パス抜き対策 - Lv200から始まるメイプル散歩道

メイプルブログ「200レベルから始まる散歩道」かえで＆さくらで活動終了

プロフィール: ぼーい：シャドー/NL
盗賊斬りで11年目のメイプルでお散歩終了。今宵も素敵なめいぷるの世界で出会えたら…
<script language="javascript" type="text/javascript" src="http://counter1.fc2.com/counter.php?id=7450220"></script><noscript><img src="http://counter1.fc2.com/counter_img.php?id=7450220" /></noscript>
今は一歩ずつ、本当の散歩道を歩いています
たくさんをありがとう。

思い出のメイプルストーリー。
「Loves Forever」

月別アーカイブ

240

パス抜き対策：第12回－「ウイルス対策ソフトを入れよう」

メイプルパス抜き対策：第12回－「ウイルス対策ソフトを入れよう」パス抜きの被害に会わないためにも、できること。第12回目は“ウイルス対策ソフト”についてのお話し。前回記事もご覧ください[連載第11回]⇒メールを削除すること＜お断り＞※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。ウイルス対策ソフトを必ず入れよう！... メイプルパス抜き対策：第12回 －「ウイルス対策ソフトを入れよう」 パス抜きの被害に会わないためにも、できること。第12回目は “ウイルス対策ソフト”についてのお話し。 前回記事もご覧ください [連載第11回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-239.html" title="パス抜き対策：第11回－「メールを削除すること」">メールを削除すること</a> ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>ウイルス対策ソフトを必ず入れよう！おすすめランキング</h3> ウイルス対策ソフトとしては何を入れれば良いのか？ 私の個人的なランキングで発表しますｖ 無料ソフトについても書きますが、できれば有料版をご検討ください。 <h4>＜有料＞ウイルス対策ソフトおすすめランキング</h4> 第1位：「カスペルスキー」 <a href="http://www.kaspersky.co.jp/" title="カスペルスキー(Kaspersky)" target="_blank"><img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/virussecurity_kaspersky_top.jpg" alt="ウイルス対策セキュリティソフト、一番のオススメは「カスペルスキー」" border="0" width="450" height="340" /></a> 最近AKBが広告に出てた、おそロシアの製品。 実はここの社長、元々政府機関に対し攻撃を仕掛けていたハッカーの方です（笑） 攻撃者目線で考えられるのはやっぱり強いですね・・・。駆除率は常にトップクラス、更新も早いです。 ちなみに、メイプルはパッチを適用して起動すると毎回「疑わしいプロセスが・・・」と警告が出ます<img src="https://blog-imgs-1-origin.fc2.com/emoji/2007-07-31/141241.gif" alt="" border="0" style="border:0;" class="emoji"> ネット決済やログインなど大切な情報を入力すうる際に便利な「セーフブラウザー」や「仮想キーボード」などもインストールされるので、セキュリティを気にする人は使ってみてください。 6,000円以上するソフトを買うのは高い気はしますが、複数台・毎月で割れば2～300円のお話。 マスターキューブ1個より安いです。 社会人の方なら特に、そこはけちらないように。 <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/virussecurity_kaspersky_android.jpg" alt="カスペルスキーのアンドロイド版でウイルス対策を。" border="0" width="120" height="180" /> スマートフォンのセキュリティを気にする人は、スマホ用のセキュリティソフトをインストールしてください。カスペルスキーならAndroid版（タブレットもok）が利用できます。docomoなら公式で配布している無料のウイルススキャンアプリがあります。必ず入れてください。 “それでもスマホを信用できない！”ガラケーのセキュリティ神話を支持する方は、今後もガラケーでどうぞ。 （私もまだ場合によって使い分けてます） 第2位：「マカフィー」 <a href="http://www.mcafee.com/japan/home/" title="マカフィー(McAfee)" target="_blank"><img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/virussecurity_mcafee_top.jpg" alt="ウイルス対策セキュリティソフト、Mcafeeもかなり優秀です。" border="0" width="300" height="240" /></a> 昔からコスパが良かったセキュリティソフト。今となっては、もう少し賢いソフトもたくさん出てきていますが、まだまだ「軽快さ」とアップデーターの情報分析力がすばらしいマカフィー。 <a href="http://www.mcafee.com/japan/security/mcafee_labs/blog/" target="_blank">⇒McAfee Blog</a> ライセンス期間が切れたときのうざさはNo.1かもしれませんがｗ インストール後、ブラウザーに組み込まれるサイトフィルター機能はかなり優秀。 利用者も多く、新しいウイルスへの対応も早いので、オススメできます。 （もしパソコンを買って○ヶ月無料版が付いてくるなら、切れる頃にそのまま更新しても良いでしょう） -----【番外編】有料版の“痛い”セキュリティソフト一覧----- ■ウイルスバスター ・・・ファイアウォール機能のブロック能力が高すぎて、通信が不安定になることもしばしば。 ■Norton(Symantec) ・・・重すぎ＆必要なプロセスも自動でシャットアウトされる場合有。 ■ウイルスセキュリティzero ・・・2年前？ぐらいに攻撃されてましたね。更新料0円は魅力的でも、残念ながら駆除率低いです。 ※あくまでも個人的な感想です <h4>＜無料＞ウイルス対策ソフトおすすめランキング</h4> 親に言っても有料ソフトを買ってくれない・・・ そんな場合は無料ソフトでも良いので、必ずインストールしましょう。 第1位：Panda Cloud Antivirus <a href="http://www.ps-japan.co.jp/" target="_blank">⇒http://www.ps-japan.co.jp/</a> 駆除率・軽快さ、文句なし。スキャンの動作が遅いものの、無料にしては十分です。 広告表示が無いのもいいですね。よく同意書を読み、納得できる場合のみインストールください。 第2位：AVIRA <a href="http://www.avira.com/ja/for-home" title="AVIRA" target="_blank">⇒http://www.avira.com/ja/for-home</a> 傘のマークで有名なドイツのセキュリティソフト。 広告表示があるものの、駆除率も高くオススメです。 訳あって、常時ネットへ接続できない・・・という場合はこちらで。 「そんな訳のわからんソフトは入れん！」という頑固おじさまは 最低でも「Microsoft Essential」を入れましょう(Windows7のみ)。 <a href="http://windows.microsoft.com/ja-jp/windows/security-essentials-download" title="Microsoft Essential" target="_blank">⇒http://windows.microsoft.com/ja-jp/windows/security-essentials-download</a> マイクロソフトが無料で提供しているセキュリティソフト。あくまでも“無償版。”スキャンする時以外はあまり働いてくれない点に注意です。動作は一応速いです。 <h3>セキュリティの高いブラウザについて（インターネットをする際）</h3> あなたはインターネットをするとき、 もしかして「Internet Explorer(IE)」を使っていませんか？ <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/icon_internetexplorer6.jpg" alt="インターネットエクスプローラーのアイコン" border="0" width="100" height="100" /> （いつもダブルクリックしているこのソフト） 最新の「バージョン9」であれば、そこそこセキュリティも高いですが、 OSがWindows7以上でないとIE9はインストールできません。 最近銀行系のホームページで猛威を振るっている<a href="http://www.fourteenforty.jp/assets/files/monthly_research/MR201207_browser_treat.pdf" title="「MITB攻撃」とは？" target="_blank">「MITB攻撃」</a>にはかなり弱く、まったく気づかないうちに被害に会ってしまうかもしれません。 対策として、セキュリティソフトを入れるのはもちろんのこと、それと合わせて ↓↓ 「Google Chrome」 か 「Safari(5以上）」 というブラウザをインストールし、使うようにしましょう。 Chrome（クローム）であれば、誤ってフィッシングサイトへアクセスしようとする場合にも“赤色全画面で警告表示”されたり、疑わしいプログラムが動くサイト（ドメイン）へアクセスするURLが1行でも含まれれば、下の画像のようにページを開く前に「不正なソフトウェアを検出しました」と警告表示を出してくれます。 <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/chrome_exproitsiteout.jpg" alt="chromeの不正ソフトウェアへのアクセスアラート。ブラックリストに上げられているドメインのURLが含まれているだけでも警告を出します。" border="0" width="500" height="412" /> この画面が出ずに「危険なサイトへも普通にアクセスできてしまうブラウザ」はちょっと危ないかも。 ちなみに私はいろいろなブラウザを使っていますが、メイプルをしているときの調べ物などはほとんどをiPadで済ませています。Mac OSももちろんウイルスで狙われていますが、Windowsに比べればかなり有利。 <blockquote>個人情報を収集するグーグルがとにかく嫌い、信用できん！</blockquote> という方は、Macにしましょう。 iPhoneやiPadは使いこなせばかなり便利です。（正直Chromeには勝てませんけど） <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/ipad_home_screenshot.jpg" alt="iPadをサクサク使いこなそう" border="0" width="450" height="338" /> <hr /> 長文、失礼しました。 ここまで読んでくださりありがとうございます。 パス抜き対策記事の連載は、今回の第12回をもって一旦終了にします。 読みにくかったと思いますが、ここまでお付き合いくださりありがとうございました。 後日、第1～12回への索引になる記事（各見出しをまとめたリンク記事）だけ書こうと思っています。 パス抜きされないことを願って。 それでは彡 参考になった場合は、クリックで<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2013/04/10

239

パス抜き対策：第11回－「メールを削除すること」

メイプルパス抜き対策：第11回－「メールを削除すること」パス抜きの被害に会わないためにも、できること。第11回目は自分の“メールを定期的に削除しよう”というお話し。前回記事もご覧ください[連載第10回]⇒2段階認証ONでGmailを使う＜お断り＞※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。ID・パスワード・名前はバレバ... メイプルパス抜き対策：第11回 －「メールを削除すること」 パス抜きの被害に会わないためにも、できること。第11回目は 自分の“メールを定期的に削除しよう”というお話し。 前回記事もご覧ください [連載第10回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-238.html" title="パス抜き対策：第10回－「2段階認証ONでGmailを使う」">2段階認証ONでGmailを使う</a> ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>ID・パスワード・名前はバレバレ！？メールの怖さ</h3> 自分のメールアカウントへ、まったく知らない赤の他人が不正にログインしてきたらどうなるのでしょうか。 ≪最近流行っているパス抜きの流れ≫ （１）メールサービスを乗っ取る （２）NEXON IDへ不正ログイン(IDを知り、パスワードを推測、ワンタイムパスはなりすまして解除） （３）勝手にMaple IDを作成 （４）ポイントを抜かれて終了 <blockquote>まだパス抜きされたことないので、大丈夫だと思います。</blockquote> こんな声をよく耳にします。これまで無かった＝これからも無いと安心する人。 でもほとんどの場合、パス抜きは気づかれないよう静かに行われます。 まず、メールアカウントが乗っ取られ、盗み見られるのはあなたの大切な ID・パスワード・名前などの個人情報。 少し前まで、ネクソンのサポートを受けるためには 担当者に自分の「ID」を教える必要がありました↓↓ <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/nexonsupportmail1.png" alt="昔はサポートを受けるために、NEXON ID、Maple IDをメールする必要がありました。" border="0" width="600" height="450" /> 一見、普通の事のように見えます。 でもこのメールは「削除しないかぎり残り続ける」というのが大きな問題点。 攻撃者にとっては、こうしたメールが「必ず残っているはず」と狙いを定めやすいのです。 IDを知ればあとはパスワードを突破するだけ。名前を知ればなりすますことも可能。 <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/nexonsupport_attention_id.png" alt="ID・パスワードを他人に教えないように（メイプル豆知識）。" border="0" width="480" height="15" /> [メイプル豆知識]GMはIDやパスワードを聞き出すことはありません とも流れてるのに、サポートを受ける際は担当者にIDを教えないといけないという矛盾。 しかもそのメールは盗み見れてしまうのです（今は少し改善されています）。 ネクソンやゲームに限らず、 自分のIDやパスワード・住所・銀行口座など、あなたの大切な個人情報を記したメールは受信BOXに山のようにあるのではないでしょうか（通販サイトを利用した場合も要注意）。律儀にIDといっしょにパスワードまで送られてきたメールもあるかもしれません。 メールアカウントが乗っ取られ、NEXON IDへ不正ログインされてしまうと、 悪質な場合は「登録メールアドレスが変更」されてしまい、アカウントが事実上支配されてしまいます（友が被害にあいました）。 ↓↓ <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/nexonid_mailaddress_henkou.png" alt="NEXON IDへ登録するメールアドレスを変更する画面。" border="0" width="572" height="221" /> （登録メールアドレス変更画面。変更する際、必ず確認メールが飛んでくるのですが・・・そのメールは不正ログインした攻撃者により削除されます。あたかも何もなかったかのようにメアドもパスワードも変更されてしまうということ。後で気づいた場合、サポートへ電話問い合わせすることで奪還できますが、かなりの手間がかかります） メールアカウントに一度でも不正ログインされると、 残念ながらネクソンだけにとどまらず色々なサービスで被害に会うでしょう。 攻撃者はログインできた後、パスワードを変更せず“何の形跡も残さずに”情報だけ盗んでいきます。 「パス抜きされていない」のではなく「されたことに気付かない」ように、 今0ポイントでも、補充されたときにまんまと盗めるように・・・。 <h3>自動返信メールも・・・実は危険な落とし穴</h3> ネクソンは昔に比べ大分セキュリティが高くなっています。 でも一つ大きなミスを見つけてしまいました。。 NEXONポイントをチャージしたときに自動送信される確認メール。 そこには律儀に「NEXON ID」が明記されています↓ <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/nexonsupportmail2.png" alt="NEXONポイントチャージ完了通知メール（必ず自動送信）にはNEXON IDが律儀に明記" border="0" width="600" height="420" /> 一見、親切で安心できるように思いますが、 赤の他人が不正にログインすれば“NEXON IDを簡単に知られてしまう”ということ。 普通はこうした自動送信メールを送るか送らないかは選択できるのですが このチャージに関しては強制的に送られてくるようです↓ <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/nexonsupportmail2_settei.png" alt="NEXONポイントの使用をお知らせするメールを受け取るかどうかの設定画面。" border="0" width="572" height="221" /> 「ポイントを使用した場合」の自動送信メールのみ、送信する・しないを選べる仕様・・・。 届くメールは攻撃者にとって恰好の餌食。 使用された時にメールが届き気づいても、それはもう使われた後です。 <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/netbanksupportmail.png" alt="ある銀行の「振込み確認」自動送信メールの書式。口座情報などは一切書かれていません" border="0" width="600" height="460" /> 上の画像は、ある銀行の「振込み確認」の自動送信メール。 そこには“口座番号”や“名義”などは記されていません。 本人にとってはログインすれば分かることなので、 ログインに必要な情報もできる限り伏せたほうが安全なのです。 少し話は変わりますが・・・ 銀行やコンビニなどのATMを操作した時に出てくる“レシート” そのまま横のゴミ箱に捨てる、なんてことはしていませんか？ 最近はレシートを出すか出さないかを選べたり、***とコメ印で一部伏せられる機種が増えましたが、大抵電話番号などはそのまま印字されます。誰でも拾えるところに捨てるのではなく、ちゃんと自分で持ち帰り処分しましょう。それは大切な個人情報です。 <h3>あなたの“大切な個人情報”を削除しよう！</h3> メールは資産。あなたの大切な情報がたくさん詰まっている！ということが分かったと思います。 だからこそ狙われる、かわいそうなメールデータ。 盗まれるのなら、その前にいっそのこと・・・削除しましょう。 定期的に削除するか、自動削除のルール(Gmailフィルタなど)設定ができればいいですね。 <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/maildata_delete_all.png" alt="膨大なメールデータも削除しましょう" border="0" width="326" height="163" /> 私も消します。 さらば！青春！（何年分…） できればアカウント自体の削除も考えてください<img src="https://blog-imgs-1-origin.fc2.com/emoji/2007-05-15/100139.gif" alt="" border="0" style="border:0;" class="emoji"> <hr /> 次回は、ウイルス対策ソフトとしてはどれが使えるかを簡単にまとめ、パス抜き対策記事の連載分はとりあえず終えたいと思います。過去記事は少し見にくいので後日修正しますが、パス抜きの被害に会うまえにお読みください。 抜かれる前にできること。いつやるの？やっぱり今しかないです（苦笑） 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-240.html" title="パス抜き対策：第12回－「ウイルス対策ソフトを入れよう」">パス抜き対策：第12回－「ウイルス対策ソフトを入れよう」</a> 長文、失礼しました。 ここまで読んでくださりありがとうございます。 参考になった場合は、クリックで<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2013/04/08

238

パス抜き対策：第10回－「2段階認証ONでGmailを使う」

メイプルパス抜き対策：第10回－「2段階認証ONでGmailを使う」パス抜きの被害に会わないためにも、できること。第10回目は無料メールサービス“Gmailを2段階認証付きで使おう！”というお話し。前回記事もご覧ください[連載第9回]⇒フリーメール＆携帯メールを使わない＜お断り＞※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。... メイプルパス抜き対策：第10回 －「2段階認証ONでGmailを使う」 パス抜きの被害に会わないためにも、できること。第10回目は 無料メールサービス“Gmailを2段階認証付きで使おう！”というお話し。 前回記事もご覧ください [連載第9回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-129.html" title="パス抜き対策：第9回－「フリーメール＆携帯メールを使わない」">フリーメール＆携帯メールを使わない</a> ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>「最強のワンタイムパスワード？」Gmailの2段階認証</h3> 今年に入っても、なかなかパス抜き被害は減りませんね・・・。 NEXON IDではセキュリティを高めるため<a href="http://www.nexon.co.jp/support/security/otp-guide.aspx" target="_blank">「ワンタイムパスワード」が誰でも利用できるようになっています。</a> 安全にプレイしたい人は必ず設定しましょう！！ これで不正ログインの被害をかなり防げます。でも <blockquote>ワンタイムパスあるから、パス抜きとか絶対されないし</blockquote> そう思っていませんか？ 残念ながら、このワンタイムパスには欠陥があって・・・<img src="https://blog-imgs-1-origin.fc2.com/emoji/2007-05-15/100139.gif" alt="" border="0" style="border:0;" class="emoji"> “なりすまし”と“メールアカウントの乗っ取り”により突破されてしまいます。 つい2日前の事件⇒<a href="http://www.yomiuri.co.jp/net/news1/national/20130404-OYT1T01483.htm" target="_blank">ヤフーにも不正アクセス、情報流出は確認できず</a> 不正ログインした先にあるのはあなたの個人情報。住所も学校名もお友達リストも、ネクソンIDやパスワードももしかしたらあるかもしれません。私たちが楽しく遊んでいる今も、攻撃は続いています。パス抜きされないよう、あなたの大切なメールを守り、盗み見られない状況を作りましょう。 方法はあります。 「メールアカウントの乗っ取り」に対しては 以下から説明する「2段階認証ONのGmail」を使うことで 現状、ほぼ100％防ぐことができます。 いまのところ「最強」と言っていい“本当のワンタイムパスワード”とは・・・？ <h3>Googleから確認のため“電話がかかってくる”</h3> 「Gmail」はGoogleが提供する無料メールサービス。13歳以上なら誰でも登録OK。 もちろんGmailも不正ログインの被害に日々会っています（ニュースにはなりません） でも被害に会っているのは 「2段階認証」という 最強のワンタイムパスワードを “使ってない人たち” ちゃんと設定すれば、ほぼ100％不正にはログインできなくなります。 無料で使えるので必ず設定しましょう。 先にイメージをつかんでもらうために流れだけ書きます。 --------------------------------------- ↓まずGmailアカウントを作成してください↓ 　ユーザー名（メールアドレス）： 　パスワード： 普通はこれでログインできます。 他人のメールアドレスを知っている人なら、パスワードさえ突破すればログインできてしまう状況。 でも“2段階認証設定をON”にしていた場合、ログインに成功すると・・・ Googleから電話がかかってきます。 <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/gmail2dankaininsyou.jpg" alt="gmail2dankaininsyou.jpg" border="0" width="200" height="343" /> <blockquote>「あなたのコード番号は　710481　です」</blockquote> メイプルでは2次パスワードは自分で作り、覚えるものですが、 Gmailの2段階認証の確認コードは“ログインされたときに作られます” これを正しく入力しないと、ログイン完了になりません。 ※ログインに成功したIP（端末）、タイミング毎に、異なる確認コードが生成されます ※電話発信以外にSMS（ショートメッセージサービス）で確認コードを受け取ることもできます ※発信者番号はランダムです。公衆電話、非通知、訳の分からない変な番号、さまざま ※アナウンスされる文言、女性の声はたまに変更されます ※確認コードは数分有効。連続して確認コードを発行するには少し待つ必要があります ※Google Voiceという技術を使い、機械的に発信しています つまり・・・ 第三者が“遠隔地から不正ログイン”を試み <blockquote>やったった！！！ログイン成功！！！</blockquote> となった瞬間、本来の持ち主の携帯電話などへ電話がかかってきます。 （受け取れなくても、着信履歴・人によっては留守電に入ります） たかが6桁の数字ですが、この確認コードを突破するのはほぼ不可能。 100万分の1という確率。何度か失敗すれば、そのIPはブラックリストへ入り、理由と自分の詳しい情報をメールしてGoogleスタッフの審査をパスしなければ、攻撃者はもう2度とアクセスもできません。 もしログインされてしまったとしても、ログイン後右下にある「アカウントアクティビティ」より自分以外のログイン状態にある端末を「強制的にログアウト」させることができます（ログインしたIPも残っています）。 パソコンをもし第三者に乗っ取られ遠隔操作されたとしても、 同時に携帯電話も乗っ取る・あるいは盗聴しないと、Gmailへはログインできないということ。 ネクソンや銀行が用意しているワンタイムパスで安心してはいけません。 大切な個人情報を守るために、あなたのNPを守るために ぜひGmailで2段階認証を設定し、使いましょう。 <h3>Gmailアカウントへのログイン（新規作成）方法</h3> 次のURLからGmailへログイン（初めての方はアカウント作成）してください。 →<a href="https://www.google.com/accounts/Login?hl=ja" target="_blank">https://www.google.com/accounts/Login?hl=ja</a> ログイン（または利用開始）できたら →「アカウント」ページの左メニュー「セキュリティ」をクリック ※アカウントページが表示されない場合は、右上の自分のメールアドレスをクリック→「アカウント」をクリック。 →「2段階認証プロセス」段の「設定」ボタンをクリック →「設定を開始」ボタンをクリック ・テキストメッセージ（SMS）なら携帯電話のメアドを入力（例：○○○@docomo.ne.jp） ・音声通話なら携帯などの電話番号を入力（例：090-xxxx-xxxx） ※おすすめは「音声通話」です。携帯電話が無ければ、家の固定電話や「050+」などのスマホアプリの電話番号も指定できます。 →「コードを送信」をクリック すると・・・Googleより電話がかかってきます（もしくはショートメッセージ） <img src="https://blog-imgs-51-origin.fc2.com/m/a/p/maplestory200/gmail2dankaininsyou2.jpg" alt="Gmail2段階認証－確認コードの送信" border="0" width="450" height="233" /> →6桁数字の確認コードを入力し「確認」ボタンをクリック ※このとき、先に「音声通話」を選択人へはGoogleから電話がかかってきます →「このパソコンを信頼できるパソコンとして登録する」の“チェックを外して”「次へ」ボタンをクリック →「このパソコンを信用しない（笑）」をクリック →「確認」をクリック 再度ログイン画面になるので、正しく入力してログインしましょう。 ログインできたら、付加的な設定のページが表示されます。 （以下もご一読ください） <h4>スマートフォンの「Gmail」アプリなどでメールをやり取りしたい場合</h4> 最初だけスマートフォン端末の認証が必要です（6桁確認コードを入力） 「モバイルアプリケーション」段より設定を進めてください。 →「Android」「iPhone」などをクリックして手順に従って設定しましょう（がんばって） 公式のFAQもご覧ください。<a href="http://support.google.com/accounts/bin/answer.py?hl=ja&answer=1066447" target="_blank">Google 認証システムのインストール</a> ---------- スマートフォンを紛失してしまったら・・・？ ---------- もし端末ロックを解除されてしまったら、すでに同期（ダウンロード）したメール内容は、残念ながら誰でも見ることができます。なので、スマホ側のGmailアプリのアカウント別設定より「同期するメールの日数」をできるだけ少なくしておきましょう（2,3日とか）。 また端末紛失時は、PCよりGmailへログインし「セキュリティ」設定を開けばワンクリックで端末認証を解除できるので、なるべくはやく端末を使用停止にしましょう。そうすれば、紛失時もメールから盗み見られるデータを最小限にできます。 <h4>携帯電話を無くした時用のバックアップコードについて</h4> このバックアップコードは携帯電話を無くしたときに必要になります。必ず →「印刷用バックアップコード」段の「バックアップコードを表示」をクリック →表示された番号をメモするか印刷する できれば財布の中へ入れておきましょう。 ※このとき「Gmail2次パス!!!」のようにデカデカとは書かないように。ただ入れておくだけでOKです。 <h3>携帯電話のメールアドレスを使わない3つの理由</h3> NEXON会員情報の認証メールアドレスへ「携帯電話のメールアドレス」を登録すれば、 別に2段階認証付きGmailを使わなくても、セキュリティはかなり高くなるとは思います。 でも次の3つの理由により、あまりオススメしません。 １．携帯電話を紛失した場合 docomoなど通信キャリアによっては、紛失時に便利な「遠隔ロック」サービスが利用できます。 でも、これはあくまで“ロック”なのであって、メールデータを削除することはできません。 「○日前のメールは自動削除する」というような設定も無いので、拾った人が業者に渡せばデータは吸い出せる可能性が高いです。 ２．機種変更する場合 外部ソフトを使ってバックアップをとるか、受信メールをいちいち転送しておかないと、端末で受信できていた過去のメールデータは新しい端末へコピー＆移行はできません。機種変更してから「メールを受信」としても、今までに受信したことのあるメールは新機種では受信できないのです。 （基本的に受信してしまったら「その端末でしか見れない」と思ってください） ３．メール容量の問題 @docomo.ne.jpなど、各社携帯メアドに対して、用意されている受信BOXの容量はそれほどありません。 auなら結構容量ありますが・・・携帯メアドは長期使用・保存には向かないでしょう。 機種によっては、本体側で100件以上は自動削除される場合もあります。 Gmailなら無料で10GBまで使えますし、 大切なメールは「端末ではなく外部へ保管できる」ようになります。 海外のサーバーを嫌う人も多いですが、ちゃんと設定すれば現状最強のメールサービスです。 是非がんばって設定しましょう。 <hr /> Gmailへ登録し、NEXON会員情報のメール認証設定も新しいメアドへ切り替えれば、 次にするのは・・・メールデータの削除です。 セキュリティの高いメールサービスへ乗り換えたとしても、今までやり取りしていたデータをそのままにしていたら、いつか不正ログインされたとき泣きを見ます。次のパス抜き対策記事ではこの点を取り上げます。 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-239.html" title="パス抜き対策：第11回－「メールを削除すること」">パス抜き対策：第11回－「メールを削除すること」</a> 参考になった場合は、クリックで<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2013/04/06

129

パス抜き対策：第9回－「フリーメール＆携帯メールを使わない」

メイプルパス抜き対策：第9回－「フリーメール＆携帯メールを使わない」パス抜きの被害に会わないためにも、できること。第9回目は今すぐやってほしい”4つのパス抜き対策”の最後の1つ。中でも「認証メールアドレス設定」としてフリーメールや携帯メールを使うのは危険だということ。前回記事もご覧ください[連載第8回]⇒ワンタイムパスワード・ポイントセキュリティ＜お断り＞※ゲーム運営会社や他の企業・機関に対する批判がこの記... メイプルパス抜き対策：第9回 －「フリーメール＆携帯メールを使わない」 パス抜きの被害に会わないためにも、できること。第9回目は 今すぐやってほしい”4つのパス抜き対策”の最後の1つ。 中でも「認証メールアドレス設定」としてフリーメールや携帯メールを使うのは危険だということ。 前回記事もご覧ください [連載第8回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-121.html" title="パス抜き対策：第8回－「ワンタイムパスワード・ポイントセキュリティ」">ワンタイムパスワード・ポイントセキュリティ</a> ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>メールサービスを乗っ取られてすべてを失う。－終了のお知らせ－</h3> <a href="http://maplestory.nexon.co.jp/support/info/view.asp?no=664565&strsectionid=&strboardid=maplestorynews&p=1" title="メールサービスを「乗っ取られる」" rel="nofollow">メールサービスを「乗っ取られる」</a>とは 自分のメールアカウントへ、他人が不正にアクセスし、勝手にメールを読み書きされてしまうこと。 それは大抵、本人にまったく気づかれることなく行われます。 「NEXON ID」の会員情報へ登録しているメールアドレスの設定は大丈夫ですか？ <blockquote>大丈夫！私、フリーメールとかは使ってないから！ 携帯のメアドもときどき変えてるし！</blockquote> 本当にそうでしょうか。 あなたは大丈夫でも、攻撃者は今も日々攻撃している、ということは事実です。 今の情報はすぐに過去のものになります。学習してください。 ★「フリーメール」とは、無料のメールサービスのこと。 有名どころは ・MSN Hotmail（ホットメール）　@hotmail.co.jp、@hotmail.com ・Gmail（ジーメール）　@gmail.com ・Yahoo!メール（ヤフーメール）　@yahoo.co.jp、@yahoo.com ・infoseekメール（インフォシーク）　@infoseek.jp ・gooフリーメール（グー）　@mail.goo.ne.jp ・Exciteメール（エキサイト）　@excite.co.jp メイプルを遊んでいる人で、 上のようなメールアドレスをNEXON IDのメール設定に設定している人は非常に危険です。「無料で有名」ということは、それだけ利用者が多いということ。攻撃者が狙うのはそこです。 【最近のニュース】 2012/6/6：<a href="http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1320" target="_blank" title="650万人のLinkedInパスワード流出に関連して：ユーザーが今知っておくべきこと" rel="nofollow">650万人のLinkedInパスワード流出に関連して：ユーザーが今知っておくべきこと</a> 2012/7/12：<a href="http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1326" target="_blank" title="Yahooのデータ流出：基本的なセキュリティの必要性を再認識" rel="nofollow">「yahoo.com」「gmail」「hotmail」「aol」40万件分の個人情報流出</a> 2012/10/6：<a href="http://topics.jp.msn.com/wadai/j-cast/article.aspx?articleid=1446003" target="_blank" title="東大含む国内5大学から12万件分の個人情報流出か　ハッカー集団がネットで声明" rel="nofollow">東大含む国内5大学から12万件分の個人情報流出か　ハッカー集団がネットで声明</a> <blockquote>まぁ、前は使ってたけど「今は使っていない」メールアドレスだしね。</blockquote> 今は使っていなくても、アカウントは存在し続けています。 野放しにしているなら、その自分の甘い考えを叩きなおしましょう。 某無料メールサービス↓↓ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/freemail_inandout_ss.png" alt="今もメールが届いている、ほとんど使っていないメールアカウントも狙われています。" border="0" width="320" height="240" /> （この中に、いったいどれほどの個人情報があるのでしょう） ★「有料のメールサービス」も 100%安全とは言えません。例えばインターネットプロバイダの OCN、Softbank、bbtec、BIGLOBE、nifty、DTI、JCOM、など これらも利用者が多いために、よく攻撃されています。 有名企業だから大丈夫だと思っていませんか？ たかがメールでも、セキュリティを高めるために企業は継続的に数千万、数億円の投資を行わなければ維持できなくなってきています。マイナーな企業ほど、そんなお金は出せません。 実際に私の友にも、プロバイダのメールを利用しているのに、メールアカウントごと乗っ取られ、メイプルへも不正にログインされてしまった人がいました。 メールアドレスはどれほど大事？なのかというと、 例えばグリーのログインIDには、メールアドレスが使われています。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/greeloginscreen.png" alt="グリーのログインIDはメールアドレス。あとはパスワードを入力するだけ。" border="0" width="259" height="322" /> 最近流行っているのは、 こういうメールアドレスが丸分かりのサービスを多数利用している人のアカウント情報漏れ。 IDがメールアドレスなのです。あとはパスワードを入力するだけ。 もしかして・・・ひとつぐらい、メールサービスのパスワードと同じにしちゃった（汗）なんて人はいませんか？ 乗っ取られたら最後。 そこにあるのは、大切な個人情報どころか、友人とのやり取り、どんなサービスを利用しているのか、IDやパスワード、メモ書き、すべてを覗かれ、悪用されます。まじ終了。さようなら <h3>携帯メールアドレスを利用することの危険性</h3> 「携帯キャリアのメールアドレスなら安全だろう」と思っている方。 確かにフリーメールサービスよりは安全ですが、それでも”かなり危険性がある”ということを理解しているでしょうか。 ・<a href="http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1329" target="_blank" title="モバイル端末の紛失・盗難のリスク" rel="nofollow">モバイル端末の紛失・盗難のリスク</a> ・FOMAカード、白ロム差し替えにより、成りすましが可能 ・<a href="http://headlines.yahoo.co.jp/hl?a=20120726-00000004-inet-secu" target="_blank" title="ドコモ「sp モード」で障害、他人のメアドを閲覧/変更可能な状態に" rel="nofollow">ドコモ「sp モード」で障害、他人のメアドを閲覧/変更可能な状態に</a> ・iPhoneのMMS機能の脆弱性、au oneメールの脆弱性 ・<a href="http://sankei.jp.msn.com/affairs/news/121006/crm12100617380008-n1.htm" target="_blank" title="スマホアプリで７６万人分の個人情報流出か「全国電話帳」インストールに注意" rel="nofollow">スマホアプリで７６万人分の個人情報流出か「全国電話帳」インストールに注意</a> <blockquote>待って！変なアプリは入れてないし・・・ 暗証番号でロックしているので、きっと大丈夫です。</blockquote> と過信している方。 「Skype」「LINE」は利用していませんか？ LINEは簡単に成りすましが可能、Skypeは・・・言わないでおきましょう。 そしてどんな認証もデータが端末にある限り、ロックは解除できます。 世界的にはSMS（ショートメッセージサービス）を利用したスマートフォン向けのウイルスが流行っています。不在着信をお知らせしてくれたりするあれですね。電話番号に見たてた数字が並んでいるリンクをクリックすると、以後、表には見えない形で好きなときに自由に遠隔操作されてしまいます（トロイの木馬）。 （探偵業界で出回ってるツールもありますね） むしろ・・・ 「迷惑メール」 あなたの手元にも届いたことはありませんか？ 例えばこんなメール↓↓ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/mobilephone_spammail_sample2.jpg" alt="mobilephone_spammail_sample2.jpg" border="0" width="150" height="251" style="float:left; margin: 20px;" /> 少し前に流行ったAKB関連のこんなのとか。 ついついクリックしてしまう人も多かったのでは？ （ちなみに私の推しメンはマリコ様じゃないですw） 本文に「返信してね♪」ということでメールアドレスが載せられていますが、返信したりURLをクリックするような、あほ丸出しな人はおいといて、 実はメールを開いただけで 「メールを開いた」 ということが分かる仕組みになっています。 つまりこの画面を見ている時点で、メールアドレスが相手にばれています。 知っていましたか？ だからこそ「注意を引けそうな題名」でメールは送られてくるのです。 info@mbga.jp（モバゲー）やmixi、yahooからのメール？と思わせるような、偽装した迷惑メールも開いてはいけません。受信トレイからそのまま削除してください。 そういえば、こんな事件もありましたね。 2012/7/1：<a href="http://sankei.jp.msn.com/affairs/news/120701/crm12070108540001-n1.htm" target="_blank" title="3年間、ソフトバンク携帯契約者の情報を売却していた男" rel="nofollow">3年間、ソフトバンク携帯契約者の情報を売却していた男</a> 2012/07/31：<a href="http://www.jiji.com/jc/zc?k=201207/2012073100621&g=soc" target="_blank" title="探偵装い情報販売か＝ドコモ漏えいで元派遣社員－愛知県警" rel="nofollow">探偵装い情報販売か＝ドコモ漏えいで元派遣社員－愛知県警</a> 「メールアドレスがばれた」ということは 後はパスワード（モバイル端末ならU-ID）を取得または突破すればメールアカウントを乗っ取れます。 もちろん、携帯キャリアはそうされないよう、巨額の投資を行っています。 でも中には”仕様上の欠陥があるもの”や、実際には”他サービスに頼っているもの”があります。 携帯電話は一番身近でとても便利なツール。 だからこそ狙われています。 では、どのメールサービスを使えば良いのか？ ごめんなさい。それより先にご紹介しておきたいことがあります。 <h3 style="clear:both;">実際にメールサービスを乗っ取られ、NPを抜かれる流れ（悪用厳禁）</h3> 「ワンタイムパスワード」も設定していたのに、ネクソンポイントが抜き取られてしまった方。または、メールアドレスが書き換えられていたり、パスワードが勝手に変更、知らないメイプルIDが作られていた方。 最近はやりのパス抜き方法は 「メールサービスを乗っ取った」パス抜きです。 例えばこんなシーン。 <blockquote style="text-align:center;"> あああああ；； 今誰かが勝手にメイプルログインしてる＞＜ 会員情報を変えようにもパスワードが違うって言われる＞＜ わたしどうしたらいい？？ ・・・。 翌日、サポートに対応してもらい、なんとかIDが帰ってくる。 あれ？メールアドレスは変えられてないじゃん。。。 パスワード変更のお知らせとか、不正に操作されたときの通知メール 一切届いてないみたいだけど？どうやってパスワード変えたの？ ・・・。</blockquote> <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/ms_char_sittinganime.gif" alt="ms_char_sittinganime.gif" border="0" width="80" height="70" /> 実際に私の友も、そんな形でパス抜き被害に会いました。 最近は、パスワード一つ変更するにも、<a href="http://www.nexon.co.jp/jp/content/safety/plan04.aspx" target="_blank" title="ネクソンのメール認証システム" rel="nofollow">ネクソンのメール認証システム</a>が働き、すぐ完了できません。 つまり、メールを開けない外部の人は、パス一つ変更すらできない。 でもね、犯人は”メールサービスを乗っ取っている”のです。 「認証メールが届いていなかった」のではなく、「犯人により削除された」ということ。 パス抜き犯がとる具体的な流れはこんな感じ。 （絶対に悪用は厳禁。国内なら間違いなく逮捕されます。） <div style="padding:20px;text-align:center;background-color:#44444;border: 2px solid #22222;">(1)ネット上に漏れているメールアドレスと推測できるパスワードで不正にアクセス （hogehoge@hotmail.co.jp + wintersnow1222） 　　↓ (2)プロフィールかメール内容より氏名・生年月日・趣向を取得 　　↓ (3)登録利用しているサービスをすべて洗い出す（過去のメールより） 　　↓ (4)@nexon.co.jp からのメールがあるかどうか ※ここで、古いプレイヤーなら、過去のやりとりよりNEXON ID、Maple IDもばれることがある） 　　↓ (5)ネクソンサイトやメイプルゲームクライアントより不正ログイン試行 　　↓ (6)ログインできず、ワンタイムパスワードが掛けられていたら解除を試みる ※もう本名がばれています。ということは・・・。 　　↓ (7)ログイン後、パスワード変更を試みる 　　↓ (8)認証メールが届いたら、認証を済ませ、メール自体は削除する 　　↓ ここから、ネクソンポイントを抜き取る作業に入ります。 やり方は2通り。 （その１） 不正ログインに成功したメイプルIDからそのままログインしMTS経由で抜く （その２） 適当なメイプルIDを新規登録し、親になるNEXON IDを今回ハッキングできたアカウントへ設定し登録。あとはそのメイプルIDでログインし、MTSまたはPショップ経由で抜く ※新規でメイプルIDを作るのは、後日またログインし悪取引に利用するため 　　↓ (9)他のネットサービスもお金になるものから同様に試していく ※銀行、ネットバンキング、クレジット、有料サービス～ 　　↓ (10)送信履歴や友達リストから他のメールアドレスを取得する 　　↓ (11)個人情報を売りさばく</div> 詳しくは書きませんが、個人情報はお金です。 メールアドレスなら7～10円が相場と言われています。 もっと大切な個人情報は・・・もちろんもっと高値で売却されるでしょうね。 （賢い犯人は、メールサービスのパスワードは変更しません。気づかれないためです） どうでしょうか。 これが、ワンタイムパスを設定していても、不正アクセスされてしまう実態です。 （そうこうしているうちに、今また新しいパス抜き方法が試されているでしょう） ワンタイムパスワードも、無くしてしまう可能性がある以上、解除する手段はあるのです。 <hr /> フリーメールもダメ、携帯メールもダメ、 じゃぁ、どのメールサービスを利用するのが良いの？？ いつものことですが・・・ ちょっと記事が長くなりすぎたので、それは次回書きます。 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-238.html" title="パス抜き対策：第10回－「2段階認証ONでGmailを使う」">パス抜き対策：第10回－「2段階認証ONでGmailを使う」</a> 参考になった場合は 下の画像をクリックよろしくです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2012/10/17

121

パス抜き対策：第8回－「ワンタイムパスワード・ポイントセキュリティ」

メイプルパス抜き対策：第8回－「ワンタイムパスワード・ポイントセキュリティ」パス抜きの被害に会わないためにも、できること。第8回目は今すぐやってほしい”4つのパス抜き対策。”その3つ目・・・「ワンタイムパスワード」と「ポイントセキュリティ」について。前回記事では「どうすれば沢山のパスワードを覚えられる？」という疑問に答えました。暗記するのではなく”付け方のルールを覚える”という提案。[連載第7回]⇒パスワード... メイプルパス抜き対策：第8回 －「ワンタイムパスワード・ポイントセキュリティ」 パス抜きの被害に会わないためにも、できること。第8回目は 今すぐやってほしい”4つのパス抜き対策。” その3つ目・・・「ワンタイムパスワード」と「ポイントセキュリティ」について。 前回記事では 「どうすれば沢山のパスワードを覚えられる？」という疑問に答えました。 暗記するのではなく”付け方のルールを覚える”という提案。 [連載第7回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-97.html" title="パス抜き対策：第7回－「パスワードの作り方＜応用編＞」">パスワードの作り方＜応用編＞</a>　←まだ見てない人は先にどうぞ ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>設定するだけでセキュリティは10倍になる！？「ワンタイムパスワード」</h3> ネクソンIDをパス抜きされないために、 最も重要で最も効果的と思われる対策法が、この「ワンタイムパスワード設定」です。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/nexon_onetimepasswordinput.png" alt="ネクソンワンタイムパスワード入力画面" border="0" width="645" height="382" /> （これがワンタイムパスワードの入力画面。） ネクソンで使えるワンタイムパスワードとは、簡単に言うと 「30秒毎に自動生成される6桁のパスワードのこと。」 頭で覚えたり、メモで貼り付けたりできないパスワードです。 つまり、30秒しか使えない＆使い捨てで高性能なカギ”のこと。 日本の銀行系企業も 今どんどんワンタイムパスワードを導入してきています（やっと）。 なぜ採用されるのか？それはセキュリティを一気に高められるからです。必ず設定しましょう。 <a href="http://www.nexon.co.jp/jp/Regist/pass03.aspx" target="_blank" title="ワンタイムパスワード" rel="nofollow">⇒ワンタイムパスワード（※設定手順はこちら）</a> <div style="width: 45%; float:left; padding:10px 5px 90px; text-align:center;">【携帯電話やスマートフォンをお持ちの方】 上の説明ページより、アプリを無料でダウンロードしましょう。初期設定は上の説明ページを参考に。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/SecureOTP_onetimepassword.jpg" alt="ワンタイムパスワードのSecureOTPforAndroidアプリ" border="0" width="215" height="340" /> （Androidアプリはこんな画面。必ずバーの右の「更新ボタン」を押して使いましょう） </div><div style="width: 45%; float:left; padding:10px 5px 90px; text-align:center;">【携帯電話をお持ちでない方】 「セキュリティトークン」という小さなキーホルダー型のワンタイムパスワードが売られています。 Amazonなどで買いましょう。 <iframe src="http://rcm-jp.amazon.co.jp/e/cm?lt1=_blank&bc1=FFFFFF&IS1=1&bg1=FFFFFF&fc1=000000&lc1=0000FF&t=maplebboy-22&o=9&p=8&l=as1&m=amazon&f=ifr&ref=qf_sp_asin_til&asins=B004HIMDBU" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe> 1,280円 高く感じますがサクチケとペットの水代ぐらいです。 それで守れるものはとても大きい・・・。 課金するより先にやるべきこと。 お小遣い使ってでも買いましょう。 </div> <div style="clear:both;"></div> とは言うものの <blockquote>ははｗｗ そんなの設定しなくても余裕でしょ^^v</blockquote> と心の中で思っていた方、そんなの今まで知らなかった方。 あなたは、ちゃんと設定している人より10倍以上危険な状態にあります。これは決して言い過ぎではありません。 なぜなら、<a href="http://company.nexon.co.jp/introduction/safety.aspx" target="_blank" title="ネクソン：安心のための取り組み" rel="nofollow">ネクソンがワンタイムパスワードを採用したのはもう2年も前のこと。</a> <img src="https://blog-imgs-1-origin.fc2.com/emoji/2010-12-14/576312.gif" alt="" border="0" style="border:0;" class="emoji"> ＞ 2年間も学習していないのはお前か（笑） なんて攻撃者は思っているでしょうね。 次の記事で詳しく書きますが、残念ながらワンタイムパスワードを突破する方法はあります。一部の銀行は普通に被害に会っています。しかし、そうだとしても設定するとしないとでは雲泥の差なのです。 <h3>どのネクソンIDまでワンタイムパスワードで守るべきか</h3> 言うまでもなく、すべてです。 長年メイプルを遊んでいる人は特に、ネクソンIDを複数持ってる人が多いのでは？ 会員情報として「個人情報」という個人情報を登録している人は少ないのかもしれませんが、中でも一番大切な個人情報は・・・実はメールアドレスです。 <blockquote><img src="https://blog-imgs-1-origin.fc2.com/emoji/2010-12-14/576312.gif" alt="" border="0" style="border:0;" class="emoji"> ＞ 捨てのメアドとかではなく、メインのネクソンIDでも使っているメールアドレスを使って、全ネクソンIDへ登録しているだろうな。例えハッキングできたのが捨てIDの方だったとしても、それで<a href="http://maplestory200.blog122.fc2.com/blog-entry-85.html" title="パス抜き対策：第4回－「2次パスワード、すべてのIDへ！」">メインで利用しているIDへかなり近づけるはず。</a>むしろメールサービスの方をパス抜きできればOKか。メールサービスには大抵、ワンタイムパスワードなんてものは存在すらしない。</blockquote> ネクソンIDのパスワードと、メールサービスのパスワードが同じという方。 そんなことをしている人はものの数分でメールサービスも乗っ取られてしまうでしょう。そして、そこにあるのはもっとクリティカルな個人情報・・・。 やはり登録してあるすべてのネクソンIDへ、ワンタイムパスワードをかけておくべきです。 <h3>IDを乗っ取られた場合、何をされるのか。</h3> 経験談を聞くと・・・攻撃者が真っ先にやるのは実は「氏名の変更」です。 本来の持ち主が被害に気づき、急いでサポートへ電話するとしても、本人確認のため本名が必要になります。 攻撃者は”誰にも邪魔されることなく操作を進めるために”まず氏名を上書きしてきます（氏名が違えば、サポートは受け付けてくれません＞＜これが盲点）。 無料ゲームという特性上、あなたも名前なんて適当に付けていたりしませんか？メリットもありますが・・・ 2012年8月1日以降、会員情報として氏名は必ず本名を登録するよう、ネクソンも注意するようになりました。 ⇒<a href="http://www.nexon.co.jp/JP/Content/Support/Notice.aspx?no=123931&pg=9&scat=0&kw=" target="_blank" title="【重要】NEXON IDにご登録いただいている会員情報のご確認のお願い" rel="nofollow">【重要】NEXON IDにご登録いただいている会員情報のご確認のお願い</a>←ちゃんと読みましたか？ 今はメール認証があるため、攻撃者が氏名を変更することは難しくなりましたが、ログインさえ出来れば、今の登録情報はほぼ見ることができます。登録されいている氏名もバレバレです。あとは本人になりすますだけ・・・ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/nexonid_shimeikakutei.png" alt="ネクソンIDの氏名確定（本名問い合わせ）" border="0" width="820" height="515" /> 相手はプロです。 どんなIDでも、乗っ取られたら最後なのです。 <blockquote>ちょっとまって・・・ コイン取得のためにいっぱい作ったIDがあるんだけど・・・ それだけさっきのセキュリティトークンを買わないといけないの？？</blockquote> 大変ですね・・・でも大丈夫。 一つの端末で複数のネクソンIDへワンタイムパスを設定することはできます。 ワンタイムパスワードFAQ ⇒<a href="http://www.nexon.co.jp/JP/Content/Support/Faq.aspx?no=113566" target="_blank" title="「複数のNEXON IDに登録することはできますか？」" rel="nofollow">「複数のNEXON IDに登録することはできますか？」</a> 1つのIDがもしばれたらすべてのワンタイムが突破されるんじゃ・・・という心配も不要です。これがワンタイムパスの強いところ。機器を落とさない限り、また落としたとしても・・・ひもづくID名や通常パスがばれない限り、拾った人は何のワンタイムなのかが分かりません。使い道が無いのです（これもまた盲点なのですが・・・）。 ですから 「すべてのネクソンIDへ ワンタイムパスワードを設定しましょう！」 ※ネクソンが言う”自己責任”とはこういうことです。理解して行動に移しましょう。 <h3>「ポイントセキュリティ」設定でMTSへも入場不可へ！！</h3> パス抜きされた際のネクソンポイントの抜かれ方は、今までの記事で書いたとおり ”MTS経由で抜かれる”パターンがほとんどでしょう。 それは近年あまりにも被害者が増えてきたので・・・ ネクソンは2012年2月12日ついにMTSへの入場制限（設定）を設けました。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestory_notrade.png" alt="no trade" border="0" width="110" height="70" /> ⇒<a href="http://maplestory.nexon.co.jp/support/info/view.asp?no=673621" target="_blank" title="[更新] MTS入場設定追加のお知らせ" rel="nofollow">[更新] MTS入場設定追加のお知らせ</a> 設定しないとMTSに入場すらできなくなったので、すでに設定した方は多いはず。 これを逆に言うと、入場すらできないなら、抜かれることはほぼ無い、ということ。 許可するにはネクソンIDでログインし「メイプルストーリー」と「MTS」にチェックを入れるだけ。 でも、そうする前に考えてほしいのは 「本当にそのIDでMTSへ入場する必要があるのかどうか」 例えば「メインIDだが、MTSで装備やアイテムを購入するのは・・・年に数える程度しかない」とかなら、メインIDにはMTS入場すら許可しない方が良いでしょう。必要になったときだけONにすれば良いのです。ON/OFFを切り替えるにもメール認証が必要なので攻撃者はそう簡単には操作できません。 普段あまり取引しないのなら、MTSへは捨てIDで見に行けるだけで十分。 同じように、特に必要が無いのなら「メイプルストーリー」でポイント使用もできないよう設定しておきましょう（初期設定は「不可」）。 ポイントアイテムの購入も「メインIDへポイント補充して購入」する利用方法ではなく、できる限りサブIDからアイテム贈呈にて購入（送る）というのも手です。 <blockquote>いやいや、もともと課金しなければいいじゃん！</blockquote> というのもいい方法ですね。ただその場合でも、一度でも設定で許可してしまっていたら、以後課金しなくてもいつまでも許可のまま。詐欺や悪取引に利用されたとしても文句は言えない。それを許可してしまっています。 今一度自分の設定は、すべてのネクソンIDの設定はどうか、確認しましょう。 <a href="http://www.nexon.co.jp/JP/Regist/pointsecurity.aspx" target="_blank" title="NEXONポイントセキュリティ" rel="nofollow">⇒NEXONポイントセキュリティ</a> 以上です。 ・・・。 どうでしょうか。 ネクソンは実はなかなか多くのセキュリティ対策・サービスを提供してくれています。 大事なのは私たちが「気づくか」そして「それを活用するかどうか。」 しかし残念ながら・・・ ある特殊な状況下では ワンタイムパスワードを設定していたとしても、 ネクソンIDを乗っ取ることは可能です。 友も被害に会いました<img src="https://blog-imgs-1-origin.fc2.com/emoji/2007-05-15/100139.gif" alt="" border="0" style="border:0;" class="emoji"> それは次回の連載記事で詳しく書きます。 まさに盲点とも言える攻撃方法・・・。 ぜひ身構えるだけじゃなく「できることをして」 それから楽しく遊びましょう。 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-129.html" title="パス抜き対策：第9回－「フリーメール＆携帯メールを使わない」">パス抜き対策：第9回－「フリーメール＆携帯メールを使わない」</a> 参考になった場合は 下の画像をクリックよろしくです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2012/10/05

パス抜き対策：第7回－「パスワードの作り方＜応用編＞」

メイプルパス抜き対策記事（ネクソン）パス抜きの被害に会わないためにも、できること。第7回目は今すぐやってほしい”4つのパス抜き対策”その2つ目の、”パスワード設定(2/2)”「パスワードの作り方＜応用編＞」と題して書きます。前回記事ではパスワードの作り方の簡単な提案をしました。[連載第6回]⇒パスワードの作り方＜基本編＞（こちらをまだ見ていない方は先にご覧ください。）今回は、パスワード設定が必要なサービス全般で用... メイプルパス抜き対策記事（ネクソン） パス抜きの被害に会わないためにも、できること。第7回目は 今すぐやってほしい”4つのパス抜き対策” その2つ目の、”パスワード設定(2/2)” 「パスワードの作り方＜応用編＞」 と題して書きます。 前回記事ではパスワードの作り方の簡単な提案をしました。 [連載第6回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-96.html" title="パスワードの作り方＜基本編＞">パスワードの作り方＜基本編＞</a>（こちらをまだ見ていない方は先にご覧ください。） 今回は、パスワード設定が必要なサービス全般で用いることができる、パスワードの考え方・提案をします。 あくまでも提案ですが、 今後人生を歩んでいく上でも役立つと思うので、記憶の片隅にでも置いておいてもらえるなら嬉しいです。 ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>同じパスワードは2度と＆別のサービスでも使ってはダメ！！</h3> ネクソンも以下のように注意を促しています。 <blockquote> <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/nexon_anshinpasswordsettei2.png" alt="あなたのパスワードは丈夫な鍵ですか？" border="0" width="260" height="255" /> 【パスワード変更における注意事項】 ①他社サービスで使用しているパスワードの使い回しはやめて下さい。 ②定期的に変更して下さい。 ③パスワード変更後は、以前のパスワードに戻さず、新しいパスワードに設定して下さい。 ... </blockquote> 使いまわしの禁止！定期的な変更！2度と使わない！・・・言うのは簡単ですが結構大変です。 でも確実に言えるのは、 パスワードの「使いまわし」は絶対にやめてください。 これについてはまた後に続く連載記事で取り上げますが、パスワードの使い回しによるパス抜き被害は思った以上に年々増加しています。第1回目のパス抜き対策記事で、最近起こった大手企業の個人情報流出事件をいくつか取り上げました。個人情報の流出＝パスワードも漏れています。難しいパスワードをせっかく設定しても、第三者の手に渡ってしまったら最後なのです。 みなさんも色々なサービスを利用し、 沢山のパスワード設定をこれまでにしてきたのではないでしょうか。 そしてこれからも「またパスワード設定・・・？」<img src="https://blog-imgs-1-origin.fc2.com/emoji/2009-11-19/461592.gif" alt="" border="0" style="border:0;" class="emoji"> という状況に直面するでしょう。 数が増えると管理しづらいし、時には忘れることも？ この記事では「パスワードを体系的に考える」これをポイントに書き進めます。 パスワードは1つ1つを無理やり覚えるのではなく「ルールを覚えるということ。」これが理解できればOKです。 <h3>利用中のサービスとその重要度を書き出し、分類する</h3> 次の手順通りにすすめてください。 ↓↓ （１）現在利用中のサービス・アカウントをすべて書き出す （メール、ツイッター、フェイスブック、ネクソンID、メイプルID、モバゲー、クレジットカード認証、Yahoo!ID、FC2ID、とにかく思いつくもの”すべて”を書き出してください。） （２）「誰かには見られたくない順番」に上から並べる （案外”メールアカウント”とかはそんなに重要ではない、と思われる方が多いかもしれませんが、重要度はかなり高いです。最近は何でもメール認証が必要なので、乗っ取られたら最後と思いましょう。） （３）さらにグループ分けし主従関係（上下関係）決める （４）パスワードのジャンル（分類）をそれぞれに決める 例えば・・・ こんな感じに弱肉強食関係を考えてやると整理しやすいかもです↓↓ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/accountlings_importantlevel.png" alt="利用しているすべてのサービスの主従関係を考え、弱肉強食化する（パス抜きされた場合に被害が大きい順）" border="0" width="700" height="720" /> それぞれのサービスに 自分が覚えやすい「パスワードのジャンル」を自由に選びましょう。 例えば上の画像の例では、メールアカウントには「人の名前」を選びました。メイプルIDに選んだのは「花の名前。」できるだけ沢山種類があるジャンルの方が良いですが、覚えやすいものがベストです。 アニメ好きの方なら「アニメのタイトル」とかでもいいですねｗ「車の種類」とかでも良いです。 <h3>分類が決まったら、それぞれにパスワードを付けていく</h3> 分類が決まったら、最後にそれぞれに対してパスワードを付けていきます。 例えばこんな感じに。頭でイメージしながら付けましょう↓↓ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/passwordlevel-groupechoice.png" alt="パスワードを分類に沿って付けていく" border="0" width="450" height="350" /> 上の画像一番左上の「kinokonoko」とかちょっとネタですが、「人の名前」といってもかなり自由に、例えば <blockquote>sakamotoryouma / yamadahanako / MichaelJackson</blockquote> とか、短すぎなければ何でもいいです。 動物の名前・・・花の名前・・・とか、ものすごい種類がありますね。英単語を覚える目的で、英スペルで決めてもいいですし、日本語読みのローマ字で考えてもOKです。 さて、ここまでで決めた英単語・ローマ字の文字列を 前回記事で書いた「パスワードの作り方」で必要だった 「ベースになる単語」としてあてはめ、 パスワードを作れば良いのです。 例えば、メイプルIDのパスワードを「花の名前」にすると決め、今回は「ピンクビオラ」とするなら Pi&nkVio2la こんな感じでOK。 少し経って 次回パスワード変更する際には別の花の名前を探しましょう。例えば「ローズマリー」とするなら Ros0e?m?ary こんな感じでOKです。 最初はパスワードを付ける「分類」を覚えるのが大変でしょうが・・・<img src="https://blog-imgs-1-origin.fc2.com/emoji/2009-10-13/446181.gif" alt="" border="0" style="border:0;" class="emoji"> 次第に「メイプルIDは花の名前！」というのが身に付くはずです。パスワードを忘れたときに「前のパスワード」を聞いてくるサービスもあるので、パスワード付けのルールさえ覚えておけば、ごく簡単に思い出せるでしょう。 ※サービスによっては記号不可とされている場合があります。数字かアルファベット大文字などで代用しましょう。 ハッキングを試みる攻撃者にとっては パスワード変更後に毎回ハッキングに成功しないと、「花の名前」で付けいてるというこのルールすら分かりませんし、分かったとしても花の種類は膨大にあり、また間に挿入する数字や記号のパターンは無限大にあります。 さらに「Ros0e?m?ary」が花の名前！というのは機械には分かりません。 どうでしょうか。 このように利用しているサービス・アカウントを体系的に考え、 パスワードをそれぞれに異なるものを設定してください。 別サービスで同じパスワードの使いまわしは絶対ダメ！またメモをPC画面に貼ったり財布に入れたりもやめてください。 ぜひ皆さんが賢く、安全にゲームもリアルも楽しまれることを願っています。 次回連載は、 今すぐやってほしい”4つのパス抜き対策”の3つ目を紹介したいと思います。 公開は少し先になるかもしれませんが、よろしくどうぞ。 ※色々な方が見ています。コメントする際は慎重に。 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-121.html" title="パス抜き対策：第8回－「ワンタイムパスワード・ポイントセキュリティ」">パス抜き対策：第8回－「ワンタイムパスワード・ポイントセキュリティ」</a> 参考になった場合は 下の画像をクリックよろしくです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji"> あ、それと なんだか色々と騒がれてるみたいですが・・・続きで返信します。

2012/08/15

パス抜き対策：第6回－「パスワードの作り方＜基本編＞」

メイプルパス抜き対策記事（ネクソン）パス抜きの被害に会わないためにも、できること。第6回目は今すぐやってほしい”4つのパス抜き対策”その2つ目の、”パスワード設定(1/2)”「パスワードの作り方＜基本編＞」と題して書きます。前回記事までで、2次パスワード設定の重要性を説明することができました。[連載第5回]⇒2次パスワード、脆弱性とその対策（こちらをまだ見ていない方は先にご覧ください。）今回、そして次の記事では、通... メイプルパス抜き対策記事（ネクソン） パス抜きの被害に会わないためにも、できること。第6回目は 今すぐやってほしい”4つのパス抜き対策” その2つ目の、”パスワード設定(1/2)” 「パスワードの作り方＜基本編＞」 と題して書きます。 前回記事までで、2次パスワード設定の重要性を説明することができました。 [連載第5回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-91.html" title="2次パスワード、脆弱性とその対策">2次パスワード、脆弱性とその対策</a>（こちらをまだ見ていない方は先にご覧ください。） 今回、そして次の記事では、 通常のパスワード設定について、特にパスワードの作り方見本を取り上げます。 ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>パスワード設定＜まえがき＞</h3> みなさんはどんなパスワードを設定していますか？ ちなみに、ネクソンが公式に発表しているパスワードの付け方・注意点は以下です。 <blockquote> <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/nexon_anshinpasswordsettei.png" alt="パスワード設定って・・・？" border="0" width="260" height="255" /> ★１【パスワード変更における注意事項】 ①他のインターネットサービスで使用されているアカウントID・パスワードと同じ組み合わせは使用しないで下さい。 ②変更の際は、下記のようにパスワードの設定をお願いいたします。 　　1）6文字以上20文字以下で設定して下さい。 　　2）半角でアルファベット（大文字・小文字）と数字を混ぜて設定して下さい。 　　　※アルファベットの大文字と小文字は区別されますのでご注意下さい。 　　3）NEXON IDに含まれる文字列や数字のみのパスワードは使用しないで下さい。 ③パスワード変更後は、以前のパスワードに戻さず、新しいパスワードに設定して下さい。 ④ご自分の名前、生年月日、ニックネーム、キャラ名、辞書に出てくる単語は使用せず、 　　なるべく意味を持たない英字・数字の羅列でパスワードを設定して下さい。 　　URL：http://www.nexon.co.jp/jp/content/safety/plan03.aspx 　　⇒<a href="http://www.nexon.co.jp/jp/content/safety/plan03.aspx" target="_blank" title="パスワードの設定｜ネクソンあんしんスクール" rel="nofollow">パスワードの設定｜ネクソンあんしんスクールより</a> ★２【パスワードの管理における注意事項】 ①他社サービスで使用しているパスワードの使い回しはやめて下さい。 ②定期的に変更して下さい。 ③紙やコンピュータに記録として残さないで下さい。 ④NEXON IDやキャラクターIDは自分以外の人と一緒に使用しないで下さい。 ⑤第三者に聞かれても、教えないで下さい。 ⑥パスワードの入力を第三者に見られないようにご注意下さい。 URL：http://www.nexon.co.jp/jp/content/safety/rule04.aspx ⇒<a href="http://www.nexon.co.jp/jp/content/safety/rule04.aspx" target="_blank" title="ID/パスワードの管理方法｜ネクソンあんしんスクール" rel="nofollow">ID/パスワードの管理方法｜ネクソンあんしんスクールより</a> </blockquote> なんだかややこしいですね。 でもとりあえず全部読んで、守りましょう。全部を解説する必要も無く、書いてある通りです。 この記事では特にパスワードの作り方を重点的に説明しますので、 上の注意事項で取り上げられている特に2点のみに注目して、以下解説しますね。 <h3>セキュリティの高いパスワードの作り方「覚えるのは2つだけ！」</h3> ネクソンあんしんスクールのパスワード設定ページで示されている「見破られにくいパスワード設定の4か条。」特に大事なのは次の2点です。自分のパスワードは大丈夫そうか確認してください。 英字と数字を混ぜる。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestory_makingpassword1.png" alt="ポイント１：英字と数字を混ぜる。" border="0" width="416" height="133" /> > 数字のみとか英字のみでした・・・ <img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-05-27/261133.gif" alt="" border="0" style="border:0;" class="emoji"> ていうパスワードなら、これを期に変えましょう。 自分の名前、生年月日、ニックネーム、キャラ名、辞書に出てくる単語を含めない。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestory_makingpassword2.png" alt="ポイント２：自分の名前、生年月日、ニックネーム、キャラ名、辞書に出てくる単語を含めない。" border="0" width="416" height="136" /> > 簡単な英単語だけでしたっ <img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-05-27/261133.gif" alt="" border="0" style="border:0;" class="emoji"> ていうのもダメです。覚えやすくてもそれは危険極まりない。 <blockquote>えー；；「辞書に出てくる単語を含めない」とか可能なの～？ あんまり難しくしたら覚えられないよ＞＜</blockquote> 確かにパスワードを忘れてしまったら元も子も無いですね。 皆さんに覚えてほしいポイントとは別のことで、次の2つです。 「覚えやすい単語を選ぶこと」 「2～3つの数字か記号を覚えておくこと」 次のパスワードを見てください。 これくらいなら覚えられますか？ Mapl8esto4ry 覚えやすい単語＝Maplestory 2～3つの数字か記号＝8 , 4 （１）まず覚えやすい単語を選びましょう。 （２）数字か記号を使って単語としては読めないよう間へ挟み(単語をブツ切りにするイメージ)合体させましょう。 簡単ですね？実際にキーボード入力を試してみてください。案外すんなりと入力できませんか？ ベースになる単語はすぐに打ち込めるし、間にはさむ数字か記号も忘れないでしょう。 もし「あれどこだったかな？」と忘れてしまうのは、きっと数字か記号を挟む位置のはず。 これだけでも見破られにくいパスワード設定の4か条に書かれていた2つのポイントはクリアです。ベースとなる単語・文字列はどんなものでも、単語としては読めないようブツ切りにしてしまえばセキュリティの高いパスワードへ早代わり。（脳では予測機能が自動的に働くので、ブツ切りにしたとしても単語として読めます。これが機械との差） ちなみに・・・ 上の「Mapl8esto4ry」のパスワードを、例の総当り攻撃でハッキングし突破するのにかかる時間は 英小文字26＋英大文字26＋記号約20が1桁の可能性パターンとして計算すると 72の10乗≒3.74390624×10の18乗≒3,743京9062兆・・・・通り という、とても天文学的な数値になり、 1万台のPCから24時間フル稼働で不正ログインを試みたとしても、パスワードの解析には 約2,374,369年 という、 考えるだけでも馬鹿になりそうなくらいの時間がかかってしまいます。（※あくまでも単純計算上です） もちろん、 Maple8story4 こんなパスワード設定は論外ですよ？ （下手すると数日とかからずに突破されるレベル） ネクソンが言いたい「英字と数字を混ぜる。」というのはこういうことではないのです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-06-13/266780.gif" alt="" border="0" style="border:0;" class="emoji"> ぜひ”ベースとなる単語＋ブツ切りにする数字か記号を覚えて”パスワード設定してみてください。 <h3>セキュリティの高いパスワードの作り方「推測しにくいものへ簡単に切り替える」</h3> パスワードは 「定期的に変更して下さい。」 と注意されています。面倒ですが・・・皆さんも変更していますか？ ただし、どうせ変更するなら、 攻撃者にには推測されにくいパスワードへ変えましょう。 <blockquote>覚えやすいように akirakira から akirakira2 へ変えたよ！</blockquote> という感じに、安易なパスワード変更をしていませんか？ これではいつか不正ログインされても、自分の責任です。 先ほどのパスワードの作り方を見本に考えてみましょう。 例えばブツ切りにする数字か記号を別のものに変えて、さらに挿入（そうにゅう）する場所を変えて Ma7plestor%y こんな感じにするだけでも、セキュリティを高く保ったままパスワードの変更ができます。 もちろん、このパスワードの付け方のルールが攻撃者にばれていれば、この方法は止めておいたほうが無難ですが・・・それでも、間に挿入する1桁とその場所が変わるだけでも頭では簡単には推測できない変更になります。 やはりオススメするのは、パスワードを新しく作るイメージで （１）別の覚えやすい単語を選び （２）間に挿入する別の数字か記号を選び、合体させる 手順ですね。 先に挙げた「Maplestory」は攻撃者が狙ってきそうな単語なので、やめておきましょう。 別のもの、例えばこんな感じ。 toky9oTowe!!r 覚えやすい単語＝tokyoTower（大文字も利用しましょう） 2～3つの数字か記号＝9 , ! , ! こんな感じに定期的に変える習慣を身に着けてください。 いかがでしょうか。 100%安全とは言えませんが、大分「見破られにくいパスワード」に近づいたと思います。 小学生・中学生・高校生の方なら、単語を覚えるついでに、このパスワード設定もしてみませんか？ きっとそのスペルは忘れないでしょうし、一石二鳥です。 次回は「パスワード設定＜応用編＞」として、メイプルストーリーを遊ぶ以外でも役に立つパスワードの作り方・考え方を取り上げます。ぜひ安心してプレイできるように、自分に出来ることはやりましょう。 ※色々な方が見ています。コメントする際は慎重に。 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-97.html" title="パス抜き対策：第7回－「パスワードの作り方＜応用編＞」">パス抜き対策：第7回 －「パスワードの作り方＜応用編＞」</a> 参考になった場合は 下の画像をクリックよろしくです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2012/08/14

パス抜き対策：第5回－「2次パスワード、脆弱性とその対策」

メイプルパス抜き対策記事（ネクソン）パス抜きの被害に会わないためにも、できること。第5回目は今すぐやってほしい”4つのパス抜き対策”その1つ目の、”2次パスワード設定(4/4)”「2次パスワード、脆弱性とその対策」というタイトルで書きます。前回記事では、2次パスワードを”すべてのメイプルIDへ”してください！と注意喚起（かんき）しました。[連載第4回]⇒2次パスワード、すべてのIDへ設定を！（こちらをまだ見ていない方は先に... メイプルパス抜き対策記事（ネクソン） パス抜きの被害に会わないためにも、できること。第5回目は 今すぐやってほしい”4つのパス抜き対策” その1つ目の、”2次パスワード設定(4/4)” 「2次パスワード、脆弱性とその対策」 というタイトルで書きます。 前回記事では、 2次パスワードを”すべてのメイプルIDへ”してください！と注意喚起（かんき）しました。 [連載第4回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-85.html" title="2次パスワード、すべてのIDへ設定を！">2次パスワード、すべてのIDへ設定を！</a>（こちらをまだ見ていない方は先にご覧ください。） これで大分パス抜きの被害は抑えられると思います。しかし残念ながら2次パスだけで言っても、 残された重大な弱点はまだ2つあります。 この記事では2次パスワードを技術的な面から見た脆弱性（ぜいじゃくせい）とその対策方法を取り上げます。 ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>2次パスワード：”2つの脆弱性（ぜいじゃくせい）”とその対策方法</h3> 脆弱性（ぜいじゃくせい）とは「攻撃に対して弱いこと。」 パス抜き・不正アクセス・ログイン行為の被害者は今も増えています<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-01-09/206303.gif" alt="" border="0" style="border:0;" class="emoji"> 2次パスワードを設定していれば、ログインに必要なパスワードが「2つになる」ので、 単純に <blockquote>2倍ぐらいセキュリティが強くなるんじゃないの？</blockquote> と思っていませんか？ 確かに強くはなります。ちゃんとすべてのメイプルIDへ設定してください。 でも・・・やり方によっては2倍どころかほとんど効果がない場合もありますし、メイプルの2次パスワードの仕様として技術的に脆弱なところ（パス抜き攻撃に対して弱い面）が元々あるため、防ごうに防げない攻撃もあります。 一言で言うと、「ネクソンの仕様」というやつです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2009-10-13/446181.gif" alt="" border="0" style="border:0;" class="emoji"> パス抜き対策における2次パスワード設定、その最後の記事として、 表面的には分かりにくい・技術的な問題とその対策を記し、 基本的な2次パスワード関連のパス抜き対策を締めくくりたいと思います。 （これはメイプルを遊ぶ上ではあまり必要ない情報ですが、私も一介の技術者。言っておきたいことがあるので書きます。かなり理解し辛い説明が含まれると思いますが、ゆっくりお読みください） では、2次パスワードに隠された”2つの脆弱性（ぜいじゃくせい）”を順番に見ていきましょう。 <h4>2次パスワードの脆弱性－その１「認証のタイミングが2回ある」</h4> まず、メイプルを起動してください。 IDとパスワードを入れて「スタート」もしくは「Enter」キーを押します。 もしどちらかの入力を間違えると <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestory_alertidpassinput.png" alt="メイプルIDかパスワードが正しくありません" border="0" width="255" height="143" /> （メイプルIDかパスワードが正しくありません...） こんな画面が出ます。 ここで言うパスワードとは”通常のパスワード（1次パスワード）”のことです。 大抵はパスワードを間違えているので、すぐに入力しなおします。 続いて2次パスワードの入力画面が出てくるのでマウスでクリックしていき「確認」ボタンを押しますが、 この時も入力を間違えてしまうと <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestory_alert2ndpassinput.png" alt="2次暗証番号が一致しません" border="0" width="255" height="143" /> （2次暗証番号が一致しません。） この画面がでます。 さっきと合わせると、ログインまでに2回認証があることが分かります（エラーメッセージも異なる）。 何気ないこの流れ。何か問題あるの？という感じですが、実はこれが脆弱性（ぜいじゃくせい）の一つです。 流れはごく一般的なのですが・・・2つの理由で、メイプルでは問題があります。 一つは、前回記事までで理解できたように「多くの方の2次パスワード設定がかなり甘い（パス抜きしやすい）罠がある」ため。簡単に推測できそうな2次パスは、多少時間がかかってもすぐに突破されます。 そしてもう一つは・・・何度も書いている2011/02/07付けの公式発表（ネクソン大量ハッキング事件） <a href="http://maplestory.nexon.co.jp/support/info/view.asp?no=489438" target="_blank" title="[更新]【重要】セキュリティ強化のためのパスワード変更設定措置実施のお知らせ" rel="nofollow">⇒[更新]【重要】セキュリティ強化のためのパスワード変更設定措置実施のお知らせ</a> これです。 少し落ち着いて読んでください。 このときの公式発表では 「ネクソンIDが大量にハッキングを受けた」 のです。 ということは、それにひも付いている”メイプルIDとそのパスワード設定もかなりの数が流出してしまった”と考えてもおかしくはない事件。少なくともメイプルIDはかなりばれた？（ネクソンIDとメイプルIDが同じ、という人は多いはず）。 しかし、ネクソンがとった対策は ”ネクソンIDのパスワード変更処置（強制）”と”2次パスワードの導入” この2つでした。 「メイプルIDのパスワードは変更する必要が無く」私達は事件後も平和にメイプルを楽しめたのです。 まさか・・・ <blockquote>今の今までメイプルIDのパスワードを変更すらしてなかった＞＜</blockquote> なんて人は少数でしょうが、当時のパスワードに毛が生えたようなほとんど変わらないパスワードへ変更したぐらいなら、危険性はほぼいっしょです。そして現在、 ”ログイン時には2回認証するタイミングがある” という事実。 それが意味するところは？分かりますか？ ・・・。 じゃぁ少し解説します。 (1)メイプルID (2)パスワード (3)2次パスワード これらを”カギ”に含まれる情報として考えてみましょう。 ここに2つの鍵（キー）があります。現在のアキラ君のログイン情報が以下のようだったとします。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/firstkey2.png" alt="パスワードのセットキー" border="0" width="96" height="50" />　1つ目のキーは、メイプルID と パスワードのセットキー (1)メイプルID→「akira1224」 (2)パスワード「akirakira2」 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/secondkey2.png" alt="2次パスワードのキー" border="0" width="96" height="50" />　2つ目のキーは、2次パスワードのキー (3)2次パスワード→「111222」 では実際に攻撃者の手順をシミュレーションしてみましょう。 まず大量ハッキング事件時や、他の方法でIDとパスワードの情報をすでに盗んでいたとします。 攻撃者は1つ目のキーを手に入れているので →ログイン情報として入力 「メイプルIDかパスワードが正しくありません...」のエラーが帰ってこなければ1次認証突破 →続いて2次パスワード入力へ こうした流れになり、攻撃者はしめしめと笑います。 <img src="https://blog-imgs-1-origin.fc2.com/emoji/2010-12-14/576312.gif" alt="" border="0" style="border:0;" class="emoji"> ＞ ひとまずログインOK。あとは2次パスの突破だな。 もし 攻撃者が盗んでいた情報が古く、現在のログイン情報と異なるなら、 例えば・・・ (1)メイプルID→「akira1224」 (2)パスワード→「akirakira」 ※現在の「akirakira2」とは異なる古い情報 「メイプルIDかパスワードが正しくありません...」のエラーが帰ってきます。 実はここに問題あり。攻撃者はその場合こう考えます。 <img src="https://blog-imgs-1-origin.fc2.com/emoji/2010-12-14/576312.gif" alt="" border="0" style="border:0;" class="emoji"> ＞ ふむふむ。「パスワードが変更されているな。」少し推測したもので突破できたら、続いて2次パスを突破しよう ・・・メイプルIDは絶対に変更することができません。 攻撃者へIDが漏れてしまっていた場合、このタイミングで分かるのは「1次パスワードさえ正しく入力できれば、1次認証は突破できる」つまり1つ目のカギを手に入れられるな（笑）というのが攻撃者側で分かってしまうのです。 少し次の図を見てください。 攻撃者がどのように不正ログインを試し、ログインサーバーと通信のやりとりがなされるかが分かります↓↓ （※例のアキラ君はこのとき、すでにパスワードを「akirakira」から「akirakira2」へ”安易なパスワード変更”をしていたとします。） <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/passhackflow.jpg" alt="不正ログインを試す際の通信フロー" border="0" width="500" height="1500" /> いかがでしょうか。 パスワードは安易な設定だと、早い段階でばれてしまう可能性が高く、攻撃者は最初から”2つのカギをセットとして”必ずしも持っていなくても良いことが、この図で分かります。 1次認証（1つ目のカギの取得）と2次認証（2つ目のカギの取得）は別々なのです。 「2つのキーがそろわないと全く開けることができない」のではなく、 「1つ目のキーがあれば1枚目の扉は開けられる」ような仕組み。 もちろんこのように2度認証があるので、エラーメッセージも2度、別々で応答してあげたほうがユーザーにとってもどこを間違えたのかが分かりやすく親切です。しかし不正にログインを試していく上では、それは攻撃者にとっても分かりやすい仕様なのです。 これが今の、ネクソンの仕様です。 対して、セキュリティが高いのは、 (1)メイプルID (2)パスワード (3)2次パスワード これら3つを1つのセット（1つのカギ）と考えて、認証のタイミングを1回だけにした場合です。 言葉だけでの説明ですが、 IDとパスワードを入力すると、認証をすっとばしてそのまま2次パスワードの入力画面へ移り、「確認」ボタンを押すと、そのタイミングで1回だけ認証が行われるイメージ。 そしてもし3つのうち1つでも間違えていると、こんなメッセージが出ればOK↓↓ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestory_alert3set2.png" alt="メイプルIDか、パスワード、2次暗証番号が正しくありません。" border="0" width="255" height="143" /> （メイプルIDか、パスワード、2次暗証番号が正しくありません。確認して、再度入力ください。） ※画像は合成です こうすることで、攻撃者は3つの情報を正しく入力しないと本当の意味でログインできなくなります。 そしてもしエラーが出るなら、攻撃者としては「1次パスワードが間違いているのか、2次パスワードが間違えているのかが分からない」状況になり、若干パスワードを変えただけの安易な変更でも、かなりセキュリティを高く保てるようになります。 一応計算しておくと・・・ ネクソンの今の仕様だと １．「akirakira2」＝10桁の文字列を照合する ２．「111222」＝6桁の文字列を照合する という形なので、 もし、ID以外がまったく分からない状況から始めたとしても、1次パスワードと2次パスワードの認証突破の確率は 「10桁＋6桁のパターンの足し算」の計算になります。それを(1)(2)(3)の3つがそろわないと認証すらしないシステムへ切り替えられるなら、そうした途端に「10桁×6桁の乗算」になり、考えられるパターンは一気に天文学的数字へ増大します。 <img src="https://blog-imgs-1-origin.fc2.com/emoji/2010-12-14/576312.gif" alt="" border="0" style="border:0;" class="emoji"> ＞ ？何かが変えられたか？1次パス、2次パスどっちだ？ と混乱する状況。攻撃側ではもはやどっちを変更したのかすら分かりません。 これが本当の2次パスワード認証。 ※一般的な「2段階認証プロセス」とメイプルの2次パスの仕組みは異なります 今、私達が安心して利用している2次パスワード認証は、実は 不正アクセス事件後に急いで実装した ”二の次パスワード”なのです。 もちろん他のネクソンゲームではもっと前から実装されていました。でもメイプルはとても貧弱（ひんじゃく）なのです。 対策方法は・・・ ⇒通常のパスワードを定期的に（大きく）変更してください。 <h4>2次パスワードの脆弱性－その２「暗証番号が自動的に変わらない」</h4> 2次パスワード（2次暗証番号）は、あくまでもユーザーが設定するパスワードです。手動で自分から設定を変更していかない限り、自動的に新しいものへ変更されることはありません。一般的な「2段階認証プロセス」なら「ワンタイムパスワード」のように、暗証番号は自動的にある一定期間を置いて更新されます。そうすることで 「攻撃者がパスワードを推測し攻撃していってる間に、新しいものへ変わってしまう」 ので、セキュリティはそこそこ高く保たれるのです。 しかしメイプルの2次パスは、あくまでもユーザーが自己責任で設定するパスワード。 変更するにも手間がかかり、サポートの対応が遅ければ切り替える作業だけで1日以上かかる現状、 <blockquote>2次パスワードの変更とかだるいし、やる必要ないでしょ。</blockquote> と考えている方も多いのではないでしょうか？ そこが攻撃者の狙うところ。 多くの銀行も通帳の代わりになるキャッシュカードを発行していますが、これも落としたら最後。 変えることができない4桁の暗証番号・・・生年月日や、何か推測できそうな簡単な番号にしていたら、拾った人がいともたやすく認証突破→現金を引き落とされ、銀行からは「自己責任ですね、保障外です」と言われるのです。 メイプルの2次パスは、まだ変更できるだけましです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-06-13/266780.gif" alt="" border="0" style="border:0;" class="emoji"> 対策方法は・・・ ⇒2次パスワードを難解なものに設定してください。 ⇒2次パスワードも定期的に（大きく）変更してください。 ※こちらの「<a href="http://maplestory200.blog122.fc2.com/blog-entry-86.html" title="2次パスワード：”セキュリティの高い2次パスワード”の簡単な作り方">2次パスワード：”セキュリティの高い2次パスワード”の簡単な作り方</a>」記事も参考に 以上。 長文、読んでくださりありがとうございます。 次回の連載分は「セキュリティの高いパスワードの簡単な作り方」を取り上げます。難しいパスワードを設定したら覚えられない＞＜という方も必見。メイプル以外でも応用できる、ちょっと面白い考え方を提案します。 また＜番外編＞として数記事、さらに踏み込んだ情報も書けたらと思います。 ※色々な方が見ています。コメントする際は慎重に。 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-96.html" title="パス抜き対策：第6回－「パスワードの作り方＜基本編＞」">パス抜き対策：第6回 －「パスワードの作り方＜基本編＞」</a> 参考になった場合は 下の画像をクリックよろしくです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2012/08/08

パス抜き対策：第4回－「2次パスワード、すべてのIDへ！」

メイプルパス抜き対策記事（ネクソン）パス抜きの被害に会わないためにも、できること。第5回目は今すぐやってほしい”4つのパス抜き対策”その1つ目の、”2次パスワード設定(3/4)”「2次パスワード、すべてのIDへ設定を！」前回までで2次パスワード設定の大切さについてはある程度理解できたかと思います。[連載第3回]⇒2次パスワード、桁数と文字の大切さ（こちらをまだ見ていない方は先にご覧ください。）しかし、自分が気づいて行動... メイプルパス抜き対策記事（ネクソン） パス抜きの被害に会わないためにも、できること。第5回目は 今すぐやってほしい”4つのパス抜き対策” その1つ目の、”2次パスワード設定(3/4)” 「2次パスワード、すべてのIDへ設定を！」 前回までで2次パスワード設定の大切さについてはある程度理解できたかと思います。 [連載第3回]⇒<a href="http://maplestory200.blog122.fc2.com/blog-entry-86.html" title="2次パスワード設定、桁数と文字の大切さ">2次パスワード、桁数と文字の大切さ</a>（こちらをまだ見ていない方は先にご覧ください。） しかし、自分が気づいて行動すべき落とし穴はまだあります。 連載第4回目の今回は、2次パスワード設定をすべてのIDで設定しなければ危険だというお話です。 ＜お断り＞ ※ゲーム運営会社や他の企業・機関に対する批判がこの記事の目的ではありません。 ※不正アクセス行為やハッキング行為を推奨する目的の記事でもありません。 <h3>2次パスワード：”すべてのメイプルIDへ”設定してください！！</h3> 今活動されている方で 「2次パスワードを設定していない」という方はいないでしょう。 しかし あなたが作った ”すべてのメイプルIDで” 2次パスワードを設定していますか？ ネクソンID・メイプルIDについて、 「<a href="http://maplestory.nexon.co.jp/support/faq/view.asp?no=68" target="_blank" title="ひとつのNexonIDで、複数のメイプルIDに登録できますか？" rel="nofollow">ひとつのNexonIDで、複数のメイプルIDに登録できますか？</a>」この質問の答えは”はい”ですが、「十分ご注意の上、管理を行って下さい。」と最後に書かれています。 それで例えばこんな形で利用している方、注意が必要です↓↓ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/nexonmapleid-2pass-sample2.png" alt="複数のネクソンID・メイプルIDを利用している場合＜2次パスワード設定から見た図＞" border="0" width="500" height="800" /> （複数のネクソンID・メイプルIDを持っていませんか？） 上の図で背景を白くしている部分、 一番上のメイプルID「akira12241」がいつも遊んでるIDとしましょう。 パスワード設定も結構頑張っているので安心しています。パスワードを抜かれた事も無いと思っています。 でもそれが盲点です。 「メインキャラがいるIDだけパスワード等しっかり設定しているが、サブIDには面倒くさいから適当なパスワードを付けたとか、無活動状態のメイプルIDには2次パスの設定すらしていない」 なんて事は無いでしょうか？ 2次パスワードは2011年1月26日(水)のメンテナンス以降 > 「設定されていない場合の初回ログイン時に、必ず設定する」 流れでした。つまり、長年放置していたIDがあれば、それは”2次パスワードが無くてもログインできる状態で放置していた”ということ。誰かが先に不正にログインすれば・・・勝手に2次パスを設定し、乗っ取られます。 そして・・・ 他人事ですが、少し悲しい現実を言うと、 2次パスワードが実装される2011年1月以前に引退をした人のメイプルIDは、パスワードが定期的に変えられることもなく、2次パスワードも設定されず、まさに今まで野ざらしの状態でした。彼ら・彼女たちはメールでの認証が強化されたことはもちろん、2次パスワードの存在すら知らないでしょう。帰ってきたくても・・・帰っては来れないかもしれません（さらに通常のログインパスワードも、大規模ハッキング事件後の2011年2月21日以降、初回ログイン時に一度必ず変更しなければなりませんでした。認証メールアドレスが書き換えられていないなら希望がありますが、既にネクソンIDごと乗っ取られていたら・・・もはやかなり頑張らないと戻って来ることは不可能です）。ハッキング事件後の発表については、とりあえずこちらをご覧ください。 <a href="http://www.nexon.co.jp/jp/content/login/securitychange.aspx" target="_blank" title="NEXON IDのパスワードについて重要なお知らせとお願い" rel="nofollow">⇒NEXON IDのパスワードについて重要なお知らせとお願い</a> <blockquote>そういえば・・・放置してたIDがあるな・・・</blockquote> と気づいた方は　→　今すぐログインを試してください。 そして、2次パスワードの初期設定画面が出ればラッキー＆ぎりぎりセーフ<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-05-25/260360.gif" alt="" border="0" style="border:0;" class="emoji"> もし「設定画面ではなく、2次パスワードの入力を求める画面」が出れば・・・ それは、そういうことです＞＜ 設定した覚えは無いのに？なぜか2次パスワードの入力が求められる！ログインできない＞＜ という方は 000000（ゼロを6桁） と入力してみてください。 それでログインできなければ「111111」や「999999」などの簡単な6桁の数字を試してください。 無事ログインできれば、 まずMTSへ入り、「マイページ」タブの「取引履歴」を見てください。 ”召還の石”や”弓矢”などの消耗品がネクソンポイントで買われて0ポイントになっていたら・・・残念無念。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestory_mtsunknownbuy.png" alt="知らないMTS取引があったら・・・" border="0" width="540" height="36" /> それは不正にログインされ、ポイントが盗まれていた証拠です。 （ポイント残高が元々0の方も、”キャラクターが勝手にどこかのサーバーへ作られていないか”、また”前から存在していたキャラクタに所持させていたメルやアイテム・装備は無事にあるか”を確認してください） もしMTSに購買の履歴が無く、ネクソンポイントが0になっているのであれば、 <a href="https://point.nexon.co.jp/main/common/login/topNormal.asp" target="_blank" title="ネクソンポイントサイトへログイン" rel="nofollow">ネクソンポイントサイトへログイン</a>し、「使用履歴」を確認しましょう。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/nexonpointcheck-unknownpaym.png" alt="ネクソンポイントサイトで使用履歴を確認！" border="0" width="679" height="349" /> 最近はあまり無いようですが、メイプル以外のネクソンゲームタイトル（よくあるのはマビノギ）で使用された履歴があるなら・・・それはメイプルIDのみならず、ネクソンIDまでログインされてしまったということです。 （MTS経由も、そうでない取引も、ID所持者は”不正に盗んだ相手が誰なのか”を知ることはできません。） 上の状況に該当してしまった方、笑えません・・・。 もし何も盗まれていなくても、あなたのIDやパスワードは盗まれました。 少なくとも、攻撃者の手元で管理されている”ホワイトリスト”行きです（警戒する必要のない対象の一覧表）。 パスワードを即変える必要がありますが、パスの付け方は元より、メイプルIDはばれてしまいました。 <img src="https://blog-imgs-1-origin.fc2.com/emoji/2010-12-14/576312.gif" alt="" border="0" style="border:0;" class="emoji"> ＞ このIDの利用者は管理が甘いな（笑）また日を置いてアクセスしてみよう とあざ笑われるのです。 <h3>2次パスワード：メインIDにまで攻撃の手を伸ばされる危険性について</h3> 私達はとかく「メインID以外のパスワード等は安易に設定してしまう」傾向があります。 ”楽しく遊べれば良いじゃない”と感じるので、それは幾らか仕方がないことです。 攻撃者が狙うのはまさにその盲点です。 ”攻撃者が一番弱点を知っている”と今までの記事で書いてきました。 よっぽど無用心な人でない限り、”最初に狙われたのはメインIDではない”のです。 先ほどのアカウント構成図を、攻撃者目線で考えてみましょう。 攻撃の手をどう伸びばしていくのかを矢印で示します↓↓ <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/nexonmapleid-2pass-attacksa.png" alt="不正ログインに成功した場合に攻撃者の手が伸びていく様子" border="0" width="500" height="800" /> 攻撃者の動きと心理を簡単に、順を追って説明すると (1)まず、2次パスワードが設定されていなかったメイプルID「akira1224」に対してログインに成功 （このIDはかなり昔に別サーバーでプレイしてたID、パスワードを忘れてしまったしもう使わないので放置していたという状況） ・・・MTSへ入場しようとすると、できない＝簡単会員？現在メインとして利用されていない可能性が高い。 (2)ネクソンID「akira1224」に対して不正アクセスを試みる。突破できないとしても ・・・”akira”＝アキラ君、”1224”＝誕生日ということが判明　→　似たような＆連想できるIDを探索。 (3)ネクソンID「akira1992」がメイプルID「akira1224」のパスワードと同じものでログインに成功 ・・・引退していたので大した収穫は無かったが、パスワードの付け方やキャラクタ名から大体の人物像が分かった。次は「akira1992」「akira1224」に関連しそうなIDを探索。 (4)メイプルID「akira12245」が2次パスワードも未設定でログインに成功（2次パス未設定を先に攻撃） ・・・ネクソンポイントが残っていないかをMTSへ入り確認。残念ながら0だった。しかし、”akira1224x”エックスが数字の連番でIDが作成されている可能性を発見。 (5)メイプルID「akira12244」が2次パスワード設定済みだが「000000」なので簡単にログインに成功 (6)ついにメインのネクソンID下へ・・・ メイプルID「akira12243」が2次パスワード設定済みだが「333333」なので簡単にログインに成功 ・・・MTSへ入場できた。しかも何と28,000ポイントもある。よし（自分の捨てIDで）「召還の石」を出品出品→このキャラに買わせてポイントは0に。やはりこのIDは”3つ目のID”という意味で考えていいだろう。 ※後でこれを悪用した現実を書きますが”メイプルIDが異なっていてもネクソンIDが同じならポイントは共有されていて使える”ため、メインのメイプルIDでログインできなくてもポイントを抜けるのです。 （一応言っておくと、ここでポイントを0にする前に、ポイントショップより「拡声器 30ポイント」などで”贈呈”を試す時に「akira1224」で確認画面まで進めたら、このメイプルIDはネクソンID「akira1224」に結びついてるのだ、ということも確認できます。それができるとメインのネクソンIDまで乗っ取られる危険性がかなり高くなります。ただし・・・不正アクセスは犯罪です。くれぐれも遊びで真似しないように！！！） (7),(8)後は順番にメイプルIDをさかのぼっていけば現在メインかもしれないIDへたどり着く可能性が高い これは推測ですが、状況としては十分あり得るパターンです。 ”メインIDの後ろに連番を付けて” サブIDを作ったりしていませんか？ メインが「akira1224」ならサブ1つ目のIDは「akira12242」のように。</blockquote> 図で示した例では、メインのネクソンIDやメイプルIDは何とか守られたのかもしれませんが、 ポイントはしっかり抜き取られてしまいました。 <blockquote>メインIDだけど、いっつもポイントはほぼ0だし、大丈夫！！</blockquote> 本当にそうなのでしょうか。 盗まれた形跡が見当たらない？誰が断言できるのでしょうか。 不正にログインされたかどうかすら、ユーザー側ではほとんどの場合分からないはずです。 一度でも、またサブIDでもログインされてしまえば、 あとは時間の問題なのです。 攻撃者の気が向けばこうした個別攻撃も簡単にアタックできてしまうのです だから・・・今すぐできることをしてください。 <h3>2次パスワード：メイプルIDが消せないカラクリとその対処法</h3> この記事の最後は、メイプルIDのカラクリについてです。 ここまでで”すべてのメイプルIDへ”2次パスを設定してくださいと念を押しましたが、その主な理由は、「IDが推測される危険性があるから」というより、どちらかと言うと”一つのネクソンIDに対して複数のメイプルIDを作成できる（ひもづけられる）”ためです。 実は・・・これを逆手に取る攻撃法があるのです。 多くの方がブログ記事にしてくださっているのでリンクを貼って終わりたいところですが、、、そうすることで攻撃対象にされたら悲しいので、以下、手短に説明します。 まず、 <a href="http://maplestory.nexon.co.jp/" target="_blank" title="公式サイトから冒険手帳へログイン" rel="nofollow">公式サイトから冒険手帳へログインしてみてください。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestoryhploginform.png" alt="公式サイトからログイン" border="0" width="569" height="96" /></a> （ネクソンIDでログインします） 冒険手帳が開いたら、 「プロフ・代表キャラを変更する」へ進みましょう。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestoryboukenshatechou.png" alt="冒険手帳を開いたら「プロフ・代表キャラを変更する」へ進む" border="0" width="662" height="367" /> キャラクター選択画面で、代表キャラクタを選べますが、ここで 左下にある「メイプルID」のプルダウンメニューをクリックしましょう。 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestoryboukenshatechou_c.png" alt="キャラクター選択画面で知らないメイプルIDがあったら・・・" border="0" width="660" height="399" /> 自分が作成したメイプルIDが出てくると思いますが、 ここでもし「知らないメイプルID」が増えていたら・・・ <blockquote>え！？こんなID作った覚え無いのに・・・誰が増やしたの？</blockquote> 家族の人にも聞いてみてください。 誰にも”知らない”と言われたなら、それは攻撃者が作ったIDです。 何でこんなことをするのか？ 2つ目的があります。 <h4>目的その１．ネクソンポイントをMTS経由で抜き取るため</h4> ネクソンIDにひもづくメイプルIDの内一つでもログインを許してしまうと、ネクソンポイントはネクソンID内で共有されているため、ポイントは抜かれてしまいます。遊んでいるサーバーもキャラクタの有無も関係ありません（ポイントはメイプルID内で自由に使えるどころか、ネクソンIDが同じなら別のメイプルIDでも自由に使えるのです）。だから、まずは自分が把握しているすべてのメイプルIDに・簡単に推測されないパスワードを設定する必要があるのです。 <blockquote>待って待って。メイプルIDが作れるということは、ネクソンIDでログインされちゃってるっていうことだよね？だったらわざわざメイプル内でポイントを抜こうとしなくてもいいんじゃない？</blockquote> 確かにそうですよね。でも残念ながら彼らはプロです。 最近ネクソンは順次メール認証を求めるシステムへ切り替えていっています。他のネクソンゲームへポイントを移そうとしても”ポイントセキュリティ”がかかっており、解除をするにもネクソンIDへ登録されているメアド宛にメールを飛ばす必要があります。メールアドレスを変更しようとすると、すぐに変更はできず、認証の確認メールが飛んでしまいます。 ネクソンIDの所有者宛のそのメール・・・攻撃者は消せますか？メーラーをハッキングし乗っ取っていない限り（不正ログインできない限り）そのメールは外部からは消せませんし、開くこともできません。 また彼らからすると「手元で消すことができない証拠を残したくない」のです。 （沢山のIDを乗っ取ってますからね・・・証拠が多いと警察が動きやすくなるのでそれを警戒しています。MTS経由の取引も履歴は残りますが、ユーザー側で分かるのは日付だけです。時間も相手も分かりません。詳細はネクソン側でしか分かりませんし、ネクソンは警察からの指示がないとまず動きません。攻撃側はポイントの移動に使用したものすべてを、正式会員の仮面をかぶって<a href="http://www.nexon.co.jp/jp/content/support/Faq.aspx?no=1322" target="_blank" title="ネクソンIDごと削除" rel="nofollow">ネクソンIDごと削除</a>すればよいのです。） <h4>目的その２．また後日ログインするため</h4> メイプルIDが勝手に作られていたということは、通常のパスワードは元より、2次パスワードも勝手に設定され存在しているということです。大抵は「000000」でしょうが、この知らないメイプルIDが作られていたことすら気づかずにずっと今まで遊んでこられた方。攻撃者は今まで”いつでも”ログインできる状況でした。ポイントが補充されれば、まんまと抜くことができる状態。 パスワードも2次パスワードも変更できますが、学習することなく、安易なものに変えるなら意味がありません。 IDはばれてしまったのです。ターゲットにされたら最後。あとは時間の問題でしょう。 <blockquote>こんな気持ちの悪いメイプルID、今すぐ削除したいです！！！</blockquote> そうしたい気持ちはよく分かります。でも ネクソンはメイプルIDの削除は一切受け付けてくれません。 たとえ「不正にログインされた・ポイント搾取（さくしゅ）に利用されたID」だとしても、削除は受け付けてくれませんし、使用停止依頼もまず受け付けてくれません。 ここが”カラクリ”なのです。 対応おかしくない？という印象を受けるかもしれませんが、ある意味これは正解です。 無料オンラインゲームなので、メイプルIDを作るのも増やすのも自由です。利用停止したい＝利用しなければ良い＝放置しててくださいという対応になります。無料なのでいつか戻ってきてくれるかもしれませんし。 と・い・う・面・も・あ・り・ま・す・が 一番の理由は「本人確認ができない以上、削除には応じられない」という点。削除依頼もオンライン上ですべて完結してしまうので、本人になりすましてID削除依頼をすることは普通に可能です。ネクソンは本人かどうかが100%確実には確かめられないので削除には応じられないのです（まして最近は不正アクセスが増えてきている状況・・・被害に会ってしまったIDは攻撃者へばれているので、汚名を浴びせあれるのであれば削除したいのもやまやまでしょうが・・・利用者側の立場も守りたいし・・・だから”ユーザー側の自己責任”となるのです）。 もし簡単にメイプルIDが削除され、キャラクタも保有していたアイテムもすべて消えたら・・・本気で笑えない。 そこで攻撃者は考えます。 <img src="https://blog-imgs-1-origin.fc2.com/emoji/2010-12-14/576312.gif" alt="" border="0" style="border:0;" class="emoji"> ＞ 削除されないのであれば、作ってしまえば勝ちだな。 攻撃者が作成したメイプルIDは半永久的に存在し続ける ＝ずっと攻撃できる対象が1つ増えた！ 彼らからすればこうしたデータの積み重ねが”ホワイトリスト・資産”になります。だから意味不明なメイプルIDをわざわざ作るのです。いつか利用するためにも。 作ったメイプルIDは削除できないことも分かりました。 その場合、もはや”なすすべナシ”なのでしょうか？ <h4>知らないメイプルIDを潰す対処法：定期的なパスワード変更とキッズサポート設定</h4> 作られてしまったものは仕方がないです。自分で間違えて作ってしまったIDも同じく、とにかく自分が分かる通常のパスワード＆2次パスワードへ変更するところから始めてください。そして面倒ですが、メインIDと同じくパスワードは定期的に変えてください（もしこの時、認証用のメールアドレスがまったく知らない他人のものへ書き換えられていた場合は、ログインできる状態のネクソンIDを手元で用意し、<a href="http://www.nexon.co.jp/jp/content/support/Support.aspx" target="_blank" title="ネクソンサポート窓口へ問い合わせ" rel="nofollow">ネクソンサポート窓口へ問い合わせ</a>ましょう）。 それともう一つできることがあります。 それは・・・ネクソンが用意している<a href="http://maplestory.nexon.co.jp/anshin/" target="_blank" title="「安心キッズサポート設定」" rel="nofollow">「安心キッズサポート設定」 <img src="https://blog-imgs-53-origin.fc2.com/m/a/p/maplestory200/maplestorykidssupport.png" alt="ネクソン安心キッズサポート設定" border="0" width="660" height="591" /></a> 非常にばかげていますが、不正ログインされてしまったネクソンID・メイプルIDを 自分＝親、攻撃者＝子に見立てて、使用制限をかけてしまおう作戦。 「安心キッズタイマー」設定でプレイ時間の制限を最小の15分にする（実際ポイントやアイテムを盗むのにそれほど時間はかからないかもしれませんが、やらないよりかは設定したほうが良いです）。 「安心パスワード」設定で攻撃者が知り得ないパスワードをもう一つ多くかけてやる。 この設定にはネクソンIDが少なくとも2つは要るのでややこしいですが、 個々のメイプルIDに制限をかけられるので、多少のセキュリティ向上にはなります。 メイプルIDが削除されないのであれば、自分に従わせるだけです。 15分以下の設定はできませんが（いまのところ）まさに奴隷のように扱いましょう。 特にメ”インのネクソンIDにひもづいているメイプルID”は知らないものも含め厳重に管理しましょう＞＜ 以上です。 毎度のごとく、長文失礼いたしました。 次回は、2次パスワードの欠点について少し技術的な面を取り上げ、2次パスワード設定関連の連載は終えたいと思います（やっと次に進めますね・・・）。乞うご期待。 ※色々な方が見ています。コメントする際は慎重に。 続く記事↓↓ <a href="http://maplestory200.blog122.fc2.com/blog-entry-91.html" title="パス抜き対策：第5回－「2次パスワード、脆弱性とその対策」">パス抜き対策：第5回 －「2次パスワード、脆弱性とその対策」</a> 参考になった場合は 下の画像をクリックよろしくです<img src="https://blog-imgs-1-origin.fc2.com/emoji/2008-09-12/298564.gif" alt="" border="0" style="border:0;" class="emoji">

2012/08/03