そらまめのつぶやき

2012年09月29日（土）

「DQX垢ハックに思う」

　今月に入ってからでしょうか、『DRAGON QUEST X』のアカウントがハッキングされてゴールドを使用されたなど不正行為の被害がTwitterで見られるようになりました。

報告数も少なくて事実関係が分かりませんでしたのでスルーしていましたが、ここ最近で被害報告Tweetが増えたかなと思ったら、ハッシュタグ付きでTweetされたため、たちまち公式RTで拡散されました。

で、常時ログを取っているウチの垢ハックタブが溢れていたわけですよ。

報告数よりも考察や注意喚起、勘繰り、指摘など非被害者のTweetの方が多く、またゲハブログの記事の公式RTなど、タブが拾う数の割りに被害報告が少なく、空騒ぎではないかとも思われます。（10月3日追記：被害報告は増えて行っているようです）

しかしDQX公式のFAQには「スクウェア・エニックス アカウントが不正アクセスにあいました。」と言う項目が追加されているので、少なからずも被害者がおられたという事実が分かります。

Twitter上の穿った見方で「セキュリティトークンを買わせる為の運営によるステマ」と言う旨のTweetがありました。

セキュリティトークン導入は確かにセキュリティ向上に繋がります。どうせだったら同梱しておいてもよかったくらいでは無いかと思います。

しかし、ウチはこう思います。根本的に「ゲストプレイヤー」でログイン出来る事が問題なのではないかと言う事です。「ゲストプレイヤー」とは、友達の家で自分のアカウントを使いログインする為の選択肢。

実際のところ、友達の家に行って自分のアカウントでログインする機会ってそうあるのか疑問です。

別にゲストログインしたからと言って、その場でその友達と一緒に冒険出来る訳では無いので単なる自分のプレイを見せびらかすしか能がありません。ましてや、その友達がDQXを持ってなかったら、USBメモリにゲームデータをインストールしないといけません。インストールデータはWii本体IDと結びつけられますので、自分のUSBメモリを使い回すとか出来ないように制限が掛けられています。

そんな恐らくは使う機会が無さそうな機能のおかげで、何らかの形でアカウント情報を取得した悪意ある第三者が「ゲストプレイヤー」でログインして不正行為を行っているのだと思います。

願わくば、今後アップデートの際に「ゲストプレイヤー」の項目が無くなる事を祈って。（→下記＜10月6日 追記＞参照）

＜10月3日 追記＞

　よく言われている事で「Wii本体とアカウントって紐づけられているのに、アカウントハック出来るモノなの？」と言うのがあります。アカウントハック自体のプロセスには諸説ありますがよく分かっていません。悪意ある第三者が他人のアカウントを取得したとしてそのアカウントを不正に使えるかどうかは、現在以下の条件に基づきます。

• Wii本体IDはUSBメモリのインストールデータと紐づけられている
• スクウェア・エニックス アカウントはレジストレーションコードと紐づけられている
• 「プレイヤー１」にはWii本体IDとスクウェア・エニックス アカウントが紐付いている
• 「ゲストプレイヤー」はWii本体ID紐付け無しで、『ドラゴンクエスト10』登録済みのスクウェア・エニックス アカウントならログイン出来る

と言う事で、「プレイヤー１」からは第三者のアカウントでログインは不可ですが「ゲストプレイヤー」なら第三者のアカウントでログイン出来る仕様です。（→下記＜10月6日 追記＞参照）

本稿で「ゲストプレイヤー」を無くす事がアカウントハックによる被害を防げるという論拠は以上の通りです。

しかしひとつ懸念が。公式FAQに以下の記述があります。

スクウェア・エニックス サポートセンター FAQ「一台のWiiまたはWii Uがあれば、複数人でプレイ可能ですか？」

＞ ※今後、1台のWiiで複数のレジストレーションコード／スクウェア・エニックスアカウントの登録ができるよう対応予定です。

この仕様次第で「ゲストプレイヤー」を無くしたとしても同様ではないかという事です。もちろん、現状を見る限り不正アクセス出来ないようにはしてくると思いますが…。

いずれにせよ、問題が収束する事を願って。

※ちなみに筆者はWii版のβテスターでしたが、製品版はWii U版待ちの未プレイヤーです

スクウェア・エニックスのサポートにメール問い合わせしました。架空の環境をさも使っているように問い合わせました。（サポートのご担当者様済みません）

結論から言いましょう。「ゲストプレイヤー」を無くしても「プレイヤー１」で不正アクセスが可能である事が分かりました。以下、原文と異なりますがサポートに問い合わせた内容と回答を簡潔に記載します。

Q１：自分持ちと遠隔地で2台のWiiを持っているけれど2台目のWiiに「プレイヤー１」でログインする時はレジストレーションコードは必要ですか？
A１：レジストレーションコードを登録したスクウェア・エニックス アカウントでログインしていただくならば、2台目の方はレジストレーションコードの再入力は必要ありません

Q２：ゲストプレイヤーでログインするとき、普段セキュリティトークンを使っていたらOTPの入力は必要ですか？
A２：セキュリティトークンをお使いでしたらゲストプレイヤーでログインの際もOTPは必要になります

以上、本稿でウチが「ゲストプレイヤーの項目を削除するとアカウントハック被害は防げる」と言う論拠は壊れました。

悪意ある第三者が「プレイヤー１」をその都度削除して、入手したアカウント・パスワードを入力すれば、レジストレーションコードの認証無しでログイン出来てしまいます。つまり、Wii本体IDとレジストレーションコードで守られていると思っていたのは幻想でした。

また「ゲストプレイヤー」でもセキュリティトークンが有効なので、本当に自分のアカウントを保護するにはセキュリティトークンの導入は不可欠であると言えます。

よく「PCで冒険者の広場にアクセスする際にマルウェア等から抜かれる」「悪意あるサイトが自動的にログイン情報を取得する」などPCを使うユーザーがこのような手法でIDとパスを盗まれていると言われていますが、Wiiしか使用していない人でもアカウントハックを受けたとかも聞きます。

また、運営の暫定的処置でログインする場所が変わるとパスワードの変更が求められると言うのがありますが、標的にされたらログインする度にパスワードの変更を求められるとかも聞きます。標的になって無くても、プロバイダからIPアドレスを取得するとき毎度IPアドレスが変わっていたら同様にパスワード変更の対象になるかも知れません。

パスワードの変更の手間よりもセキュリティトークンのワンタイムパスワードを入力する方が手間は掛からないと思います。

「ゲストプレイヤー」削除しても事は収まりません。また「ゲストプレイヤー」を必要としておられる方もいらっしゃるようです。削除を希望したのは早計でした。

まずは自衛をしっかりしましょう。セキュリティトークンは敷居が高いのも分かりますが背に腹はかえられないでしょう。

最後まで読んでくださってありがとうございました。文中の意見が最終的に変わっていますがご容赦の程よろしくお願いいたします。

ツイート