So-net無料ブログ作成

スクウェア・エニックス アカウントのワンタイムパスワードが突破されて不正アクセスされる [FF11]

スクウェア・エニックス アカウントワンタイムパスワードを利用していたのにもかかわらず、不正アクセスを受けるという事件がおきました。

詳しくはFF11フォーラムの当該スレッドならびに、その中のサポートの回答をご覧ください。

サポートの人のちょっとわかりにくい言い回し

セキュリティトークン自体のセキュリティを破られたものではありませんが、セキュリティトークンの機能を一時停止する機能へ攻撃を受け、その結果発生しました。

の部分を解説しますと…スクウェア・エニックス アカウントで使用されているワンタイムパスワード発行用の機械(セキュリティトークン)は、VASCO社のDIGIPASS GO 6というものが使われていて、それ自体はスクウェアエニックスだけでなく、他の企業(たとえばみずほ銀行のオンラインバンク)でも使われている有名なものです。

今回は、このVASCO社のセキュリティトークンが解析されたわけではなく、スクウェア・エニックスのサーバーのセキュリティが破られて、ワンタイムパスワードがなくてもログインできるようにされていたようです。

もっとも、どちらが原因にせよ、被害者にとっては「ワンタイムパスワードがあってもだめだった」ことには変わりはありませんが…。

さて、サポートの人の回答によれば、「その他のお客様への被害も確認されていません。」「セキュリティトークンの一時停止機能への攻撃も不可能となっているため、新規に被害が増える事はありません。」だそうですが…だからといってユーザーに事件のことをフォーラムの回答のみで知らせるというのは、あんまりではないでしょうか。

ちなみに、今回の件と関係はないとおもいますが、昨年末、スクウェア・エニックス メンバーズのサイトが攻撃を受けた事件があった時は、ユーザーにメールで告知をしていました。いまチェックしたら、5/14にも脆弱性を見つけたので対処中との告知がでていました。
ちゃんと知らせる分、スクウェア・エニックス メンバーズのサイトのほうがしっかりしていると感じました。

今回は、たまたまFF11のユーザーが被害にあいましたが、セキュリティトークンはFF14でもつかわれてますし、スクウェア・エニックス アカウントにいたっては、スクウェア・エニックスのサービス全般(スクウェア・エニックス メンバーズやオンラインストアなど)でも使われています。
よって、事件があったことをフォーラムの一回答のみで知らせるのではなく、FF11の公式サイトはもちろん、FF14 Lodestoneサイトでも告知すべきですし、FF11やFF14を辞めたあとにもオンラインストアなどだけを使っているユーザーのために、それらのサイト、さらにはスクウェア・エニックスサイトのトップページの目立つところに、「こんな事件があったので、セキュリティトークンをつかっているにもかかわらず不正アクセスにお心当たりがあるかたはご連絡ください」ぐらいの告知をするぐらいのことはしてもらいたいと思います。


nice!(0)  コメント(0)  トラックバック(0) 
共通テーマ:ゲーム

nice! 0

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

トラックバック 0

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。