ドラゴンクエスト オンライン 不正ログインで思う事

シェアする

  • このエントリーをはてなブックマークに追加

2014年11月5日の各新聞にドラゴンクエストの不正ログインの件が捧持されていましたよね。

また先日、スマフォの人気ゲームパズドラについても不正ログインの件が報じられていたかと思います。

今回は不正ログインについて考えてみたいと思います。

m030299

不正ログインの方法

ドラゴンクエスト オンラインの場合

新聞等で報じられている内容しか情報は有りませんが

この件はまず、ゲーム内での通貨ゴールドをだまし取ることが目的で行われたようです。

手口的にはゲームの運営を装うなどをしてアカウント情報を聞き出しての不正ログインを行ってゴールドをだまし取ったようです。

また、このゴールドは実世界のオークションで1000万ゴールド、一万五千円位で販売されているようです。

パズドラの場合

こちらは高ランカーの強いモンスターを使ってみたいというのが理由だったようです。

手口的には例えばスマフォが壊れてしまって動かなくなってしまった場合の対応としてメーカー側で復旧してくれるサービスが有るようなのですがこれを利用したようです。

このサービスを利用する際はユーザーIDとパスワードに該当する秘密のコードが判らないと出来ない用の仕組みのはずなのですが今回はユーザーIDだけで対応してしまったようです。

普通に考えて子供が遊んでいるのに普段使わない番号をメモしておくというのは中々できないでしょうから柔軟な対応をしているのかもしれませんね。

被害にあった人はyutube等に攻略動画を掲載しているような有名な人だったようでそのユーザーのIDは割と広く知られていたようです。

原因の考察

手口的には2件は全く異なっていますので相関性は無いように思われますが実はオンラインゲームという事から起こっているように思われます。

オンライゲームの特徴

匿名性

ユーザーは実名を登録することなくゲームを楽しむことが出来る。

ただし、ゲーム課金などを行う場合は決済方法によっては必要となる事がある。

例としてはクレジットカードで支払う場合は

カード会社の認証が必要となります。

自由性

ユーザーは固有のデバイス(例えば専用ゲーム機)を持たずにソフトをダウンロードして簡単にゲームを楽しむことが出来る。

またゲームによってはその時の状況により自宅ではパソコンやタブレット、外出時はスマフォなど複数の端末から自由にゲームを楽しむことが出来ます。

セキュリティの脆弱性

上記2点のメリットの裏返しとして

該当ゲームデータの所有者の識別の難しさやアクセスしてくるデバイスが特定できないためアクセスの正当性の判断が難しいといった状況が生まれています。

考えられる対応策

まず現状として、今回はたまたま新聞で報じられましたがドラクエ 不正アクセスなどのキーワードでネットを検索するとかなりの件酢がヒットしてしてきますので実際のかなりの被害が有るものと思われます。

またメーカー側も対応方法を記載しているので状況を把握しているのではないかと思います。

対応策1 デバイスを固定させる

アクセス可能なデバイスは事前に登録をしたデバイスのみとする。

デバイスの追加が必要な際は既に認証されているデバイスからのみ可能とする。

例えばMACアドレスを登録するというような方法も有るかもしれません。

対応策2 認証方法の変更

現在のユーザーを特定する方法はインターネットが始まったころからあるベーシック認証(ユーザーとパスワードを入力)で当初から危険性が指摘されている方法です。

しかしこの方法は利用者側からすると入力項目が少ないので利用時の負担が少ないのがメリットです。

例えば都市銀行が行っているようにパスワードの欄数表を使うという方法に変えると、恐らく年少のユーザーでは利用が難しいですし、そもそもめんどくさいので遊んでもらえないという根本の問題が発生する可能性が高いです。

<<補足>>

パズドラの場合は遊ぶ時にIDやパスワードを入力せず設定するときに一度だけ入力することになります。

今回の記事の場合はゲーム運営側に偽って不正ログインを行っていますがAndoroidの場合は詳しくは書けませんが有る状態で特定の情報を得ることで出来そうです。

※管理人の端末で別のデバイスからこの方法でセットアップ出来ました。

<<用語補足>>

  • MACアドレス(マック・アドレス、Media Access Control address)は、ネットワーク上で、各ノードを識別するために設定されているLANカードなどのネットワーク機器のハードウェアに(原則として)一意に割り当てられる物理アドレスである。
  • ipv6/ Internet Protocol Version 6(インターネット プロトコル バージョン6)、IPv6(アイピーブイ6、アイピーバージョン6)は、Internet Protocolの一種で、OSI参照モデルにおいてネットワーク層に位置付けられるプロトコルである。現在、主流のIPv4にかわるものとして、それまで約 232(= 約43億)個であったIPアドレスを約 2128(= 約340澗)個まで使えるようにしたのが大きな特徴の一つである。340澗個のアドレスとは、340兆の1兆倍の1兆倍(340京の1京倍の1万倍)のアドレス空間があるということである。

真の原因と思われるものは

そもそもインターネットにおいてユーザーを識別する方法が確立されていないのが根本原因なのだと思います。

デバイスを識別するという事はIPV6が広まってくれば機器単体でアドレスを持つことになると思いますので識別可能にはなると思います。

ただ、IPV6の普及は結構ハードルが高いので直ぐには難しいかもしれないのが現状では有りますけどね。

今回はゲームなので被害は大きいものではないですが以前に記事にしたように銀行のインターネットバンキングやインターネット通販など多くのサイトで不正アクセスが起こって被害が拡大しています。

サービスの提供者側はユーザーパスワードを知られないようにユーザー側で管理してくださいとか

たのサイトとは別のパスワードにしてくださいとか利用者側に被害の責任がすべてあるようなことを言っているところも有りますがこの言い方を続けている限りこの手の被害が再発することは避けられないと思います。

管理人なりの提案

最終的な案

認証機関の設立

ちょっと話は大げさかもしれませんが

公的機関による認証機関を作り認証方法の確立が急務ではないかと思います。

基本的にインターネットにおけるユーザーの認証はこの期間で集中的に行うような仕組みを提供すれば認証方法の統一性も計れますし、認証用に特別なデバイスを使用する場合もサービスごとに購入する必要が無いので利用者側の負担が少ないのではないかと思います。

認証方法の改善

今回の件の原因の一つはセキュリティの管理を昔ながらのユーザーパスワードを付与することで行おうとしたことではないかと思います。

もちろんこの方法でもユーザー側が厳密に管理すればかなりの確立で担保できるのかもしれませんがユーザー側の意識に依存してしまいます。

ですのでこらからのセキュリティの担保は

ユーザーの意識を出来るだけ排除してセキュリティの担保が出来る方法が望ましいのではないかと思います。

方法的には本当は指紋認証などの方法で今回の件の様にユーザーIDやパスワードを盗まれても被害にあわないのですが

指紋認証は専用の読み取りでデバイスも必要ですし、民間機関(メーカー)に諮問の情報を管理されるのもかなり抵抗が有りますので公的機関の準備が出来るまでは避けたいかなという気がしています。

※まあ銀行にキャッシュカードなどでは実施されてはいますが。

一番技術的にお勧めなのは最近はiPhoneにもNFCデバイスが搭載されたことですしここに暗号化キーを保存して利用する方法でしょうか。

利用可能デバイスの追加に関しては先にも書きました通り既存利用可能デバイスの承認で有効となるような仕組みが良いのではないかと思います。

この場合NFCを持たないPCやタブレット、スマフォが問題となりますがこの場合はリーダーをつけることで既にキーを持っているデバイスの権限を継承できるのではないかと思います。

この方法はセキュリティのキーを簡単には読み取れないようにしてインターネット上で遠隔地の人間が容易に破れないようにすることと安易に他人にキーを知られないようにすることが目的です。

これはあくまで管理人の勝手な案なので

きっともっと良い方法が出て来るのではないかと思います。

今回の結論

やはり現在のインターネットにおける

ユーザー任せの認証のセキュリティの担保は限界にきているのではないかと思います。

管理人もインターネットバンキングをたまに利用するのですがサイトの痛々しい警告の表示を見ると心配になってしまいます。

銀行はセキュリティソフトの無料配布などを行っていますが恐らく被害が続出していて十分な対策になっていないのではないかと推測されます。

ゲームのアクセスからでは少し飛躍している部分も有りますがが

インターネットにおけるユーザー認証方法は限界にきているので見直す必要がると考えます。

関連記事

楽天に第三者がログインの情報あり

楽天に不正ログイン情報有り 続き

楽天に不正ログインの情報有り 最終

スポンサーリンク
PC用
PC用

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
PC用