エリンでの生活で一番怖いのはフ●ーガスや略奪団でもなくて、垢ハックなんだ…

fagus_mabinogi_2012_05_27_003.jpg derubiru_mabinogi_2012_05_24_003.jpg

残念なお話ですが、当ギルドでも不正アクセス(=アカウントハック、垢ハックなどとも呼ばれています)の被害を受けたことがあります。「マビノギ」で使用するIDに2次パスワード、ワンタイムパスワードなどが導入されて被害の声も減ってきたとは感じますが、全くなくなったわけでもなさそうなのが実態です。

不正アクセスでゲーム内通貨、装備品などが奪われるなど、データや金額として表せるもの以外にも、娯楽や趣味、ストレス解消が目的のゲームで逆にストレスを受けてしまいゲームを離れていった方もいました。また、ギルドから支援できることは限られ、アカウントが乗っ取られたまま放置すると、BOTなどの不正行為にギルドが関係していると疑われてしまう状況(キャラクター名の上にギルド名が付いたままとなってしまうためです)となり、やむなくメンバーのギルドへの登録を解除します。ギルドを盛り上げてくださった方のお名前をメンバー表にすら残すことができない…このことは、被害を受けていないギルメンにとってもつらい出来事なのです。

不正アクセスの被害を防ぐためにどうすればいいかについて、ネクソン(「マビノギ」を運営する会社)からのお知らせと、IPA(情報処理推進機構:不正アクセス被害の届出先の一つ)のリンクを案内させていただきますのでご覧ください。また、「マビノギ」のゲーム内で費用をかけずにできるいくつかのポイントとセキュリティソフトに関する参考サイトを紹介します。どうか、スポーツなど試合前のストレッチをする心がまえで、面倒くさがらず入念に取り組んでいただければと思います。

被害防止のためにご覧いただきたいリンク集

(マビノギ公式サイトより)








(パスワードチェッカー:マイクロソフトのサイトより)
パスワードチェッカー
【ご注意】上記以外のWebサイトでも、パスワード強度を検証するなどと呼び掛け、パスワード入力を求めたりする場合が
     あるかもしれませんが、利用は避けるべきです。なぜならば、そうしたサイトの中には表向きはパスワードチェック
     をしているように見せかけて、裏側ではパスワードの収集、蓄積を行っているかもしれません。

マビノギ内とその周辺でできるセキュリティ対策

IDとパスワードの管理を厳重に(まずはコレ)

 現在、マビノギ(ゲーム)にログインするためには2度パスワードを入力する必要があります。肝心なのはパスワードの内容です。1次2次でパスワードが同じでは全く効果が無いですし、他人から言い当てられてしまうようなパスワードだと、知らない間にIDを乗っ取られるかもしれません。
パスワードの強さを高めるには、
・桁数を増やす  
・文字の種類を増やす
(ネクソンIDの場合、アルファベット大文字、小文字、数字の3種類ともパスワードに含めます。一般的には記号も含めます)
・他人から推測されない文字列とする (英単語などは推測されやすいと言えます)
以上3つがポイントです。また、パスワードの強さを高めるのとあわせて、
・変更する頻度(回数)を上げること
・他のゲームやサービスで使うID、パスワードとの使い回しや共用をしないこと も必要です。
それと、
・ネクソンIDとID登録に使用したメールアドレスのより厳重なID(メルアド含む)とパスワードの管理 が必要です。
ネクソンIDとメルアドの管理が適切にされることが強く求められます。桁数や変更頻度、保管方法などIDとパスワードの管理を実際にどうしたらいいのか、上記のリンク先や検索をして、ご自身で学んでみてください。

ワンタイムパスワード(必ず導入してね!)

 マビノギ公式サイト、ネクソンポイントサイトなどへのログインの際、通常のパスワードに加え、携帯電話・スマートフォン・トークンを使った一回限りのパスワード(ワンタイムパスワード)を利用することができます。ワンタイムパスワードの導入により、万一、ネクソンIDのパスワードが漏えいした場合でも、 公式サイトへの不正なログインに歯止めをかけることができ、IDが乗っ取られるのを防止できます。ただし、このページに書かれた他の対策も合わせて行うようにしましょう。

複数の対策を組み合わせることで、例えば…
1.ネクソンIDのパスワードが漏えい
2.ワンタイムパスワードで不正ログインを抑制
3.ログイン履歴の確認で見覚えのないログイン試行を検知
4.ネクソンIDのパスワード変更
5.漏えいしたパスワードはもう使えない…
といった具合に、トラブルが出た場合でも、複数の対策の合わせ技でうまく解決できることが期待できます。トークンの購入費を除けば利用料は無料とのことです。詳しくは次のネクソンのサイトをご覧ください。また、ワンタイムパスワードを導入した携帯電話などの管理の徹底をお忘れなく。
ワンタイムパスワード解説

ログイン履歴の確認

 マビノギのログイン画面左下に直近でログアウトした日時が表示される箇所があります。(下の画面参照)万一、見覚えのない日時が表示されている場合、ゲーム内(アイテムや通貨、NEXONポイントなど)に被害がでていないか確認し、サポートに連絡して助言を受けることとなるでしょう。この前回ログイン履歴の確認は不正なログインを少しでも早く発見(検知)する意味で重要です。
mabinogi_login_2012_08_28_001.jpg

 【2013年10月17日追加】
 NEXONポータルサイトのマイページにログイン履歴表示機能が実装されました。NEXONポータルサイト(http://www.nexon.co.jp/login/)からログインして、下の画像のようなより詳しい履歴情報を確認することができます。加えて、前回ログイン時とは違うIPアドレスでログインがあった場合にメール通知する設定もできるようになりました。

公式のアナウンスにもありますように同じネットワーク機器を使用していても、電源のON-OFFなどでIPアドレスは変わるものです。(下の画像もIPアドレスが変わっています)メール通知を利用される場合はご自身が契約されているプロバイダから割り当てられるIPアドレスの範囲などを確認されるなどして異常なログインを見分けられる方法を調べておくとよいでしょう。
loginrecord-1.png

密封スクロールなど

 不正なログインを受けた場合でも、密封スクロール、銀行パスワードをあらかじめ設定しておくことで、被害の拡大を防止する手立てとなります。ただし、先に述べた不正なログインを受けない対策が前提で、そちらが優先されます。密封スクロールの効果も日が経てば解除されてしまいますし、ユーザIDのパスワードが見破られる状態で銀行パスワードがどの程度有効なのか不安だからです。
mabinogi_lockscroll_2012_09_01_011.png mabinogi_bankpass_2012_09_01_010.jpg

セキュリティソフトについて

 ご自身が使われるPCのセキュリティ環境の向上を図る際、まず導入するのがセキュリティソフトなのですが、様々な製品があり、価格帯も無料のものから始まり幅が広く、どれを導入すべきか悩まれるかもしれません。ご参考までにセキュリティソフトの比較サイトを紹介します。
the比較 セキュリティソフトの比較

そのほか、思いつくままに…

フィッシングメールについて

最近(2013年7月)ゲームの運営会社のスクウェア・エニックスを騙(かた)ったメールを送りつけて、ニセのサイトに誘い込みユーザーIDやパスワードを盗み出そうとする動きが活発となっています。いやですね。筆者もメールを送りつけられたので被害の防止を願いつつ晒しておきます。驚いたことが2つあります。不正アクセス対策としてパスワードの再設定を正式な運営者からユーザーに依頼することがよく起きている中、 そのタイミングに便乗している点ニセサイトのURLが公式サイトと見分けが付かないくらい巧妙な点 です。
Phishingmail.jpg
※画面クリックで元のサイズで表示。不正サイトを間違って見ないようにモザイクをかけてあります。
URL だけを見ていたならホントに「釣られて」しまいそうでした;;

もしメールを送りつけられたら、メールに違和感、不審な点がないか落ち着いて確認しましょう。今回のメールは会社名が正式のものと違っていたり、届いた時点のメール文や件名が文字化けを起こしていたり、メールのヘッダ情報から不審に思いました。不審なメールであれば、メールの中身は信用せずに公式サイトなどから情報を得たり問い合わせたりして、決してメールのリンクをクリックしないようにしましょう。
そのほか、今回の件について公式の運営者からお知らせが出ています。スクエニのアカウントをお持ちの方は用心してくださいね。
フィッシングメールの注意喚起:スクエニのサイト
上のリンクで閲覧できない方はこちら

このサイトでの「不正アクセス」と「垢ハック」の言葉の使い分けについて

当ゲーム内(ユーザ間)では「アカウント(垢)ハック」と呼ばれることが圧倒的です。その一方で、批判的な意味に限られていない「ハッキング」の語句が含まれるのを避けるかたちで「不正アクセス」「アカウント盗用」「アカウント不正利用」と記述するサイトが多くみられます。そのため、本Webサイトの項目名などで掲載する表記は「不正アクセス」とし、本文中のセリフのような記述は「アカウントハック」と使い分けを行いました。

不正アクセス対策について、試合前のストレッチに例えて書きました。

車やバイクの運転前の点検などとも似ていますね。ストレッチや点検をしなくても競技や運転ができますが、けがや事故をまねくことにもなりますし、ちゃんと準備をした場合でも完璧には防げないことがあります。ただ、事前の準備があれば不正を行った手口の絞り込みが容易となることと、「対策したけど垢ハックされた><」と「垢ハックされてしまった。対策しておけばよかった><」とでは気分の落ち込み方の深さが違ってくると思います。あと、ゲーム内で「○年間アカウントを守り抜いた」などのタイトルがもらえたり、ティルコの学校でセキュリティ教育を受けたらAPがもらえたりとかできたら、エリンのミレシアン達も前向きに取り組むと思うのですが(笑)

2012(平成24)年9月2日 byりょうちょう
※本ページの記載内容にご指摘がありましたら、当ページ上部、横並びメニュー「ツール-このウィキの管理者に連絡」にてご連絡願います。