「想定外」

スクウェア・エニックス アカウントのワンタイムパスワードを利用していたのにもかかわらず、不正アクセスを受けるという事件がおきました。

詳しくはFF11フォーラムの当該スレッドならびに、その中のサポートの回答をご覧ください。

サポートの人のちょっとわかりにくい言い回し

セキュリティトークン自体のセキュリティを破られたものではありませんが、セキュリティトークンの機能を一時停止する機能へ攻撃を受け、その結果発生しました。

の部分を解説しますと…スクウェア・エニックス アカウントで使用されているワンタイムパスワード発行用の機械（セキュリティトークン）は、VASCO社のDIGIPASS GO 6というものが使われていて、それ自体はスクウェアエニックスだけでなく、他の企業（たとえばみずほ銀行のオンラインバンク）でも使われている有名なものです。

今回は、このVASCO社のセキュリティトークンが解析されたわけではなく、スクウェア・エニックスのサーバーのセキュリティが破られて、ワンタイムパスワードがなくてもログインできるようにされていたようです。

もっとも、どちらが原因にせよ、被害者にとっては｢ワンタイムパスワードがあってもだめだった」ことには変わりはありませんが…。

さて、サポートの人の回答によれば、「その他のお客様への被害も確認されていません。」「セキュリティトークンの一時停止機能への攻撃も不可能となっているため、新規に被害が増える事はありません。」だそうですが…だからといってユーザーに事件のことをフォーラムの回答のみで知らせるというのは、あんまりではないでしょうか。

ちなみに、今回の件と関係はないとおもいますが、昨年末、スクウェア・エニックス メンバーズのサイトが攻撃を受けた事件があった時は、ユーザーにメールで告知をしていました。いまチェックしたら、5/14にも脆弱性を見つけたので対処中との告知がでていました。
ちゃんと知らせる分、スクウェア・エニックス メンバーズのサイトのほうがしっかりしていると感じました。

今回は、たまたまFF11のユーザーが被害にあいましたが、セキュリティトークンはFF14でもつかわれてますし、スクウェア・エニックス アカウントにいたっては、スクウェア・エニックスのサービス全般（スクウェア・エニックス メンバーズやオンラインストアなど）でも使われています。
よって、事件があったことをフォーラムの一回答のみで知らせるのではなく、FF11の公式サイトはもちろん、FF14 Lodestoneサイトでも告知すべきですし、FF11やFF14を辞めたあとにもオンラインストアなどだけを使っているユーザーのために、それらのサイト、さらにはスクウェア・エニックスサイトのトップページの目立つところに、「こんな事件があったので、セキュリティトークンをつかっているにもかかわらず不正アクセスにお心当たりがあるかたはご連絡ください」ぐらいの告知をするぐらいのことはしてもらいたいと思います。

未曾有の大震災による被害にあわれた皆様に、心よりのお見舞いを申し上げます。

自分の住んでいるところは被害はなかったのですが、計画停電の対象地域でして、

• 乾電池・懐中電灯・カセットコンロ等停電対策グッズは既に売り切れ
• 調理しないで食べられるもの（カップラーメンの類）も在庫はあまりない

といった状況になってます。

でも、東京電力・東北電力のスタッフの皆様は、

• 被災地でのライフラインの回復
• 原発事故阻止
• 停止した火力発電所等の再起動
• 計画停電の実施に伴う作業
• 原発の代わりとなる発電能力の将来的な確保
• etc.

といった、あらゆる困難に対応していただいているので、停電に関してどうこうをいうことはまったくありません。どちらかというと「大変な作業をしていただいてありがとう。大変ですが、どうかご無事で！」といった気持ちの方が大きいです。(原発の運用云々については思うところもあるんですけど、いま実際に作業している人たちには関係ないし…。）

さて、そんな節電ムードの中、いちはやくメタルギアオンラインのサーバーを止めるとコナミから告知があったのが3/12。
続いて■eも3/13にFF11とFF14のサーバーの1週間の停止を発表しました。

とてもすばらしい対応だと思います。■e、good job!

なんとかこの厳しい状況を抜け出せる日が来るのを、心より願います。

FF14の課金開始が延期されました。

ファイナルファンタジーXIVの利用料金について

本来であれば、30日の無料期間を終了した時点から課金が開始される予定でしたが、10/25までに契約した人の分に関しては、無料期間が60日となるようで、実質課金開始が先延ばしされました。

FF11でもサービス当初、ログイン障害によって無料期間を1ヶ月延長したことがありました。
が、今回はサーバーのせいではなく、ゲームの出来の悪さから課金できないと判断したようで、ある意味良心的な判断と思われます。

もっとも、αテスト、βテストをやった上でリリースを決定したのも■eですので、自業自得ともいえます。 αテスター、βテスターからはかなりのフィードバックがあがってたようですし、せめてFF11で出来ることぐらいは、最初から実装すべきだったと思われます。

しかし、30日程度でどこまで改善できるんでしょうか…。
私見ですが、サーバーの負荷については、根本的なところ(FF11よりアクション性を高めたゲームデザイン)の影響が大きい気がするので、改善させるにはかなりのリソースを投入する必要があるような気がするのですが、大丈夫なんでしょうか…。

欧米のレビューサイトでも軒並み低評価だったFF14。
日本発MMOとして、せめてFF11の評価と同等ぐらいまではがんばってほしいところです。

FF14で、こんな告知がだされたようです。

修練値を多く得られてしまう不具合について

どうもパーティメンバーを回復・強化すると修練値というのが手に入るみたいなのですが、それを繰り返すと■e的にはアウトだったようです。
上記の「不正行為」を行った人は自己申告しないとペナルティという脅し文句も入っています。

…いや、仕様でしょ、それ…。

FF11のカンパニエが実装された当時、同様に強化魔法をかけ続けて経験値を稼ぐという方法が生み出されましたが、その後修正され、その方法では経験値はほとんど入らなくなりました。
ただし、この時は、実装当時の仕様に沿った行動ということだったのか、特にペナルティを受けたという人は聞きませんでした。
今回はいきなりペナルティをちらつかせた脅しです。しかも、上記URLに掲載されている ファイナルファンタジーXIV禁止事項の中で該当しそうな箇所は、

当社が設計したとおりに動かないプログラムを故意に利用し、自己の利益を得る行為または他者に不利益を与える行為

のようですが、この「当社が設計したとおりに動かない」という部分に関しては、今回は「設計どおり」の挙動のはずなので、該当しないと思うのですが…なにがいけなかったのか、さっぱりわかりません。（この文面では、「設計自体がミスの場合」までは対象にはならないはずですが…もしかして、回復して修練値があがることですら想定外だったんでしょうか…）

■eには「規約のどの部分にかかるからペナルティにする」という理由を明らかにしてほしいものです。

FF14を中国展開させる予定であることを■eが発表しました。

どうやら別サーバーでの運営になるらしいので、プレイ中に中国語で話しかけられるような事態には陥らなくて済みそうです。
しかしながら、このせいなのかどうかはわかりませんが、いままでのファイナルファンタジーで用いられていた単語が、中国風の漢字を多用した表現に置き換えられているようです。
たとえば従来なら「チョコボの羽根」と記述されるべきアイテムは、FF14では「馬鳥の羽根」となっており、いままでのファイナルファンタジーの世界観に慣れ親しんだユーザーにとっては、かなり違和感のある状態のようです。

以下、2chでの反応で印象深かったものを抜粋しております。

ネトゲ実況板　最終幻想十四黙示録カイジ　より
http://kamome.2ch.net/test/read.cgi/ogame/1284659059/5

5 ：既にその名前は使われています：2010/09/17(金) 03:14:59 ID:HZ3OLP9p
／| 　|　　　　　／| | |　　／　　　| 　|　　／
　 | 　|　　　／　　| | |／　　　　　| 　|　　　　 ／　　　　　ふ……
　 | 　|　　　／　　| | |　　　　　／| 　|　　　／
　 | 　|　／　　　　| | |　　　／　　| 　|　　　　　　　　　　　　ふざけるなよ…！
／| 　|　　　　　／| | |　　　　　／| 　|　 ／
　 | 　|　　　／　　| | |　／　　　　| 　|／
二|＿|二二二二二ｌ二二二二二|＿|二二l'玉}、二　　　戦争だろうが…
　　　　 ＼　　　　　 ＿__　　　　＼　　　　〔l`ｰｲ
　　　　　　＼＿＿＿＿___＿_______＼　 /丁WYヾヽ
　　　　　　　　　　　　　　　　　　　　　 ,ハﾉ-―ー|ハ　　　チョコボなうちはまだしも
―――――――――――――‐ ／ゞｲ　 　 　 ﾄ-'
　　　　　　　　　　 　 　 　 　 ＿ r‐' ／ 丿　　　　 |　　　　　　それを馬鳥にしたら……
　　　　　　　　　　　 　　 　 /´V 屶|}　/`ー‐┬‐イ
　　　　　　　　　　　　 　 　 ＼＼ ヾ_i/　,／ 　|　_,|
　　　　　　　　　　　　 　 　 　 ＼___/| 　|　　　ヽ　ヽ　　　　　戦 争 だ ろ う が っ・・・・・・！
　　　　　　　　　　　　　　　　　　　┌|__,|　　　　ゝｰ<
　　　　　　　　　　　　　　　　　　 　 `‐┘　　　 └‐┘

ネトゲ実況板　【FF14】中国進出で完全死亡　より
http://kamome.2ch.net/test/read.cgi/ogame/1284646527/816

816 ：既にその名前は使われています：2010/09/17(金) 07:52:29 ID:nRZJoCDh
「お前の左食指の装備スゲーな、剛毅木訥の効果アップとか合成？」

「うん、鉄帽団栗、大蝦蟇、猩猩、大井守の尾肉、鬼鮟鱇の肝臓で合成できる
　それよりお前の副器と盾備もスゲーな」

「あーこれか、これは碩老樹瞑想窟で手に入るぞ、馬鳥免許取ったら馬鳥馬留から馬鳥乗ってスグいけるよ
　刻苦勉励と天佑神助の効果アップだからマジオススメ」

信長の野望Onlineのコーエーテクモでも不正アクセスによる情報漏洩があった模様です。

コーエーテクモ「GAMECITY」に不正アクセス、カード情報など漏えい

コーエーテクモのwebページにある資料(pdf)によりますと、SQLインジェクションにより、クレジットカード情報を含むユーザーの個人情報も漏洩していたようです。

4/1７に対応完了とのことですので、被害状況の発表まで約3ヶ月かかっているようです。これは、第三者機関による調査を行ったためとしています。

ところで、先日やはり情報漏洩が発覚した■eでは、FF11のトップページからお客様のプレイオンラインIDに関する重要なお知らせへのリンクが消えてしまっています。
調査の結果がいまだ発表されないのはコーエーテクモと同様に第三者機関による調査に時間がかかるせいだと考えても、被害にあったユーザーにまだ告知が浸透していない可能性もあるのに、告知ページをトップページからはずすのはいかがなものかと思います。

今回のコーエーテクモの発表は、プレスリリースとしてコーエーテクモホールディングスのトップページにも掲示してあり、ユーザーにとってわかりやすい場所で告知できてると思います。

■eにも企業トップページに掲載してプレスリリースを出すなど、ユーザーにとってわかりやすい場所に掲示お願いしたいものです。そして、コーエーテクモのように、被害状況や被害の時系列等の詳細情報を早く報告してほしいものです。

■eからFF14の詳細が発表されました。
http://game.watch.impress.co.jp/docs/news/20100701_377912.html

Windows版が9月22日より（ただし限定版購入者のみ。通常版は30日から)、PS3版は3月上旬からだそうです。

FFのナンバリングタイトルがコンシューマーゲーム機以外のプラットフォームから最初に発売されたのは初めてのことだと思いますので、■eのWindows市場に賭ける執念を思い知らされます。
コンシューマーゲームだからやる、という人は少なからずいるはずですが、もうそんな人たちは、市場としてWindowsでゲームする人たちよりも数が少ないと判断されたのでしょうね…。

私がFF11をやりはじめたのは、コンシューマーゲーム機でやるMMOというのに新しさを感じたからでした。実際、サービス当初はかなりコンシューマーを意識した難易度で、斬新だと感じたものです。

しかしその後Windows版も発売され、プロマシアぐらいから、コンシューマーゲームとして適切な難易度とはいい難い「決まったジョブでしか倒すのが難しい敵」が増え始め、「人を選ぶ」ゲームになってしまいましたので、現在では「コンシューマーゲーム」ではない普通のMMOとしての認識しか持ってません。

コンシューマーゲームでなくなったFFは、いったいどこへ向かうのでしょうか…。

■eのコンピューター端末に攻撃があり、プレイオンラインに登録してある情報の一部が漏洩したようです。

どうやらアカウント情報を奪われたらしく、既に実被害（アイテムを奪われたり、サーバー移動させられたり）も出ているようです。

お客様のプレイオンラインIDに関する重要なお知らせ

読んでみると、漏洩させたことに対して、直接的なお詫びの意が含まれていない文章が気になります。■eもある意味被害者なのかもしれませんが、まったく非のないユーザーの個人情報を漏洩させてしまったというところはどう考えているのでしょうか。

なお、被害にあったアカウントのうち、セキュリティトークンを利用しているものについては、不正ログインの防止はできるので、キャラクターはとりあえず安全と思われますが、https://secure.square-enix.com/cisweb/appのようにトークン不要で個人情報にアクセスできるページがまだ残っていたようなので、強制パスワード変更前に情報漏洩があった可能性は残ります。
もっとも、■eから直接漏れてる可能性もあるので、その場合はこんなページが残ってようがいまいが関係ありません。でも、今後のことを考え、このページもトークン対応にしておいたほうがいいと思われます。

現在、■eから公式で発表されている情報があまりにも少ない為、どれくらいの被害があったのかわかりませんが、ユーザーが今後の対応（自衛策をとるなど）をするにあたって必要な情報として、

• 情報漏洩事件の時系列
  （いつから発生していたのか。いつ漏洩に気づいて、いつ対応完了したのか。）
• 情報漏洩の件数
• 情報漏洩した可能性のある個人情報項目一覧
• 情報漏洩の手口とそれに対する■eの対応策
  （たとえばgoogleが中国から攻撃された件については、手口としてはIEの脆弱性を突かれたようで、対応策として最近googleは、社内でのwindowsの利用禁止というのを考えてるようです）

ぐらいは最低でも教えてほしいところです。

詳しいところは現在調査中のようですので、■eの今後の報告に期待します。

かなり前になりますが、FF11 アルタナの神兵のサウンドトラックが発売されました。

FINAL FANTASY XI アルタナの神兵 オリジナル・サウンドトラック

最近、ボーナストラックとして収録されている「Ragnarok」という曲の開始30秒ほどを、繰り返して聞いてます。最初の30秒は、ほんと、すごく、いいです。
もっとも、この曲はアルタナの神兵の曲ではないのですが…（アトルガンミッションの曲です）。

アルタナの神兵の曲では、「Clash of Standards」が一番のお気に入りです。（フィールドでのパーティ戦闘曲…だと思います。）
他には、「Flowers on the Battlefield」（過去ジュノ周辺部エリア曲）、「Autumn Footfalls」（ロンフォールS）、「Echoes of a Zephyr」（グスタベルグS）などもお気に入りです。
このところずっと忙しくて、アルタナエリアに全然いってないですけど…勲章、剥奪されただろうなあ…。

とりあえず、暇になるまでは、これらを聞いて気持ちを落ち着かせる日々が続きそうです…。

【5/29 15:34追記】
セキュリティホールMEMOによると、FlashPlayerの9.0.124.0では脆弱性の影響を受けないことがAdobeから報告されたそうです。とりあえず9.0.124.0にしておけば安心かと。

セキュリティホールMEMOで知ったのですが、FLASH Playerに脆弱性が発見され、しかも5/28現在、最新のFLASH Playerである9.0.124でも影響を受けてしまうとのこと。
今日たまたまモソク道５代目を見に行ったところ、そこでも警告が乗ってました。さすが情報が早いです。

Internet Watchにも記事が出てました。
http://internet.watch.impress.co.jp/cda/news/2008/05/28/19718.htmlによると、

Symantecでは、発見された脆弱性を悪用するSWFファイルについては、「Downloader.Swif.C」としてウイルス対策ソフトによる検知に対応した。

とのことなのですが、この記事の下にリンクしてあったシマンテックのサイトを見たところ、どうもPlayOnlineの偽サイトに攻撃swfがおいてあるっぽいです。

http://www.symantec.com/norton/security_response/writeup.jsp?docid=2008-052714-3021-99&tabid=2

公式サイトっぽいURLだと勘違いして踏んでしまうと、えらい目にあう可能性がありますので、Adobeから修正版のFlash Playerが出るまでは、Active Xを無効しておくなどの防衛策が必要と思われます。