時に変更し、いくつかを適当に使い分けています。アルファベットと数字が基本ですが、記号が入っている Pass もあります。とりあえず、今はこのアカウントにはトークン使ってないので、それなりに慎重ではあります（他のアカウントではトークン使っているんですが、Lodestone はけっこうな頻度でセッションが切れてしまうので、外出先で使う時の利便性のために、このアカウントでは使っていません）。

それで、もし、自分がハックされた場合は、１００％自己責任だと認識しています。

本人確認の書類としては、運転免許証が一番いいかもしれません。ハックされた本人は自分が１００％正しいのは解りきっていることですが、第三者から見た場合、何が正しいのかを判断するための材料が必要になります。

また、サポートスタッフは NPC ではないので、……まあ、そういうことです。

ハッキング対策としては、どなたかも言われてましたが、FFXIV は固定の PC で遊ぶケースがほとんどだと思われるので、オプションで MAC アドレスの登録が選べるようにするのもいいように思います。

[Crucis]

周りがアカウントハッキングされた経験がいっぱいある自分にとって

結局簡単なIDとパスワードを設定していて

[SIZE="5"]「セキュリティを怠るユーザー側の責任が一番大きい」[/SIZE]

ってのが最初に出る言葉ですかね。

正直な所不正アクセスというか
IDPASSを抜かれるのを絶対に防ぐ方法ってのは皆無であって
抜かれて当然という対応取ったほうが身の為ですよ

だいたいこれがあってる。ネットゲームをやる上ではね。
Misutosuteraさんは家に鍵なしで入ってる状態と同じだから。

もっと簡単にいえば　自業自得とも言う。
不正アクセスした犯人も何もなし（ここで書くのは自重）で
ハッキングするわけではないので捕まえるのはまず無理。


ですがやはりこういうのはユーザーに求めすぎるのも違うとも思う。
全てがMisutosuteraさんの経験不足、知識不足、では片付けられない。
ネットゲームをやる上では当たり前の事なんだけど、
それがネットゲーム初心者全て知っていて当たり前という風潮はおかしい。

スクエニは　セキュリティ強化　に関してユーザーに強制すべき事項でしょうね。
セキュリティトークンを現状、任意で設定できますよって今の現状を改めた方がいい。
それか最低限、メールや携帯で（ログインの度にワンタイムパスを発行するとか）を用いた・・・
簡易セキュリティぐらい使えるようにしたほうがいい。

IDとパスワードが漏れた原因も色々想像はつきます。
管理を怠るネカフェの利用や、
ウイルスやスパイウエア関係・・・悪意のあるサイト（ホームページ）などを見るなどや、

あとちょっと路線外しますがFF11だと他人やLSメンにアカウントIDパスを渡して育成してもらうとかの
アカウント共有があったりしますがそれやると　ハッキング前提というか
他人とその他人を経由した第３者にアカウント内全てをこっそりもっていかれても文句は言えないです。
例え、信じている仲間だとしてもね。

それと不正ツールかな。FF14の自動操作ツール・・・中身見ると・・・
９割ぐらいかな勝手にIDパスワード　送られてますといっても過言じゃない。FF14のIDパスだけじゃない。
不正ツールとはメール　パソコン内のデータ　他の個人情報など全てを他人に転送される危険性が大きい。
あと不正ツールさらに悪用すると一度でもパソコンにつないだことがある
自分で使ってるiPhoneやスマフォのデータ全部　抜けるし。
結論は公認のもの以外はやはり使うべきではない。

・・・話題ズレ過ぎましたね。

[Minna]

ハッキング対策としては、どなたかも言われてましたが、FFXIV は固定の PC で遊ぶケースがほとんどだと思われるので、オプションで MAC アドレスの登録が選べるようにするのもいいように思います。

MACアドレスも書き換えor偽装可能という・・・ね。
アプリケーションレイヤーの話をネットワークレイヤーに持っていこうとするのは間違い。どこかのキャリアメールの二の舞になること間違いなし。