セガIDの抱える脆弱性

 お詫びと訂正
 頂いたコメントより、当記事の内容について改めて調べたところ、大きな誤りがあることが判明しました。
 訂正前に記事をお読みになった方に、謝罪してお詫びします。
 記事の内容について修正を行いましたので、ご理解をお願いします。

 主な修正内容については、以下のとおりです。
 
 ×…OTP導入後、「パスワードを忘れ」からOTPを介さず簡単にパスを変更できる。
          ↓
 ○…OTP導入後なら、「パスワード忘れ」からの変更にもOTPが要求される。

 OTP導入後について、十分に確認せずに記事を書いた結果のミスでした。
 いい加減な記事を書いてしまい、誠に申し訳ありません。
 今後は、記事を書く前の確認を慎重に行い、正確な内容を目指します。

 
 
 ゲームにはインせず、色んなことを考えている。
 といっても、今日は帰宅したのが22時半だから、ゲームどころではないのだがw
 タイトルのことについて、思ったことを少々。
 
 結論を既にタイトルとしているが、セガIDのセキュリティがザルと言われる理由に思い至ったのでメモ。
 もちろん、私自身が自己防衛を怠っていたという厳然たる事実を、重々認めている上での話である。
 運営批判を行うつもりは毛頭無いが、これだけアカウントハックの報告が出ている以上、軽視すべき問題ではないと思い、本日の日記とした。


 私の場合、PSO2に使っていたhotmailが長いこと利用しているものであったので、いくつかの用途に使っていた(今にして思えば、そもそもこれが問題だったわけだが)。
 その中には、通販サイトの連絡用として登録していたケースがあったので、恐らくだが、ここを侵入口としたのだろう。

 アカウントハックの順番?として、まずメールアカウントを乗っ取られ、残っていたメールから本名、住所等を探すのだと思う。
 上記のとおり、通販サイトの連絡用として使っていたので、受信メールの中に住所と氏名が思いっきり残っていた。
 ケースバイケースだが、OTPを設定していなければ、この氏名か住所の情報があれば、簡単にセガIDパスを変更できてしまうのである。

 どういうことか?

 セガIDのパスを変更するにあたり、ログインして変更する以外に、「パスワードを忘れた方」という項目からでも変更が出来る。

 これは、パスを忘れた登録者にとっては必須の回復措置だろう。

 実はこの「パスワード忘れによる再設定」からパスを変更するには、氏名、住所、秘密の質問の答えの、どれか一つが分かっていればいいだけなのである
 セガから配信されるメールには、ご丁寧にセガIDが掲載されている。
 ここで、まずIDそのものが割れる。
 次に、メールの中に残っていた情報から氏名や住所が分かってしまえば、簡単にパスワードの再設定が出来てしまうのである。

 もしかしたら、今の世の名では、ネット上の登録情報として、氏名や住所は使いまわさないのが常識なのかもしれない。
 パスワードに関しては、確かにそうだろう。
 だが、氏名や住所まで、パスと同じように対応可能だろうか?
 できるか否かと問われれば、もちろん出来る、という答えになる。
 しかし、それが現実的な話かどうかとなると、話が違ってくるのではないかと思う。

 なお、当たり前だが再設定の際のメールアドレスは、再設定をしようとした者が自由に指定できる。
 このため、ハックされる側には何も伝わらないまま、パスワードを変更されてしまう。

 私は、アカウントハックに会う前はOTPを導入していなかった。
 なので、Hotmailに残っていた情報から、氏名または住所を特定され、パスワードを変更されたのではないかと思う。
 氏名、住所だけでパスが変更できるのならば、パスワードの解析を行うよりもよほど簡単に、アカウントのハッキングが可能になる。
 今更な話ではあるが、「パスワード忘れ」からのパス変更に、もう少し厳しい規制を掛けておいてほしかった。
 せめて、秘密の質問の答えを必須にしていれば、まだハッキングを防げた可能性があったのではないか…。
 後の祭、かつ自分の脇の甘さに起因する話ではあるが、悔やまれてならない。

 一度パスを変えられてしまえば、あとは自由にセガIDの登録情報を変更できる。
 冒頭のお詫びと訂正にて書いたことだが、OTPが導入されていれば、この時点でOTPを要求されるため、アカウントハックのリスクは大幅に低減できる。

 運営として、アップデートを頻繁に行ってくれるのは熱心に仕事をしてくれていることの表れだと思う。
 でもその前に、運営が最優先でやるべき事があるのではないか?

 
 そもそも、登録用のメールアカウントを乗っ取られる時点でユーザー側の落ち度という側面は確かにある。
 しかし、現実に色々な所から被害の報告が挙がっている今、運営が真に最優先する仕事があるはずである。
 色んなサイトを見てみたが、確かにhotmailは危ないようである。
 だが、Hotmail以外のメールサービスが、確実に安全だとは言い切れない。

 しつこいようだが、ゲームのログイン時にもOTP認証が導入されなければ、せっかくセガID管理ページにOTP認証制度を導入していても、最大の効果を発揮できない。

 ユーザー側に取れる対策に限界がある以上、運営にはゲームログイン時のOTP認証の導入について、ぜひとも早急に導入していただきたいと思う。

 いくら楽しいゲームであっても、怯えながらのプレイでは、その楽しさも霞んでしまう。


ブログランキングに参加しています。
↓をクリックしていただけると、とても励みになります。

ファンタシースターオンライン2(PSO2) ブログランキングへ

テーマ : PHANTASY STAR ONLINE2
ジャンル : オンラインゲーム

コメントの投稿

非公開コメント

No title

シオンさんに同意見です。

はやく安心してプレイができる環境は欲しいところですよね。

公式でもログイン時のワンタイム認証についても書かれていたので早く実装してくれることを願うばかりです。

仕事が大変そうですね。

体調を崩さないように気をつけてくださいね。

それとリンクありがとうございます。

こちらも張らせていただきました~

OTPは有効ですよ

パスワード再設定も、OTP入力が求められます
OTP設定していれば、ID側はハックされません

今一度、ご確認を…

またミスを犯してしまいました

>エクセ 様

通りすがり様から頂いたコメントに基づいて調べなおしたところ、思い切りガセネタを書いてしまいました。
反省するとともに、今後の正確な記事の作成を目指します。
それでも、ゲームログイン時のOTP認証は必要だと考えています。
せっかくシオンが生き残っていてくれたので、また安心してゲームが出来る日のために、要望を出してこようと思います。

>通りすがり 様
コメント有難うございました。
頂いたご指摘を元に調べなおしましたところ、OTPを設定してあれば、「パス忘れ」からの変更にもOTPが必要だということを確認できました。
ガセ記事を書いてしまい、本当に申し訳ありません。
ご指摘によって記事を修正する事が出来ました事には、感謝するばかりです。
今後は、正確な記事を作成ことが出来るよう、慎重に情報の確認を行っていきます。
「パス忘れ」からの変更で、

氏名入力→連絡用メールにIDサポートからメール着信

を確認した時点で、OTPを介さずパスが変更可能と勘違いしてしまいました。
重々、申し訳ありませんでした。
また、ご指摘有難うございました。
プロフィール

シオン

Author:シオン
酔っ払いアークス
チーム「散華痛快」にてのんびり遊んでいます

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
ご来場者様数
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR