不正アクセス (アカウントハッキング) への各種対策 [編集]

  • 目次
  1. SEGA ID、パスワードの扱いに関する対策
  2. OTP (ワンタイムパスワード) での対策について
  3. セキュリティの更新・ウィルス対策
  4. 他社メールサービスの情報漏洩について
  5. ネットカフェ利用後の注意事項
  6. 外部リンクについての注意
  7. 怪しいメールへの注意
  8. ソーシャルエンジニアリング
  9. 不正なソフトウェアを使用しない
  10. R M Tを利用しない・サイトにアクセスしない
  11. 最後に
  12. 被害報告用テンプレート

SEGA ID、パスワードの扱いに関する対策 [編集]

他のサービスで利用しているパスワードの使い回しは避けましょう。
パスワードの使い回しをしていると、どこか1つのサービスで漏洩が起きるだけで
他の全てのサービスが不正アクセスの被害に遭う可能性に晒される事になります。 
例
 A社のゲーム、B社のメール、C社のゲームで共通したパスワードを使用している場合 
 もしC社から情報漏洩(登録しているメールアドレス、ゲームへのログインパスワード等)が起きた場合 
 A社のゲーム、B社のメールサービスにC社から漏洩したパスワードでログインされてしまう。
特に登録メールアドレスに利用しているメールサービスとSEGA IDで
パスワードの使い回しをしている場合は不正アクセスの被害に遭う危険性が高いです。
現在パスワードの使い回しをしている場合は、出来るだけ早く変更しましょう。
また、使用している人が多いメールサービスは攻撃に遭う可能性が高いため注意が必要です。
たとえばPSO2に限らずHotmailは被害報告が多いです。
推測されやすいパスワードを避ける
IDとパスワードで共通した文字列を含んでいるパスワードや
自分に関係する情報を含んだもの (誕生日4桁など) は避けましょう。
その他、桁数が少ないパスワードや辞書に載っている単語などのパスワードはブルートフォースアタック
ディクショナリーアタックといった手段で突破されてしまう場合があるため
不正アクセスの被害を受けにくくするには、なるべく桁数が多く
辞書に載っていないような文字の羅列をパスワードにする事が望ましいです。
大文字・小文字・数字を組み合わせたランダムな文字列、あるいは長い英文などから文字を抜き出して
一部を大文字にしたり数字に変えるなどして長くて無意味な文字列を作るとパスワードの強度が上がります。 
例
 abc123 より AbC123 のほうが強度としては数倍高い。 
 但し「abc」や「123」などの連番自体がパスワードの強度として弱いので、そのままでは使わないように。
ログイン履歴を確認する
Code:EPISODE2よりキャラクター選択などを行うスタートメニューに
現在ログインしているSEGA IDのログイン履歴が閲覧できるようになりました。
ログイン履歴を確認することで自分がいつログインしたか確認できます。
もしも見に覚えのないログイン履歴があった場合、アカウントハッキングをされている可能性があります。
すぐに公式:サポートナビから運営に報告しましょう。
OTP (ワンタイムパスワード) を導入していなければ導入するなどの対策も取る必要があります。
(参考) パスワードの定期的な変更
本質的には、一部のサイトなどが要求する「パスワードの定期的な変更」は、
不正アクセス対策としてあまり意味がありませんが、
複数の場所 (自宅とネットカフェ、あるいは友人宅など) でPSO2をプレイしているのであれば、
それらのPCのうち、どこか1カ所でもマルウェア (後述) に感染していると、
そこからパスワードが漏洩しアカウントへの不正アクセスの原因になり得ます。
そのため、複数の場所で遊んでいるのであれば、定期的にパスワードの変更を行ったほうが安全です。
(できれば自宅以外で遊ぶごとに変更するのが理想)
そうでない人 (自宅からしか遊ばない等) は、定期的に変更するよりも、長期間同じパスワードを使ってもいいので、
上記にある「長く、強度の高いパスワード」を使うことを優先したほうがいいです。

OTP (ワンタイムパスワード) での対策について [編集]

ワンタイムパスワード (One Time Password) とは
認証のたびに変動する使い捨てのパスワード。パスワードは生成から1分経過する度に変動します。
SEGA IDの固定パスワード認証後に、OTPのアプリやトークンから生成される変動パスワードを
追加で要求することにより不正なアクセスを防ぎます。
  • OTPはPS Vita版?のプレイヤーにも無関係ではありません。
    PS Vita版しかプレイしておらずWindows PC版はプレイしないという人も
    このOTPを設定しておくことでPC版クライアントを利用した不正アクセスへの対策とする事ができます。
    Vita版ではSEN IDの認証でログインを行うため、初回のSEN IDとSEGA IDの紐付け作業以外で
    SEGA IDのパスワードを入力する必要はありませんが、このパスワードはSEGA ID管理ページやPC版と共通です。
    そのためSEGA IDとパスワードが何らかの原因で不正アクセスを行っている攻撃者に知られた場合、
    SEGA ID管理ページへ不正にアクセスされたり
    PC版クライアントを使用してゲームへ不正にログインされる可能性があります。
    「自分はVita版だから不正アクセスなんか関係ない」とは思わず、しっかり対策を行うことが大事です。
また、PC版しか利用していない場合、SEGA IDとパスワードを悪用されることによって
PS Vita版からOTPを省略した上で不正アクセスされてしまう可能性があります。
OTPは万能では無く、あくまでも不正アクセスの可能性を減らす手段でしかないため
通常パスワードの強度を上げておくなど、普段からの対策が必須です。
OTPの導入
公式プレイヤーズサイト内「ワンタイムパスワードの登録方法」を確認し
携帯電話、Androidスマートフォン、iPhoneでパスワード生成アプリをダウンロードします。
また、キーホルダー型のハードウェアトークン (有料) を使用することでもOTPを利用可能。
ハードウェアトークンは1300円ほど (通販の場合は送料別) で購入できます。
(ハードウェアトークンとは暗証番号を表示させるボタンと表示部を備えた小型の物理デバイス)
携帯電話が対応機種ではない場合はハードウェアトークンを使用しなければOTPを利用できません。
「ワンタイムパスワードの登録方法」ページ内で次の項目に進み、クーポンコードを取得します。
取得したクーポンコードをアプリに登録し、アプリ側で表示された「シリアルナンバー」と「ワンタイムパスワード」を
ワンタイムパスワード登録ページで入力すると利用登録が完了します。
(余談)携帯電話トークン、ハードウェアトークンの特徴
携帯電話トークンのメリットは導入費用がかからないこと、大抵の人が常に持ち歩くので外出先でも使えること。
ハードウェアトークンのメリットは携帯電話の故障や買い換えの影響を受けないこと
(ハードウェアトークンのほうが一般に故障率は携帯電話より遙かに低い) 、扱いが簡単なこと。
ボタン1つでパスワードが出るので携帯・スマフォと違ってアプリを起動する手間がかからない。
PSO2に限りませんが、旅行等で「パソコンは持って行ったのにハードウェアトークンを忘れてアクセスできない」
という話をちらほら聞くのでその辺は注意を。
  • 携帯電話/スマートフォンでトークンを使う場合、
    機種変更やキャリア変更をする前に必ず移行方法を確認しましょう。
    変更してしまってからでは最悪、パスワードが発行できず認証ができなくなり、
    セガのサポートに問い合わせてから対応が終了するまで、数日 (あるいはそれ以上) ゲームができず、
    SEGA ID管理ページへもアクセスができない、ということが起こり得ます。
※ ワンタイムパスワードを利用していない場合、不正アクセスにより
アイテムを失うなどの被害を受けた場合でもアイテムの補填などは受けられません。
※ 尚、不正アクセスが行われたからといって確実なアイテム補償は約束されておらず、
対応まで数ヶ月要す場合も多々あるため、可能な限り事前に対策を行うことが好ましいです。

セキュリティの更新・ウィルス対策 [編集]

Windowsのアップデート
マイクロソフトによるサポートが終了していないOSへは
定期的に脆弱性を塞ぐためのアップデートファイルが配信されています。
これらをしっかりとインストールすれば、セキュリティの穴を突かれる可能性を低くすることができます。
Windows XPは2014年4月にサポート期間が終了しており、
セキュリティの穴が発覚しても修正が行われなくなっています。
まだ使用している人は早急にOSのバージョンアップやPCの買い換えを検討しましょう。
古いOSを使い続けるとセキュリティ的な問題から自分が被害に遭うだけでなく、
他者への攻撃の踏み台に使われ、他の人に迷惑をかける可能性すらあります。
使用期限が切れたOSでは絶対にネットワークへ接続しないようにしてください。
セキュリティソフト、ウィルス対策ソフト
大切なセーブデータを守るためには、セキュリティソフト (ウィルス対策ソフト) は必須と言えます。
ウィルス対策だけでなくスパイウェアへの対策も重要となります。
ただし、ソフト毎に程度の差はあるがゲーム中のパソコンの動作速度に影響を及ぼす場合が多いので
利用しているパソコンのスペックと相談し、可能な限り速度と機能を両立できるようなソフトを選ぶと良いです。
AVG、avast!、Microsoft Security Essentials (MSE) 等、無料で十分使用に耐えるものもあるので
「買うお金がない」と考える必要はありません。
  • 尚、PSO2でも採用されているチート対策ソフトのnProtect GameGuardが
    たまにウィルス対策ソフトとの競合を起こした、という事例が過去にあります。
    他オンラインゲームではありますが、過去にAVGやavast!、KINGSOFT等との相性で
    エラーが出た事例があるので、PSO2での運用に限定するならMSEが安定度は高いです。
    ウィルス対策としての性能は積極的に勧められるものではないのですが……
ウィルスとしてのキーロガーへの注意
本来、キーロガーとはキーボードの入力内容を記録するためのソフトウェアあるいはハードウェアを指すものですが
ウィルスとしてのキーロガーは、記録用途ではなく感染したPCでのキーボード入力を監視し、
情報を盗み出す事に利用されます。
感染したPCのキーボードでIDやパスワードなどの入力を行うと、悪意を持った第三者にIDとパスワードが
筒抜けになってしまい、推測されにくいパスワードを設定する等の対策が無意味になってしまうので、
ウィルス対策ソフトをインストールして感染を未然に防ぐようにすることが重要となります。

他社メールサービスの情報漏洩について [編集]

2013年7月にOCNで不正アクセスが確認され、OCN ID用の暗号化されたメールアドレスや
パスワードが最大約400万件、流出した可能性があります。
2013年5月にYahoo!Japanへの不正アクセスが確認され、IDが約2200万件流出し
そのうち約148万6000件は暗号化状態のパスワード・秘密の質問・質問の答えも含めて
漏洩した可能性があるとしています。

ネットカフェ利用後の注意事項 [編集]

ネットカフェなど不特定多数の人間が使用するパソコンではどんな操作が行われているかわかりません。
過去には悪意を持った利用者が上述のキーロガーを仕込み情報を盗む事件なども起きているので
ネットカフェでのゲームプレイ後はパスワードの変更を怠らないこと。
キーロガー等が入っていなくても、如何せん不特定多数が居る場所なので
「肩越しにパスワード入力している姿を見られて覚えられる」ということもあり得ます。
また、ブラウザからフリーメールサービスなどにアクセスすることがある場合はそちらのパスワードにも注意が必要。

外部リンクについての注意 [編集]

Wikiは誰にでも編集できるため情報が集まり、欠点が改善され便利になっていくものです。
しかし便利な反面、誰でも編集できるという事は悪意を持った人間に編集されると
ウィルスなどを仕込んだ外部のサイトへ誘導することも出来てしまうという事でもあります。
このWikiでは外部へのリンクに「リンク」このようなマークが付いているため
外部サイトへのリンクを迂闊にクリックしないように注意すると良いです。
特に匿名でURLだけを追記するなど意図が良く分からない編集が行われている場合は、
リンクにマウスカーソルを合わせた状態でブラウザのステータスバー(下部に表示される)に
表示されるアドレスが、怪しいものになっていないか注意を払う必要があります。
また「無料登録するだけでお金 (Web Money等) がもらえる」などといった不審な謳い文句のリンクは無視しましょう。

怪しいメールへの注意 [編集]

ゲームの運営チームを騙ったメールで、メール内のURLをクリックするよう誘導し
IDとパスワードを入力させて、情報を盗み取る手口なども存在します。 (いわゆるフィッシングサイト)
普段のメールマガジンや問い合わせメールなどとはメールアドレスや
ドメイン (メールアドレスの@マーク以降の部分) が違っていたり
機械翻訳されたような奇妙な日本語で書かれたメール等には注意が必要です。
現在のところ、株式会社セガより『PSO2』に関して送信されるメールは、プレーンテキストで送信されています。
HTML形式など、プレートテキスト以外の形式のメールはフィッシングサイトへの誘導を行うメールの
可能性があります。届いているメールの形式に注意してください。

メールで届いたURLを開くのではなく、ブラウザのブックマーク等からPSO2公式ページに
アクセスするようにするだけでフィッシングサイトの被害はかなり防げます。 (絶対ではないですが)

ソーシャルエンジニアリング [編集]

不正メールにやや似た手口で「ソーシャルエンジニアリング」というものがあります。
難しい言葉ですが、要は「技術的な手法ではなく、心理的な手法で情報を盗み出す」ことです。
手口は様々ですが、オンラインゲームでよく使われる手口としては、
GM (ゲームマスター、運営者のキャラクター) のような名称のキャラクターから
「こちらは運営です、不正アクセスの可能性があるので調査します、貴方のIDとパスワードを教えてください」等と
ウィスパーチャット (Wis) が来たりします。もちろん罠なので応じてはいけません、速やかに運営に報告を。
どんなゲームであれ、運営者がゲーム内でユーザーIDや
パスワードを聞き出すなんてことは絶対にありません。
オンライン版「オレオレ詐欺」のようなもの、と言うと通じやすいでしょうか。
他にも「IDとパスワードを入力するとそのアカウントにアイテムをプレゼントします」という
Webページが作られていた、という事例が他のオンラインゲームでありました。
言うまでも無く情報を抜き取ることが目的のサイトなのでIDやパスワードを安易に入力してはいけません。

不正なソフトウェアを使用しない [編集]

無敵化や倉庫無限、高速化といった謳い文句のソフトウェアは
ゲームの規約に違反した不正ツールなので絶対に使用しないこと。
不正ツールの中身が破壊活動などを目的としたマルウェアである場合もあります。

マルウェアとは
パソコンを遠隔操作可能な状態にしてしまうトロイの木馬、勝手に増殖してネットワークで繋がった
他のパソコンに感染するワームや、ファイルに感染したり破壊したりするコンピュータウィルス等、
悪意のある動作をするソフトウェア全般を指す用語です。マルウェアに感染すると、
感染したマルウェアの種類によってパソコン内に存在するパスワードなどの情報を盗み出す
知らないうちにウィルスをダウンロードさせられる、Windowsの起動に必要なシステムファイルを破壊されるなど
ゲームどころの話ではない状況に陥る場合もあります。
出所が怪しく信用できないファイルはダウンロードしたり実行したりしないようにしましょう。
  • オンラインゲームのユーザーを狙ったマルウェアの中には、アカウントのID・パスワードを抜き取った後、
    PC所持者が気がついてパスワードの変更等を行うのを妨害する目的でシステムの破壊を行うものが実在します。

また、不正アクセスの被害に遭わなくともこういった規約違反行為は
ゲームアカウントの永久凍結の対象となるので絶対に行ってはいけません。
これらのソフトはPSO2等、オンラインゲームのユーザーを狙い撃ちして作られており、
一般のPCユーザーには存在自体が認知されにくいため、ウィルス対策ソフトでも防ぎきれない
(ウィルス対策ソフトの開発元が存在を知らないためウィルスと認識しない)ことが少なくありません。

R M Tを利用しない・サイトにアクセスしない [編集]

R M Tとは
リアルマネートレード (Real Money Trade)のことで
ゲーム内の仮想通貨やアイテムを現実の通貨で売買する行為です。
当然のことながらR M Tはアカウント永久凍結の対象となる規約違反行為であり、
場合によっては犯罪行為に関わってしまう可能性すらあります。
R M Tを商売として行ってる「業者」が販売しているメセタは、ほとんどが不正アクセスの被害者から
盗まれたものであることが確認されています。
また、R M Tサイトにマルウェアが組み込まれているケースもあるため、R M Tを利用していなくても
そのサイトにアクセスしただけでアカウント情報を盗まれ不正アクセス被害に遭ってしまう事もあります。
そもそもR M Tサイトにお金を払ったのにゲーム内通貨が得られなかった、などという事件もあり、
信頼すべき商売とは言い難いのが現状です。
基本的にR M Tサイトはアクセスするだけで危険性があり、関わるべきではないと考えるべきです。

最後に [編集]

「これをやれば絶対大丈夫」という万能なセキュリティ対策は存在しません。
できるだけ多くの対策を組み合わせて被害を受ける可能性を下げていくことが最大の対策です。
ここに書かれていること「すべて」を今すぐに実行するのは難しい、という人も居るかもしれませんが、
できる範囲のことだけでも、すぐにはじめることが肝心です。

被害報告用テンプレート [編集]

使っていたメールサービス: (ドメイン名、サービス名、会社名など) 
ワンタイムパスの利用有無: (使っていた、使っていなかった) 
パスワードの組み合わせ方: (IDを含んだ文字列、単純な単語の使用や桁数など) 
ネットカフェでのプレイの有無: (ある、ない) 
パスワードの使い回し有無: (他と同じパスワードを使っていた、使っていない)