RSS|archives|admin|

スポンサーサイト

--.--.-- --
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。


Category:スポンサー広告 | Comment(-) | Trackback(-) | top↑ |

DQ10/アカウントハックに遭いました。経緯と詳細まとめ。

2014.08.15 Fri
今から3か月前の5月のことになりますが、アカウントハックに遭いました。
時間も経ってしまい、当時より事細かな記憶が薄れてしまっているので悩みましたが、フレンドさんから詳細を聞かれることが多いので、アカウントハックの発覚から解決までの流れを記したいと思います。


【2014年5月4日夜から5日にかけて】
(アカウントハックの発覚)
リアルの事情により、2月1日からアストルティア生活を休止していました。
その日以降、隠れてログインはもちろん、継続のための課金やマイページへのログインも行っていませんでした。

それは突然やってきました。
その時は自室で数学の勉強にダラダラと向き合っていました。
携帯で音楽をかけていたのですが、ふと着信音が。何だろうと思いメッセージをみると

「今インしてる!?」

切羽詰まったようなメッセージが、ほぼ同時に2人のフレンドからとんできたのです。
意味がわからない、わたし今全然違うことしてるけど…と思ったと同時に、お出かけツールのあのチリンチリンという音が鳴り響いて、それは旅人バザーで商品が売れたことを知らせるものでした。

「アカウントハックされてる!!!!」

血の気がさあーーっとひいていきました。

どうやら発覚の経緯としては、ログインしてもチームチャットであいさつがないことを不思議に思ったことが理由だと聞きました……!(たぶん)
チームのみなさんの鋭い察知能力に感謝ですm(_ _)m


(本人がやったこと)
何をすればいいのか分からず、とりあえずパソコンを開いて、頭に浮かんだ検索ワードをかけました。
同じような被害に遭われた方のブログのページにたどりつき、その解決手順に従うことに。

①普通に冒険者の広場でログインを試みる
当然、パスワードが変更されていたため無理でした。

②パスワードを変更する
【スクウェア・エニックス アカウントのパスワードの変更方法を教えてください。】
http://support.jp.square-enix.com/faqarticle.php?id=2620&la=0&kid=64810

わたしはWebからアカウントを取得しているので、登録メールアドレスにパスワード変更のためのURLを送ろうとしたのですが、パスワードに加え登録メールアドレスまで変更されていたので、パスワードを変更することができませんでした。


③登録メールアドレスを変更する
【メールアドレスの変更ができません。】
http://support.jp.square-enix.com/faqarticle.php?kid=65750&id=450
公的書類(運転免許証や保険証など)の送付(写真添付)により、登録メールアドレスを運営側で変更してもらうことができます。
しかしこの時運が悪く、送信フォームの故障?がおきていて送信フォームが使えず、まさかの郵送での受付(´;ω;`)


スクエニ全部の送信フォームが使えなかったため、運営とすぐつながれる連絡手段は、故障に伴って開設された臨時の電話窓口のみ…。
夜遅くだったためやっておらず(´;ω;`)
この時点で自分の力ではどうすることもできなくなってしまいました。
スマホのお出かけツールはログインできて、次々と鳴り響く、旅人バザーで品が売れたことを知らせるお知らせ……自分の意思以外で動くキャラクターが怖くて怖くてしょうがなかったです(T_T)


(フレンドさんがやったこと)
すべてフレンドさんから聞いたことをもとに書いています。事実と相違する部分があるかもしれません。

①通報しまくる
フレンドさんの苦渋の決断でした。
幸いなことにチームを抜けておらず、またログイン表示だったこともあり、キャラクターのいるサーバー、場所がわかりました。
それを追いかけて通報しまくることで、一時的でもログイン不可になるかもしれない、という作戦です。
チーム、フレンドのみなさん、さらに有志の方々が総動員で追いかけまわして通報の嵐!
キャラクターは主にグレンのバザーで品を売っていて、サーバーも転々としていたみたいです。
チームの方がバナナトラップを仕掛けてくださり、それにあっさり引っ掛かったと聞いた時は吹きだしましたねww
盗賊で追いかけるといいかもですww

これは正規の方法ではないと思うので、後日わたしが運営に尋ねてみたのですが
「お客様のアカウントは不正アクセスされている危険があります。以下の方法で~~」という
的外れな定型文しか返ってこなかったので真相は不明です……。

それでも何度も鯖落ちしながらログインを試みていたようで、通報のおかげなのか、あちらのネット環境が悪いのか……やはり真相は不明です(*_*)


②仲間に誘ってみる、話しかけてみる
応答しませんでした。


③自宅のタンスを開けっ放しにする
これはかなり有効な手段だと思います。
他のプレイヤーがタンスを使っていると、荷物の取り出しができなくなります。
また、自宅に他のプレイヤーが存在していることで(たぶん)家を売ることができなくなります。
あとで詳細を書きますが、タンスの中身が売られてしまった場合、また家を畳み土地が購入されてしまった場合、ロールバック(救済措置)をしてもタンスの中身、自宅、土地は返ってきません。

この日は明け方までチームのみなさんが交代で自宅を守ってくださったと伺いました…!
また、事が解決する日まで、チームやフレンドのみなさんができる限りの範囲で、自宅の様子を見つつ、交代でタンスを開けっ放しにし続けてくださいました(´;ω;`)


④家具や庭具の回収
たまたま1人のフレンドさんの庭具の配置の権限を解除していたため、一部の庭具の回収が可能でした。
もしかしたら、持ち物の居場所を移すことはロールバックを申請するときに不都合が生じる可能性があるので、適切ではないかもしれません。


⑤土地の購入
万が一自宅が売られてしまった場合を考え、チームの方の自宅を持っていないサブキャラに、土地を購入する準備をしていただきました(´;ω;`)
最終的に、土地を売却されることはありませんでした。


⑥フレンドの登録
お出かけツールから広場にインできたので、フレンド承認が可能でした。
チャイムの設定ができるので再度インしたときに便利かもしれません。
運営に確認すると、フレンドを再登録することはロールバック時に影響しないとのこと。
フレンド再登録は犯人側の怒りを買うかもしれないので、危険を伴うかもしれない行動だったと、今は反省しています…。おすすめしません。


何度も鯖落ちしながらも1時間半~2時間程度のインを行い、犯人はログアウトしました。


(被害)
・アークワンド、はごろも装備を結晶化し、預り所にあった結晶も含めバザーで売却
・手持ちにあった99個ある素材をバザーで売却(とりあえず数が多ければいいのでしょう…)
・小さなメダルをいかずちのたまにすべて変えてバザーで売却
・貯金、バザーでの収入を使い、犯人のキャラクターが出品している超高額の薬草1枚を購入
(これで犯人の手元にやくそう1枚の売上金が入ることになります)
・郵便物がすべて捨てられていた
・フレンド全消し


同じように不正アクセスに遭われた方の被害を考慮すると、表現が適切でないと思いますが、最小限の被害にとどまっていると思いました。

フレンドをすべて消されたこと、郵便物が捨てられたことにすごく腹が立ちました。
フレンドのみなさんに、わたしの意思でフレンドが末梢されてしまったのではないかと思われるのが悔しくて、そんなのじゃないよ!って心の中で訴えました(T_T)
残念なことに手紙などが残っていないフレンドの再登録は、いまだに叶っていません…。
郵便物にはフレンドの方に送っていただいた貴重なものがたくさん残っていて(T_T) 悔しかったです…

装備や貯金は自分で貯めて買っているものなので、別によかったのですけど、羽衣にはちょっと思い入れがありまして。
「わたしも安く買った今の羽衣じゃなくて、攻魔45などの高性能な羽衣が欲しい!」と、毎日スマホから羽衣の値段を確認しつつ
わたしなりにコツコツとお金を貯めて、ようやく購入できたときは喜びを1人でかみしめていた、そんな羽衣。
他の人だと羽衣なんてすぐ買えるものだと思いますが、わたしにとっては高くて、勇気のいる買い物でした。
そのことを思い出したときは、ちょっぴり悲しくなったなあ。

でも、貯金なんて、15万Gもなかったですからねwww復帰して3日で同額が貯まりましたwww

何よりも力を入れていた自宅、そしてフレンドさんからいただいた大切な家具や庭具が無事なことが、一番嬉しかったです(*´д`*)


SNSを通じて、いろんな方から励ましていただいたことが本当に本当に心の支えでした^^



【5月6日 朝】
朝一で臨時の電話窓口にかけこみました。

不正アクセスを解決するためには、当然ですが本人が連絡しないと運営は動きません。
いくら必死に訴えても、本人以外だと運営もどうしようもできません。
「本人からの連絡がないと……」の一点張り。
正直連絡手段がメールフォーム唯一つのような気がしますが、それの復旧に何週間かかっとるねん!とツッコミつつ……電話も混んでいてなかなかつながらなかったなあ。

(電話で聞いたことを簡潔にまとめてみました)
①不正アクセスにあったが登録メールアドレスを変更されいてパスワードが変更できない。しかもメールフォームが故障している。どうすればいいか?
⇒本人が身に覚えのないメールアドレスが5月4日の昼に登録されていることを運営側で確認。郵送で記入事項と、公的書類を発送してもらい、確認次第こちらで登録メールアドレスを変更することが可能。

②課金していないのにも関わらず不正アクセスされた。クレジットカード等の不正利用はないか?
⇒不正利用をされた形跡はない。

③どのようにインしているのか?特殊な方法?
⇒特殊な方法が考えられる。
(あとで発覚しましたが、犯人側が自らのWiiポイントを使って課金していましたwww)

④郵送は時間がかかる。それまでの間でいいからアカウントの凍結はできないか?
⇒できない。
今の現状(有志の方に協力していただいて、家を守ってもらっている状態)を伝えてかなり粘ったものの、やっぱり凍結することはできないらしく……まあ、見ず知らずの人にいきなりアカウントを凍結してほしいと言われても、そりゃ無理ですよね(´;ω;`)


そのあと、すぐに必要書類の発送の準備を行いました。
札幌ww遠いwwwと思いながら発送しました!



【5月12日】
運営側から一向に音沙汰のないまま、6日が経過。
その間は犯人側が一切ログインしてこなかったため、このままログインせずに一件落着かも…と思い油断していました。
しかし状況は一変し、朝と夜に再びログインしてきました……!
イナミノ街道とスイの塔の散策を繰り返すという、謎すぎる行動っぷり。
被害はなく、むしろ経験値とお金がわずかながら増えました(笑)

また、この日に運営側からようやくメールが届きました。
書面で記述しているため、再登録するメールアドレスをもう一度確認したいという内容でした。
大丈夫です、と伝え運営からの返信を待つことに^^


【5月13日 夜】
運営から、メールアドレスの変更を正式に承ると返信がきました。
しかし、時間かかるかもしれないけどもうちょっと待っててねという文章が…!
早く変えてえええ(´;ω;`)


【5月15日 夜】
運営が登録メールアドレスを変更したというメールが!
すぐにパスワードを変更し、スマホのトークンを使ってワンタイムパスワードを導入♪
ふぅ、これでとりあえず解決できました(*^o^*)

その後無事にログインすることができました。
業者が課金してくれたWiiポイントをありがたく使わせていただきましたww
解除とかしようと思っても、一度使ったWiiポイントはできないし(´;ω;`)

そして、チームのみなさんに偽物と疑われるのでした…(笑)



【ゲームデータの救済に関して】
不正アクセス後はロールバック申請が可能です。

特に重要な注意点
・ロールバックは1アカウントにつき1度のみ。
(救済後、再度不正アクセスされても復元できない)
・どの日のバックアップデータを使って復元するかを指定することはできない。
(使用されるバックアップデータ以降に取得したものなどは戻ってこない)

戻ってこないもの
・旅人バザーに出品中のアイテム
・ 郵便局に届いている手紙とアイテム、ゴールド
・住宅(土地と家)
・家に配置していた家具
(きせかえドール、きせかえドールに着せていた装備、家に配置していた水槽、水槽に入れていたさかなは戻る)
・タンスの中身
(屋根裏部屋の中身は、家を建て直したときに復活する)
・フレンド
・ブラックリスト
・チーム

キャラクターが削除された場合、初期化されるもの
・フレンドリスト
・ブラックリスト
・チーム(チームリーダーの場合はチーム自体)
・すれちがいポイント

チームが初期化されるって、怖いです(´;ω;`)


これを考慮すると復元したいものがお金と装備くらいしかない、最終ログアウトの間近に入手したアクセサリーが消えてしまうかもしれない、そもそもログインしていない期間が長すぎてバックアップデータが存在しないかもしれない。

という理由で、わたしは救済措置をとりませんでした。



【伝えたいこと】
まず、トークンを入れていないことが、このような惨事を招いてしまいました。
自分のセキュリティ管理の甘さを痛感し、いろんな方に迷惑をかけてしまい反省しています。

絶対にワンタイムパスワードを導入してください。
1000円程度で購入できるセキュリティートークン、
もしくは無料で使用できるスマホのソフトウェアトークンがあります。

正直、こんなことが起きるまで、不正アクセスは他人事に思っていました。
自分自身に降りかかるまで事の重大さに気がつかなかった、情けないです。
でも、不正アクセスを他人事に思っている人ってわたしだけではない気がします。
この件を通じて、自分もワンタイムパスワード入れました、と報告してくださる方も少なくありませんでした。

後日知ったのですが、実は4月ごろにも一度、登録メールアドレスが変更されていたのです。
実際にドラクエにログインするまでに、期間がありました。
不安な方はスクエニアカウントにログインし、メールアドレスの変更履歴を確認してみるといいと思います!

定期的なパスワード変更も大事ですし、ドラクエ10専用のメールアドレスを使用する、パスワードを他のサービスと共有しない…
さらに、大切な装備やアイテムはタンスの中に入れず預り所に入れる、こういうことも被害を最小限に防ぐ方法だと思います…!
ワンタイムパスワードを導入していればほぼ安全だとは思いますが、念には念を、です(・_・;)

最後に、こんなに被害を留めることができて、今は不自由なく生活できるのは
協力していただいたみなさんの努力と優しさのおかげです(*´д`*)
解決するまでずっと自宅を守ってくださったり、励ましてくださったり、状況を報告してくださったりする、フレンドやチームのみなさんがいました。
これを使ってください、困ったことがあれば頼ってください、お金一緒に貯めようね……
1人でプレイしていたら、きっと最悪の被害が起きていたし、復帰することも絶対になかったでしょう。
自分は本当に情けない存在です。
だけどこんなに優しい方が周りにたくさんいることが、わたしの自慢です(*^o^*)

長文を読んでくださり、ありがとうございました!


関連記事
スポンサーサイト


Category:ドラゴンクエスト10 | Comment(-) | Trackback(-) | top↑ |

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。