不正アクセスによるアカウントハッキングの被害が続々報告されています。
運営がまともな対策をしない以上、自衛が必要です。
予備知識を覚えてしっかりと対策しておきましょう。
公式発表と補足
- このゲームに限った事ではないのですが、悪意の第三者にアカウントを勝手に使われてアイテムを持ち逃げされたりする被害が続出しています。
- 運営の見解は「IDとパスワードの管理は厳重に」「異変を感じたら運営もしくは警察に連絡」との事です。
- このゲームはIDとキャラクタ名を変更する事ができないため、安易に連想できる命名や文字数の短いパスワードはとても危険です。
- 要点抜粋
- 弊社サーバへ不正なアクセスが行われた記録は、現時点では確認されておりません。
しかしながら、特定の時期からハッキングの被害報告が急増している状況を鑑み、
継続して原因調査を行っております。 - 現在確認されている不正アクセスについて、日本国外から接続が行われている状況があるため、
ハッキングへの対策のひとつとしまして日本国内IPアドレス以外からの接続を経たゲームへのログイン、
Webページへのアクセスを一時的に制限する措置を取らせていただいております。
- 弊社サーバへ不正なアクセスが行われた記録は、現時点では確認されておりません。
- 要点抜粋
- 機械的に認証を行う種の不正アクセスによるアタックがあった
- 辞書アタックが想定されます。この種のアタックに対しては単語として意味を成さないランダムなパスワードが極めて有効です。
- これ以外の不正アクセスが存在しないとは考えられないので、パスワード変更だけで安心しないこと!
- 2009/7/6中までにパスワードの変更をするよう指示。
- もし期限内にパスワードの変更が行われていない状態でハッキング被害にあった場合、補償できない場合もあるとの事。
- 機械的に認証を行う種の不正アクセスによるアタックがあった
- 一方的に書かれておりますが、書かれていない必要事項もあります。
公式発表2011/3/11【重要】※不正アクセスにご注意下さい※
- 運営会社を装ったメール送信や、精巧に偽装された公式ホームページ、外部情報サイトへ誘導、IDとパスワードを入力させアカウントを盗む手口の犯罪が増加傾向にあります。
と、ありますが現時点でケイブを装ったメールや偽装ページがあるという事実はありません。
公式発表2011/4/5 【重要】 『セーフガード』 システムにつきまして
- 2011/4/5導入された、設定を行ったIPアドレス以外からのアクセスを遮断する新セキュリティ。
但し、設定するとネカフェ等の外部からアクセス等を全て遮断してしまう為使用には注意が必要。 - セーフガードについての公式FAQも新設されました。
- 2012/4/13~2012/5/2までにパスワード変更とセーフガードを導入する事でアイテムが配布されるキャンペーン。
但しそれは飽くまでも建前であり、真意は「5/2までにパスワード変更とセーフガードを導入しない場合は不正アクセスされても対処を行いません」という恫喝でもある。- 2012年6月にアカウントハックされた人が復旧を運営に依頼しても5/2以前にセーフガードを導入していないので復旧を拒否されるという事があった。
- 要約すると「民事不介入が原則です」
DB-NETへのログインについて
DB-NETへのパスワードの送信は暗号化されています。
ですがSSL保護によりフィッシングサイトである可能性が低くなりますので、できるならSSL保護を確認したほうがいいでしょう。
直接自分で公式サイトのURLを打ち込んだ場合や、自分で作った直接リンクであればフィッシングサイトの可能性は低いのでSSL保護されているサイトであることの確認の意味は薄いですが、ネットカフェなどからのログインであれば注意が必要です。
SSL保護マークは『現在表示されているページが保護されているかどうか(証明を受けた本物かどうか)』を意味するものであり、『これから送信するパスワードが暗号化されているかどうか』とは全く無関係です。正しくセキュリティを理解し、SSLの表示があれば暗号化されると思い込まないように注意しましょう
パスワードについて
ここ最近急増しているアカウントハックにより、メーカーからパスワードの変更を求められています。
DB-NETからのパスワードは20文字まで設定可能です。
しかし、ゲームのログイン画面では16文字以下で無いとログインすることができません。
この事についてはなんら告知もなく、メーカーに問い合わせても対応して貰えないので特に注意してください。
インターネットカフェからのログインについて
- キーロガープログラムと言われるプログラム等でIDやPASSが盗まれるケース
- オートコンプリートやレジストリ情報からID・PASSを盗まれるケース
…等がインターネットカフェからの利用の場合考えられます。
これらの対策として、インターネットカフェ利用を終える時は必ずPCを再起動させましょう。
大抵のインターネットカフェには再起動する事で情報を初期化するプログラムがインストールされています。
むしろ、この機能が無い店ではオンラインゲームを利用しないほうが良いでしょう。
- ソーシャルハッキングによりID・PASSを盗みみられるケース
ソーシャルハッキング・・・つまり盗み見ですね。
これについては周りをしっかり確認する、もしくは個室でプレイすることが対策になります。
支払いに不服がある時
クレジットカード(またはPaypal)で課金した後、
不服な理由で該当アカウントが停止された場合や、
アカウントハック等に十分な対応がなされない場合、
債務の不履行として、一定期間内であれば、
クレジットカード会社にチャージバック(返金)を申請することができます。
支払い取り消しまたはチャージバックに共通する2つの理由は、次のとおりです。
@買い手のクレジットカード番号が盗難に遭い、不正に使用された。
@買い手は商品を購入したが、売り手側が契約を履行していないと考えている(商品を発送していない、「売り手の説明と大きく異なる商品を発送した」、買い手が受け取った商品が損傷していた、など)。
(paypalより転載、infotopにもほぼ同じ記述)
- 参考情報
http://eigoeb.com/blog/entry-chargeback4021.html
http://autosurf777.blog31.fc2.com/blog-entry-121.html
http://web110.com/topic/charge.html
http://www.meti.go.jp/committee/summary/0002974/index.html
http://www.hmk-inc.com/faq.html
https://www.paypal.com/jp/cgi-bin/webscr?cmd=xpt/Marketing/securitycenter/sell/ChargebackFAQ-outside - 期間
http://www.web110.com/topic/charge.html
※当該アカウントがロックされる可能性もあります。
アカウントロックの場合、チャージバック理由としては合理的なものになります。
コメント
- ↑内部犯行だと逆にガンホーとハンゲは安全なんだよ。軽侮ではなくそれぞれの会社でID管理してるから。その証拠が携帯サービスや軽侮ID専用イベント。ハンゲやガンホーIDではこれらに参加することは不可能だからな。 -- 2012-07-04 (水) 11:21:39
- ↑他社の分も軽侮がIDを管理している。その証拠に、普通にクライアントを立ち上げてIDとパスワードを入力したらゲームができる。軽侮のサーバーにデータがある証拠だ。軽侮ID専用イベントなどは意図的に外してあるだけ。イベント類は別口に分けないとユーザーが他社の入り口を使ってくれないから。実際に初期のイベントは共通だった。 -- 2012-07-04 (水) 18:28:07
- 軽侮社員乙って感じだな。情報操作御苦労様。クライアントにIDパスいれたからって軽侮サーバに繋がってる証拠にはならんよ。ハンゲームのシステムをまず勉強してからモノをいおうね。 -- 2012-07-05 (木) 02:19:03
- なるよ。クライアントにIDの情報を持っていない以上、軽侮サーバに繋ぐしかない。そして最終的なログインの判断をゲームサーバーで認証しなければならない以上、最低でも軽侮からパスワードをアクセスできる必要がある。内部犯なら入手できるということだ。 -- 2012-07-05 (木) 06:24:14
- 言っておくが、パスワードそのものを知る必要はない。通信経路で傍受されるのを防ぐためにハッシュを利用したりするのが普通だからな。ログインするのに十分な情報を知ればいい。それがシステム上軽侮内部犯なら可能だということだ。 -- 2012-07-05 (木) 06:27:46