スレッド一覧 > 記事閲覧
[1018] アカハック被害と対策について
日時: 2008/10/13 06:11
名前: river ID:9bxzpAJ2

公式の見解が未だに曖昧な為,公式の発表を催促する意味と,ユーザ側でなんとか解決できないものか,という情報交換の目的で立てました。

初期の対策としては,パスワード変更が一番良いのでは,と結論に至ってるのですが,公式側でうやむやにしてもらっては困る方もいらっしゃると思うので,ぜひ被害状況を載せて頂けると幸いです.

【アカハックかも?と思われる現象】
ログインしてる最中,頻繁に,サーバーオフラインになる。
総当り攻撃を受けている可能性があるので,即刻,パスワードの変更を!
また,アイテムを複数のアカウントに持たせるなど,リスクを分散させる等,個人で対処することが望ましいと思います.
#ちなみに推測されにくいパスワードに変更したところ,それっきりです^^;

以下,私の見解です.何かあればご指摘して頂ければ幸いです.
不正アクセス禁止法に触れている可能性も十分考えられ,サービスを提供しているガマニアは,常に適切な管理措置を行わなければならない責任があり,ユーザに情報を開示する義務があると考えています.

もし被害にあったら
[アカハックをされた疑いがある時 - MMO オンラインゲーム]
参考: http://imuraya.nsf.tc/key_4.html
メンテ

Page: 1 | 2 | 3 | 4 | 5 | 全部表示 スレッド一覧

Re: アカハック被害と対策について ( No.28 )
日時: 2008/10/23 17:50
名前: Hack ID:TrkekkQg

なにもなければそのままだったのにね・・
ハッカーの過失、ガマの失態で大損しちゃいましたね・・
メンテ
Re: アカハック被害と対策について ( No.29 )
日時: 2008/10/23 23:29
名前: ん〜 ID:eDcj4sQ2

1)GASH登録にメルアドが必須なので、GASH垢にはメルアドが登録されている。
2)ハッカーは、GASH垢をハックした後でも、MyGASHからはメールアドレスは変えられないハズ。(誕生日がわからないから)
3)そのメールアドレスからメール出して返信してもらえばGASH会員であることが証明できる。(ハッカーがFROMを偽装してメールを出すことは出来るが、返信メールを横取りすることは不可能なのでガマからの返信はオリジナルのGASH会員に間違いなく届く)

ただ、2)のメールアドレス自体が適当もGASH垢が作れてしまった気がするので不充分かも。
登録時にワンタイムパスワード的な情報をURLに埋め込んだメールを会員に出して、会員にクリックしてアクティベートしてもらって初めて正式に会員登録される仕組みなら上記が成り立つハズだったんだが。

誕生日も知ってたら、それはもう情報漏洩以外ありえないことだし、本人確認すること自体が意味を成してない。

ハッック済み垢を持ってるハッカーは、MyGASHにログインできるので、誕生日以外の項目はすべて知っている。
誕生日が合ってたらロック解除するのであれば本人確認が不完全だってこと。
メンテ
Re: アカハック被害と対策について ( No.30 )
日時: 2008/10/23 23:41
名前: ん〜 ID:eDcj4sQ2

あら、登録内容の変更は生年月日要らないのか。上に書いたストーリーは成り立たなくなった。

駄目じゃん、ぜひ直して置くべきだ>ガマニア
GASHパス変更、ゲームパス変更、GASH退会は全部生年月日の確認が必須なんだから・・・

不思議なのは、なんでGASH垢をハックされて、更に退会までされてしまった人が存在するのか?
メンテ
Re: アカハック被害と対策について ( No.31 )
日時: 2008/10/24 14:57
名前: これも ID:Yej/BQAY

http://ec.gamania.co.jp/news/support_main.asp?id=19595

イマイチ要領得てないと言うか、、
文末でパスワードを管理してない客が悪いみたいな書き方になってるが
実際は、ガマニア社がウィルスなどによるハッキングに遭った可能性が
かなり高い事は棚に上げてる気がするんだが。。
不祥事を起こして謝罪一つもないとか、被害者が可哀想で仕方ないな。
中には、ずさんなパスワード管理の客もいるんだろうけどさ。
ガマが絡んでなければ900件も簡単に漏れるはずが無かろうと・・・

被害にあった人が警察でなく消費者センターに駆け込んだ方が
詳細が開示されるかも知れませんね・・・
メンテ
Re: アカハック被害と対策について ( No.32 )
日時: 2008/10/25 18:07
名前: river ID:p3B/pfqI

>>31
具体的な解決策が示されていないのが,一番問題じゃない?って感じます.
脆弱性を埋めてなかったユーザ側に過失があるにせよ,今後また同類の脅威が現れる可能性も否定できないしょうし,運営会社として何か対策立てる必要性はあるかと思いますねぇ.
我々は調査してます,といっても,それは自社調査?専門家によるもの?と未だにハッキリしてない部分も多いですし.
#個人的ですが一番問いただしたいのは,御社の鯖,Webページは本当大丈夫?とw
ここ数年の脅威の傾向として,オンラインゲームは狙われやすくなってますし,ページに書いてあるように,当然,我々ユーザ側で対策を施す必要もあります.

ユーザ側できる対策.
パスワードの変更と,WindowsUpdate,ウィルス対策ソフトの更新,ソフトウェアの更新など
#つい昨日,Windowsの定例外アップデートもありましたよね.

しかし,実際はやってない人が多いんじゃないかと思います(汗).
このユーザ側の弱みは,運営会社にとっては,都合が良いのでしょうけど(w
ゲームサービスを運営してる会社なんですから,ここで何も対策しないってのは理由付けにならないと思いますよ.
まぁ,すでにしてるかもしれませんが,専門家に相談される等,必要最低限のことを行っていて欲しいものですねぇ...

とユーザ視点でガマニアに願ってみるの巻.
メンテ
Re: アカハック被害と対策について ( No.33 )
日時: 2008/10/25 20:20
名前: 危険な時代 ID:uwBmJMB6

運営会社が任意のアクセスが不正アクセスかどうか判断することは難しいと思われます。
少なくとも、自動でできることとは思われませんね。

150万件の不正アクセス、5000件の乗っ取りを受けたヤフーサイトが取った対策でも、
アクセスログにアクセスIPを表示するということであり、あくまで利用者による早期発見を促すもののようです。

それとは別でしょうか、フィッシングサイトを使い4000件のIDが不正取得されたケースもあるようですし、
様々なID・PASSの組み合わせが収集され売買されていると考えていいでしょう。

もう確率が何百万分の1という組み合わせさえ、決して安全とはいえない時代なのですから、
利用者サイドとしても、定期的に履歴を確認、早期発見で対処するという心構えが必要になってきたのだと思われます。
メンテ
Re: アカハック被害と対策について ( No.34 )
日時: 2008/10/26 03:07
名前: river ID:Mq8HDIsU

>>任意のアクセスが不正アクセスかどうか判断
推測に過ぎないですが.しきい値を設けて例外的なアクセスを判別して,立ち回り方を常時監視していれば,簡易的な判断は可能だと思われます.
プログラムの実装はそこまで難しいものではないかと思いますし.
疑い深いアカウントは,人力で処理するのでしょうけど,果たしてどこまでやってるのやらやら...能率を上げるかが鍵じゃないでしょうかねぇ.
メンテ
Re: アカハック被害と対策について ( No.35 )
日時: 2008/10/26 12:32
名前: 何で? ID:YqA1iPKc

例外的なアクセスについては、何を例外とするかは別として判断が難しいと思いますね。というか、これを推し進めると非常に使いにくいソフトになりますよ。
すぐ確認のメッセージもしくは、ログOFFが発生するし^^;
それと、運営側でできることは、ユーザーが運営側とつながった後しか対応できないかと?
セキュリティの問題は、ユーザー側の問題はユーザー側で対処しないと無理なように思います。実際、今ファイヤーウォールやウイルス対策ソフト、Windows Updateを100%当てている人どのくらいの割合でしょうかね。ここら辺も問題かと。

そういう私も垢ロック受けました。メールしたらすぐロック解除してもらいましたが、その後登録情報を確認したら、必須項目以外が抜けてた。そういえばめんどくさいから必須項目以外は略した垢があったことを思い出しました。

それから考えると、今回の垢ロックは、実際に垢ハックにあっただけでなく、登録が怪しいものもロックしたんじゃないかと思っています。
運営側でできるせめてもの抵抗w
メンテ
Re: アカハック被害と対策について ( No.36 )
日時: 2008/10/26 15:40
名前: river ID:Mq8HDIsU

>>確認のメッセージもしくは、ログOFFが発生
直接,クライアント側が影響の出る処理ではなくて,運営で管理してるDB(アクセス元,位置情報,行動等,いわゆるlog)の出力処理に,警告的な意味を込めて管理してるのかなー.なんて思ってみただけです.w

>>登録情報
これも判断材料なんですかねぇ:-)
メンテ
Re: アカハック被害と対策について ( No.37 )
日時: 2008/11/03 18:44
名前: ロック? ID:pJwzNs7.

正しく入力しているつもりなのですが、ログインボタンを押すと「ゲームアカウントまたはパスワードが違います」と出ます。これはアカウントロックされているのでしょうか?もしくはロックの場合はこれとは別のメッセージが出るのでしょうか?
メンテ
Re: アカハック被害と対策について ( No.38 )
日時: 2008/11/04 10:51
名前: ロックされた人 ID:M2tclyw2

>>37
アカハックの対象者でロックされてるのならガマ運営から
「【エターナルカオス】調査理由によるアカウント一時停止のお知らせ」
とメールが着てるはずなので一度メールの確認をお勧めします
また解除されても一週間以内にパスワードの変更しないとまた垢停止するとガマからメールがきてました。
なんか一方的なガマ運営、こっちはなんの落ち度もないのに勝手に垢停止して
メールどおりに垢解除の返信すればパスの変更しないとまた停止するって
ユーザーなめすぎでしょう・・・
メンテ
Re: アカハック被害と対策について ( No.39 )
日時: 2008/11/04 14:10
名前: !? ID:kdxnvVwU

ギルメンさんの話によると
アカロック時のメッセージは
「ゲームアカウントまたはパスワードが違います」
とのことです。
もしかしたらNo.37さんもそうかも知れません。
メンテ
Re: アカハック被害と対策について ( No.40 )
日時: 2008/11/04 18:21
名前: ロック? ID:FGc6X05M

レスありがとうございます。
どうやらアカロックされている事で間違いないようです。
私は>>11のもっさんと同じで、登録時に適当な情報を入れていました。
メアドも適当だったのでガマニアからのメールは受け取れませんでした。
専用フォームからガマニアにアカロック解除を要請したのですが
やはり登録した情報を正しく入力しないと本人確認が取れないためロック解除
は出来ません、との事です。どうしても登録した偽生年月日が思い出せません。
ベータの頃からエタカで遊んできましたが、こんな形で終わりを迎えるとは
思いませんでした。ゲーム自体に未練はありませんが、いつも一緒に遊んでくれたゲーム内の仲間ともう遊べなくなるのが寂しいです。偽情報を登録したのはイケナイ事ですが、今回の一件に限っては被害者のはずの私たちが何でこんな目に遭わなくてはいけないのでしょうか?
メンテ
Re: アカハック被害と対策について ( No.41 )
日時: 2008/11/04 20:53
名前: サイコンマン ID:sKo46FuQ

>今回の一件に限っては被害者のはずの私たちが何でこんな目に遭わなくてはいけないのでしょうか?
100%被害者ではない=偽情報登録したからじゃないですかね
メアドだけでもちゃんとしたものを登録しておけば解除されるんじゃなかったでしたっけ?

きつい言い方だと思いますが・・・
ガマの対応は虚偽の情報での復帰をさせないための措置であると思います
わたしもβ時のアカウントが移行出来ずにエタカになって0から開始した経緯があります
当時とは比べ物にならないほどのレベルと思い出が残っていると思います
課金時代やHCも行ったんじゃないかな、と思います
それでも偽の情報で復帰させてしまうと歯止めが利かなくなる訳で・・・
メンテ
Re: アカハック被害と対策について ( No.42 )
日時: 2008/11/11 16:15
名前: で? ID:oCpoELz2

結局どうなったの?
登録情報の正常化を計って、
一段落してますが。

武器とか無くした人は戻ってきてないし、
(一部消耗品などは戻ってる人もいるようだが)
サポからの連絡も無いとか。
メンテ
Re: アカハック被害と対策について ( No.43 )
日時: 2008/11/11 20:25
名前: まあ・・・ ID:P5bcj4eY

警察沙汰になってしまうと、サポも動きにくいかもね。
勝手にアイテムを戻してしまうと、被害を無くす・隠すことにもなりかねないし。

犯人の目星がつくか、或いは捕まえることが難しいと判断されるか、
捜査の方が一段落するまで待つしかないかも。
メンテ
Re: アカハック被害と対策について ( No.44 )
日時: 2008/12/04 16:31
名前: う〜ん ID:VhCvq3pk

時期が悪いっていうか、大型パッチの長いメンテ後に
ワクワクしながらINしたら、やられてました;;

サポにはメール済みなんですが
サポからの返信ってどれくらいで来るのでしょう?

今はこんな状況ですから…
相手にしてもらえない気がしてます。。。
メンテ
Re: アカハック被害と対策について ( No.45 )
日時: 2008/12/04 17:02
名前: 駄目運営 ID:lQJW92EE

メールは返事が来るまで毎日送らないと相手にしてもらえません
そのぐらいズボラな運営です
メンテ
Re: アカハック被害と対策について ( No.46 )
日時: 2008/12/04 17:28
名前: 某所コピペ ID:8BDn3AyM

618 名前:名も無き冒険者[sage] 投稿日:2008/12/04(木) 00:26:46 ID:Uq17ZoV+
倉庫でログインしたら勝手にチュートリアルが発生して、
イベント終わったらアイテム全部消えたんだがこれは何だ。
RD6個、経験値2倍20個、10億gold、イベント装備全て消えて、手元に残ったのは
トレーナー装備とポット5個と何とかの書だけ。。
おまえらも倉庫でインする時は気をつけろ
サポにメール送ったが対応してくれるのかな。。
ショックを隠しきれない。。

619 名前:名も無き冒険者[sage] 投稿日:2008/12/04(木) 00:34:18 ID:pNdSwjcj
>>618
よお 俺。

同じくサポにメールしたけど、いつ対応してくれるのか・・・。



こんなバグもあるらしいけど1レベルの倉庫キャラでINしてチュートリアル終了してないか?
今はてんこ盛りのバグでのアイテム消滅と垢ハックと両方の可能性を考えた方がいい。
メンテ
Re: アカハック被害と対策について ( No.47 )
日時: 2008/12/05 12:58
名前: 被害者A ID:K77oTPMo

垢ハックがバッチの1週前に発生、発見後即メール→対応メールなし。
バッチ後再度メール送付→自動メール以外の対応メールなし
12/1? LV1倉庫にてIN→チュートリアル発生し、持ち物消え→即メール→自動メール以外の対応メールなし

・・・・・対応してくれるとしたら、春になる?
メンテ

Page: 1 | 2 | 3 | 4 | 5 | 全部表示 スレッド一覧