クロノス総合掲示板

トップページ > 記事閲覧
【遠隔】ワンタイム未設定の方へ【ハック】
日時: 2014/05/18 10:13
名前: BandannaKEN
みなさん お久しぶりです
ワンタイムキー絶対に設定しましょうね
自分の為だけじゃなくて
他人の為にもね
ページ移動: [1] [全表示]
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.1 )
日時: 2014/05/18 10:26
名前: BandannaKEN
はぁ?今さら何言ってんのコイツって思うでしょうね。
まぁそういわずに読んでください。

※これは実在の刑事事件であり、現在警察介入中の案件になります。
 今回の件は潟Qームオンと警察とで協力して調査していく形になります。
 その為すべての事実をここに書き込むことができません。
 担当の警察捜査官の了承を得て、事実を歪曲させた状態で掲載します。
 掲載する目的は、「こんなハックがあるのかよ!、ワンタイム設定しよう!」
 と思ってくれる人を一人でも増やす為です。
 私は過去にこのような犯行例があったのかをネットで調べましたが
 見当たりません。よって知らない人が多いと判断しました。


◆◆アカハックの概要◆◆
犯人・・・リモートアクセス(遠隔操作)による不正アクセス者
A・・・運営からアカハックの犯人と指定され垢凍結された人
B・・・ゲーム内のアイテムが消滅した人
※Aはワンタイムを設定していた
※Bはワンタイムを設定していなかった

1.Bがアカハックに気づき、運営に報告

2.運営はAという人物がAがいつも接続している地点から(Bとは全く異なる地点)
    AのキャラクターとBのキャラクターを操作して
    アイテムをトレードしている履歴を見つけ
    Aをアカハックの疑いありとして
    被害拡大を未然に防ぐために
    Aに対しメール告知、アクセス規制、アカウント一時凍結を行う

3.Aのパソコン内から犯行時刻とそれ以前からの数回にわたる
    外部リモートアクセスのログが見つかる

4.犯人はある手順を使ってAのパソコンへ侵入し常時監視していた
    犯人はある方法を使ってAがクロノスをログアウトしパソコンから離席したことを確認
    そのAのパソコンの環境から、さらに第三者Bへの
    ハッキング行為を行いBのキャラクターから
    Aのキャラクターへアイテムを移動させた
    ログアウトしたての為、Aのワンタイム有効時間内の犯行になる
    よってAの携帯にワンタイムは送信されなかった

ようはトリプルハッキングです
Aのパソコンに対し不正アクセスしたまま
AとBの両方のアカウントに対し不正アクセスした
ということです

結果的にAは無実にも関わらずゲームができない状態に(不正アクセス被害者)
Bも装備が無い為ゲームができない状態に(ゲーム内アイテムという架空のデータの損失)
運営は被害拡大を防ぐためにAに対しアクセス規制、アカウント凍結をせざるを得ない状態に(利益損失)
運営はハッキングに対する対応をする(営業妨害)

ワンタイムを設定しないでアイテムが消えてしまったら自己責任と考え
あの面倒くさいワンタイムを設定していない人が多いと思います。(はい私ですw)
しかし、それにより第三者のAがアクセス規制などの処分です。
しかも今回Aはワンタイムを設定していたのに、この結果です。

そして運営にも迷惑を掛けています。
何度も書きますが、Aに対してアクセス規制をしないと被害が拡大します。
よってこの件を運営の勘違い冤罪アク禁と考える方もいると思いますが
それは大きな間違いでして
運営がここで規制をしていなかったら、被害は確実に拡大していました。

自分だけの身を守るのがワンタイムと今まで考えていましたが
実は他人を守る為でもあるのだと今回知りました。本当にいまさらです。
今回の件、BとはBandannaKEN 私です。
私がワンタイムを設定していれば、Aがこんな事になる可能性は低くなっていたでしょう。
その場合は別の人へハッキングしていただけかもしれませんが
今回の手法だと犯行可能時間に制限があります。(たとえばAが風呂、食事、睡眠などから戻ってくるまでの時間)
その限られた時間にハッキング行為をしてワンタイムに引っかかればそこで時間が稼げると考えています。
結果的に誰にもハッキングできずに時間が過ぎてしまえば、BだけでなくAも無事に済んでいたと思います。
(腹いせにAのアイテムを全部ローリンに売られてしまうかもしれませんがw)

そしてもう一つ、
無断リモート(遠隔操作)を防ぐ方法はググれば出て来ますが、代表的なのを紹介します。

○Windowsアップデート等で最新状態にしておく
○ウイルス対策ソフトを入れる

しかし、XPはサービスが終了しているので上記2点は不可能です。
XPの人は

○長時間パソコンをつけっぱなしにしない
○パソコンから離れるときはLANケーブルを抜くかWiFiルーターの電源を落とす


※何度も書きますが、この事件は事実を歪曲して伝えているため、矛盾があります。
 それに対する質問があったとしても私は返答しない場合があります。
 警察や潟Qームオンからの許可が得たら書き込めるとは思いますが
 現在調査中の多忙な時期に、わざわざ警察や潟Qームオンにお伺いを立てたくありません。
 なので事件に関する興味本位の無駄なご質問はご遠慮ください。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.2 )
日時: 2014/05/18 10:37
名前: 名無しさん
1携帯3垢まで制限をなんとかしてくれないとどうしても鍵のかけてない部屋が出来てしまいます。
でも事情が飲み込めました。
あれだけ大介なダナケン氏が休止とか「???」と思ってましたが、もちろん一番悪いのは犯人ですが自分のせいで無関係なユーザーが凍結処分中となればのうのうとプレイしてられない心中お察しします。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.3 )
日時: 2014/05/18 11:10
名前: BandannaKEN
>>2

ありがとうございます
けど大丈夫です

最近私は
遅刻したら「フリポが切れていた」
干ばつで固くなった大根を見て「こいつホリってやがる!」
出勤前の服装チェックで「今日のアバターは決まってるぜ」
と自分に言いきかせ、リアル世界にクロノスを見事に融合させているので
比較的元気ですw
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.5 )
日時: 2014/05/18 15:07
名前: 名無しさん
ワンタイム設定する前は「そんなめんどうなこといやだな・・」と思っていましたが、今ではワンタイムない垢が心配でしょうがない自分がいます。

ワンタイムはないことと比べるとそりゃめんどうかもしれませんけれど五時間に1回だけだしそこまで面倒でもなくなっています。
もはや当たり前の作業になってます・・って、擁護してるからといって自分は運営じゃありませんよw
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.6 )
日時: 2014/05/18 15:24
名前: nanasi
メイン垢は設定してるのですが、サブ垢はしてません。
お恥ずかしながらメイン・サブの2つしか有りませんが・・・^^;

『ひとつのIDに対してひとつの携帯メールの登録となりますのでご注意ください。』
と有りますが、複垢の方たちはどうしてるんでしょうか?

違うアドレス等、作って設定してるのでしょうか?
ご教授お願いします。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.7 )
日時: 2014/05/18 15:39
名前: 名無しさん
1つの携帯アドレスに対して3垢まで設定出来ます。
それ以上の垢を守りたいなら2台目、3台目の携帯が必要になってコストもバカになりませんね。
2PC環境ありを前提にしなくちゃいけませんが面倒でもログインしたらワンタイム垢からサブが使う装備を移動、ログアウト前にはワンタイム垢に戻すを習慣づけるしかありませんね。
仮にワンタイムなし垢に侵入されても高額な物がなければ痛手もありませんしうわーこえーと思いつつパス変更、で。
ただ解せぬのが一時期話題になった垢ハック騒動、はじ街倉庫前が金策のメイン戦場となった頃w
あの頃ならいざ知らず、今このRM市場も冷え切ったクロノスでまだハックして盗むだけのメリットがあるのだろうかと。
もっと有名タイトル行けよwと思う。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.8 )
日時: 2014/05/18 16:33
名前: nanasi
>>7 様

有り難うございました^^
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.9 )
日時: 2014/05/18 21:18
名前: 名無しさん
Aのパソコンが第三者にハックされ、クロノスのログイン情報が漏れる、というのは解るけど、Bのクロノスアカウントを知る由はAのパソコンには無いはず
つまり、AのPCハック以前にアカウント情報が何らかの形で漏れてる、或いは得る方法が有りAのパソコンで実行した、という事になるんじゃいかな

ということは、Aのパソコンをなぜ踏み台にしたのか?という疑問を感じる
リモートはハイスペックPC&高速回線でも処理速度はガタ落ちするし、クロノスのアカウント情報を知り得る方法を持っているなら、踏み台使う意味があまり無い
推理小説チックになるけど、Aがそもそも犯人で、それをかく乱・隠蔽しようと自演したって線もあるような気がする

そもそも足を残さない為にはネット接続情報から個人特定出来ない方法を取る訳で、それは踏み台使おうが自分のPC使おうがネカフェ使おうが同じだしね

一番の疑問点は、>>7も書いてるように、クロノスじゃリスクの割にリターンがまるで無いって部分だよなぁ
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.10 )
日時: 2014/05/20 13:37
名前: 名無しさん
パソコン乗っ取り、世界で一斉摘発 90人以上逮捕
ttp://www.cnn.co.jp/tech/35048153.html

Blackshades使用者は勿論、購入者も芋づる式でお願いします
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.11 )
日時: 2014/05/21 01:29
名前: 名無しさん
少し勘違いというか、疎い方がいるので、注意喚起も含めて意見を申し上げます

>クロノスじゃリスクの割にリターンがまるで無い

これは違います。
なにも売るのはゲーム内アイテム・通貨だけじゃないんです。
IDやパスワードはセット情報で売れます。
売らなくても有名どころのゲームに対して、リスト型ハッキング仕掛けて他ゲでアイテム巻き上げるなんて手段もあります

ダメオンは軽視して、放置してますが、
ID入力時にDB上に存在していないIDが入力された場合と
PW入力ミスした場合とで、メッセージが違う事でIDを探すことができます。
そして、PWに関してはブルートフォースアタックかければ割り出せるんです

オンラインゲームのハッキングの上位に上がるのがこのリスト型+ブルートフォースアタックです
(蛇足気味になりますが、アルテイルコラボの際、被害が増加したのはこのリスト型のせいではないかと。私がヒヤリングした限りでは、ほとんどが同じID/PWを設定してました)

そして、これが一番重要な事ですが
詐欺する側は少しの利益でも上がれば何でもやるんだ、ということ
普通に働いたほうがよっぽど利益が良い、普通の人はそう考えますが
詐欺師はそうではないのでしょう。常識が全く通用しません。
なのでリスク度外視、1円でも儲けられる可能性があれば何でもやりますよ。
特に中華系は海外からやっててつかまらないとたかを括ってますからね。


まぁ、このスレの内容を見て思うのは
「そんなケースまで想定してセキュリティ設定しろって言われても、運営側はお手上げだよな」
って事ですね。
誰とは言いませんが、アカウント共有なんてしてる方々いますし
メアドのドメイン以外の部分をIDに使ってる+パスワードが誕生日由来のものだったりすると
近しい人間でも比較的簡単になりすまし可能ですからね。

ご愁傷様という気持ちと、自業自得と思う気持ちと、ですかね。
あ、自業自得が気に食わない人もいるだろうから「自己責任」と読み替えてくれても結構ですよ。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.12 )
日時: 2014/05/21 05:15
名前: 名無しさん
何でこの人は得意げになってユーザー叩きしてんだろ
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.13 )
日時: 2014/05/21 15:52
名前: 名無しさん
1、携帯を使った遠隔操作が出来ないか検証していた

2、ワンタイム設定すると、裏に行ってどうこう書いてる

3、そしてそれを日記に公開するという愚行をしている

で、Aさん、Bさんがなんだって??
そんなセキュリティ意識で、被害者面しないでほしい
ザル環境でプレイしておいて、保証だけはしてくれって甘いでしょ?

こういう利用規約に逸脱(本人的にはグレーゾーンと言い張るんだろうけど)してる奴まで運営は責任もって対応しなきゃならんのか?
しかも警察まで引っ張り出して、それに対応する人員だってタダじゃないし、迷惑かけんなよ、としか思わない。
ましてや、これで特別な保証がなされたら、過去に涙を呑んで引退してった奴等は浮かばれんよ(どっちも自業自得だが)

って思った俺かおかしいのか?
ワンタイム設定しときゃ起きなかった話だろ?
通常保証受けて大人しく出来ないのかね??
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.14 )
日時: 2014/05/21 16:59
名前: 名無しさん
あ、保証じゃないや、補償ね
はずかち…
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.16 )
日時: 2014/05/21 23:21
名前: 名無しさん
ん?つまり
Aさん=ワンタイム設定した垢A
Bさん=遠隔操作用にワンタイム外した垢B

垢Bが最近ハック被害か何かにあって、運営に連絡したら
垢Aが凍結されたって事か?それなら妙に納得できるんだがw

そんなケースを「注意してください」とか言われてもなぁ・・・w
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.17 )
日時: 2014/05/22 13:23
名前: 名無しさん
ジャパンネット銀行みたいな
ワンタイムパスワード発生装置を配布すればいいじゃないか。
1アカに1個。

それか、クライアント側のIPアドレスが変わった時だけ本人確認するとか。
生年月日か住民番号とかで。

現状のワンタイムキーシステムは、ゲームの円滑な流れを阻害していて、
複数アカウントの人にとっては特に、現実的な安全対策とは言えない。

楽しむためのゲームなのに、わずらわしさに耐えながら遊ぶなんて、
本末転倒である。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.18 )
日時: 2014/05/22 13:42
名前: 名無しさん
それ自分も思ってたよ、あれ便利だよね
でも現実問題として基本無料を謳ってるのに郵送費、端末機代、送る人の人件費どうするの?
あっちは口座として維持費、手数料なんやら確実に得られるから出来る
一人何百垢と持ってるような人がいるんだからとても無理
月額制にでも戻せばあるいはね
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.19 )
日時: 2014/05/22 14:34
名前: 名無しさん
プログラミング、鯖設定、毎週アップデート、従業員に給料払って、
という一連のコストには、「将来、課金してくれるかも知れない」ユーザーの
ための投資が含まれています。

それらに比べてワンタイムパスワードを15秒単位で発生させる装置の単価など、
物の数ではないでしょう。

どうしても無理なら、500GEMで交換というシステムでもOKでございます。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.20 )
日時: 2014/05/22 15:36
名前: 名無しさん
先ずブルートフォースアタックに関しては、アカウントとパスワードを
・大文字を必ず加える事
・最低8文字
・誕生日っぽい数字はダメ(自他関係なく)
・一定時間内に大量のログインエラーが発生した場合は数分間ログインシステム遮断
これで多少は防ぐ事が可能
ライブラリもあるので導入はさほどコストが掛かる事でも無いと思う

んで、秘密のキーをマイページで登録出来るようにする
前回のログイン時間から一定期間を経た場合は、秘密キーと生年月日の入力を必須とさせる
ワンタイム設定してる人は、秘密のキーを使うかどうかは任意に変更出来る

出来れば一定期間を経たパスワードは変更を促し、一定期間は同じパスワードを使えないようにする

ワンタイム無くてもこのくらいはやっておくと良いと思う

SQLインジェクションとか、根本的にダメなものがあったりしたらどうしようもない
ログインフォームん中に
<input type="hidden" name="encrypt_key" value="728a917416ce385aaa5567b5c80f0d49" />
こんなのある時点でどうかと思うけどね
encrypt_key=暗号化キー
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.21 )
日時: 2014/05/24 12:31
名前: 名無しさん
ワンタイムパスワードの「トークン」って、こんなやつね。

パスワードを発生させていると言うよりも、
たぶん、鯖と同じ乱数表がROMに焼いてあって、
同期させた場所から順繰りに表示させているだけだと思うけど。
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.22 )
日時: 2014/05/24 12:33
名前: tatha
幻想神域みたいに
ランダムな数列で二次パスワード入力するほうがいいと思う
携帯持ってない人間も居るだろうし
Re: 【遠隔】ワンタイム未設定の方へ【ハック】 ( No.23 )
日時: 2014/07/27 21:34
名前: 名無しさん
携帯持ってる
ページ移動: [1] [全表示]
注意事項 が付いている項目は入力必須です。
タイトル
名前
本文
オプション
※掲示板に書き込みを行う前に ご利用上の注意(新しいタブで開きます) を必ずお読み下さい。

※交流掲示板のパスワード登録機能は廃止されました。新たに投稿した記事を編集・削除することはできません。