モンストアカウント盗難事件から考えるセキュリティ

最近、Twitterでもモンストのアカウント盗難騒動がありました。先日もモンストのアカウント盗難のニュースもありました。この盗難事件の所感や、モンストのセキュリティに関するお話をしてみたいと思います。

モンストアカウント乗っ取りで逮捕

先日、産経新聞にてこのようなニュースが掲載されました。

転売目的で他人の「モンスト」アカウント乗っ取り 無職男逮捕 栃木県警
人気オンラインゲーム「モンスターストライク」の他人のアカウントを転売目的で不正に乗っ取ったとして、栃木県警サイバー犯罪対策課は31日、私電磁的記録不正作出・同供…

記事を見るに、

容疑者は、男性のアカウントのIDやパスワードを第三者から購入。自分の端末で乗っ取った後、男性のアカウントを転売したとみられるという。

一番最初に思った事は、「アカウント情報を販売したこの第三者も逮捕しろよ!」という事。個人情報を本人に無断で販売しているのでしょうから、こちらの方が事件として取り扱えそうな気がしますが…。この辺もきちんと捜査が行われていることを願います。

そして、記事には

同ゲームのサーバーに不正入手した男性のアカウント情報を送信。アカウントを正規に引き継いだように見せかけようとしたとしている。

とあります。これはXFLAG IDによる引き継ぎを意味しています。経緯はどうあれ、IDとパスワードが漏れた時点で運営側には防ぎようがありません。

事件発生が昨年の6月1日。石川五エ門の実装あたりですが、アカウント乗っ取りに起因しそうなイベントとかはなかったような気がします。 事件発生から逮捕まで1年以上も掛かるのか…。

この第三者がどうやってIDとパスワードを入手したのかは不明です。しかし、手段はある程度予想できますし対策も可能です。アカウント盗難を防ぐにはどうしたらよいか考えて見ましょう。



どうすればアカウント盗難は防げるのか?

お金にしろ時間にしろ、掛替えのないものを使った大切なアカウントです。アカウント盗難には気をつけなくてはなりません。

前提としてアカウントはそう簡単に盗めるものではありません。基本的な防衛手段としてはスマホや情報の取り扱いと同じです。各々のセキュリティ意識の問題です。

それでも、ここは気をつけたほうが良いという事をお伝えします。

1.絶対にIDやパスワードを伝えない、アカウントを渡さない

基本中の基本です。親しい友人であっても絶対にXFLAG ID、パスワードを伝えてはなりません。

例えば「明日映画見に行くから、IDとパスワード教えてくれたら特典受け取るよ?」とか「近くに至宝+スポットあるから、アカウント渡してくれたらアンテナつけるよ?」とか。そんなことを言ったり言われたりしたことはありませんか?

利用規約的に良いか悪いかはさておき、実際に”できる”のですからやる人も居るはずです。

情報を伝える相手が信頼できるかどうかに関わらず、これはアカウント盗難の危険性が増す行為なので絶対にやめましょう。

data10.binの受け渡しなどはもってのほかです。(分からない人はスルーで)

アカウント売買やオーブ購入代行、絆代行、特典受取代行などの利用も絶対に止めましょう。その時はスムーズに取引が終わっても後々にアカウント盗難に遭うという事も十分にありえます。

また、スマホ自体にロックがかかっていない場合も落としたり、離席している間にアカウント情報を盗み見される可能性があるので気をつけましょう。

2.IDやパスワードをアプリのメモ帳や画像で保存しない

スマホ内のメモ帳などにXLAG IDやパスワードを直接メモしていませんか?または、IDやパスワードが写ったスクショを保管していたりしていませんか?

別の認証が必要なクラウドや鍵付きメモなどに保存するならまだしも、端末内にそのままの情報を残しておくと案外危ないかもしれません。

誰かにメモ帳を覗かれたり、間違えて画像をどこかにアップロードしてしまうだけでも大惨事です。端末内の画像やメモデータを盗まれただけでモンストのアカウントまで盗まれる可能性があります。

アカウント自体を盗む事より、画像やメモデータを盗む事の方がもちろん簡単ですし機会も多いです。盗難をしようという人はこういうところからも狡猾に情報を得ようとします。モンストのアカウントデータに限らず、アカウント情報をそのままメモとして残している場合は注意が必要です。

3.無料のWi-Fiを利用しない

最近、GIGAZINEでも記事にされていますが、無料のWi-Fiを安全だと思っている人がとても多いです。

無料Wi-Fiを使う人の7割以上がセキュリティリスクを気にしないことが判明
一部の飲食店や公共のスペースでは、サービスの一環として無料のWi-Fiが提供されています。そんな無料Wi-Fiにはセキュリティ上に問題があるにも関わらず、多くの人がセキュリティ問題を気にせず無料のWi-Fiを活用していることがアンケートで判明しました。

ここからアカウント情報を抜き取るには専門的な知識が必要ですが、少しでも精通している人が悪意を持って仕掛けると簡単にデータを引き抜かれてしまします。

無料Wi-Fi利用時にXFLAGのIDやパスワードを入力しなければ問題ないという話ではありません。モンストの場合、ログインをしたりクエストに行くだけでも知識があればその通信内容からアカウントを盗む事ができます。

ホテルや喫茶店で無料のWi-Fiを使う場合は常に安全か、接続先(SSID)の「なりすまし」などにも気をつけなくてはなりません。

4.公衆型充電器を利用しない

日本ではあまり多くありませんが、漫画喫茶やドン・○ホーテに行くとたまに見かけます。

公衆型充電器に危険があるという意識は意外とないようで、2017年の記事ですが世界的に著名なセキュリティ会合(RSA Conference)の参加者ですら8割の人が安全性を確認することなく公共の充電スタンドを利用したという実験結果もあります。

Please stop charging your phone in public ports
Charging a phone at a public port could put its user's data at risk.

スマートフォンの特性上、充電ケーブルを接続してしまうと同時にデータ通信も可能になってしまいます。悪意のある人が公衆型充電器内の充電ケーブルにデータを盗むためのケーブルを取り付ける(もちろん充電もされる)といった行為をすればほぼ確実に端末内のデータを抜くことができます。知識のない人にはケーブルが付け替えられていてもほとんど気づく事はできないと思います。

あまり過敏になる必要はありませんが、使わないで済むなら公衆型充電器の利用は避けましょう。

5.これらを過去にやってしまった場合

もし過去にこれらの経験があり、モンストのアカウント乗っ取りが心配な場合はXFLAG IDのパスワードを変更して一度リストア(バックアップから戻す行為)をしてください。

一度、公式の引き継ぎを行うとアカウントの内部情報が書き換わり、過去にアカウント情報が流出していたとしても安全な状態になります。

逆に盗難者側にこれをされてしまうとほぼ「詰み」です。運営に相談しても取り戻すことは難しいでしょう。今回の事件のように警察が捜査してくれるとも限りません。

心当たりがある場合は対応された方が良いと思います。

あくまで、モンストのアカウントを守るための施策でしかありません。特に、3. 4.の手法では他のデータや個人情報も流出している可能性があるのでご注意ください。

これら以外にのも様々な手法はありますが、個人レベルで気をつけられる事はこのくらいです。暗号化解読やサーバークラッキングでアカウント情報を手に入られるような状況はユーザーには対策しようがありません。そのような被害報告もないのでこの辺は安心して良いかと思います。

モンストのセキュリティは意外と緩い

最近のソーシャルゲームはアカウントの引き継ぎを厳格にしたり、root取得や脱獄(Jailbreak)をした端末では起動できなくなったりしています。厳しいものではUSBデバックが有効になっているだけで起動をさせないアプリもあります。データ改ざん等の対策でもあるのですが、こういった設定があるだけでもアカウントを盗難しようとする側には少なからず効き目があります。しかし、現状ではモンストにそういった制限はありません。ある意味でモンストのセキュリティは緩いです。データを動かしやすい分、アカウント情報が流出する危険性も高まっています。

繰り返しますが、アカウントはそう簡単に盗まれるものではありません。ただ、他のアプリと比較するとモンストは意外とセキュリティが緩いです。まだまだ人気があるためアカウント売買も頻繁にあります。アカウント盗難については注意するに越したことはありません。



あとがき

「盗まれる方が悪い」なんてことはありません。アカウントを盗難する人が絶対的に悪いです。しかし、各々で気をつけられる範囲内では気をつけて行こうね!というお話でした。

なにやらセキュリティの講師みたいな記事を書いてしまいました…。

SSLにも対応していないサイトの管理者が何言ってんだ?とか、解析してるお前が言うな!と言われたら何も言い返せないのですが…。拙いながらも解析しているからこそ「ここ危ないんじゃない?」というのは分かったりもするのです。

モンストユーザーでこれらをしている人を見かけたら「それって危ないよ」と伝えられる人が増えてくれると嬉しいです。

これら以外にも注意しなければならないことや、この情報は違うんじゃないか?というのがあればぜひ教えてください。

長々とお付き合いありがとうございました!モンスト関連ではありますが、セキュリティに関する記事でしたね…それではまた!



コメント

タイトルとURLをコピーしました