ドラクエ10日記 -アカウントハック-

とても残念なことですが、私の所属するチームのメンバーがアカウントハックに遭いました。
有り金すべてどこかに送金され、装備も換金され身ぐるみ剥がされてました。

アカウントハックの方法について想定、およびその対策について考えてみたいと思います。

まずスクウェアエニックスでは、アカウントハックの方法としてリスト型ハックを挙げています。
業者が何らかの方法で入手したID パスワードの組み合わせをそのまま試行するハッキング方法です。原始的ですが確実な手法ですね。まあIDパスワード抜きのほとんどは原始的な手法なのですが。
多くの人は、IDとパスワードについて覚えやすさを重視し、各サービスで同一のものを使用する傾向にあります。
何らかの方法でサービスAのIDパスワードが漏れた場合、同じID パスワードを使用している他のサービスBやCも、そのID パスワードでアクセスできるわけですから、これはもう流出したも同然の状態となります。

根本的に解決するには、ありとあらゆる全てサービスにおいてIDとパスワードで同一のものを扱わないというのがあります。もしどこかでIDパスワードが漏れても、そのサービス以外の被害は防ぐことができます。
当然IDとパスワードは他者に予測されにくいランダムなものを、そして長文とすべきです。比較的最近までは「8文字まであればまず安心であろう」という風潮がありましたが、昨今の高速化したコンピューターの前では、既に8文字は危険なパスワードと認識した方がいいでしょう。パスワードには最低10文字を推奨します。できれば16文字以上は欲しいですね。また大文字小文字数字は全て混ぜて記入するべきです。

そんなパスワード覚えられない！という人のために、安心安全で覚えやすいパスワードの作り方を紹介しておきましょう。

1.まず日本語で好きな文章を思い浮かべます。 「私の父の名前は太郎です」
2.なんちゃって英語化します。なんちゃって英語なのがポイントです。「My father no name taro」
3.各単語の頭と後ろだけを抜き出し、頭は大文字にしてみます。「My Fr No Ne To」
4.oを0、iを1になど、似た形のアルファベットを数字化します。「My Fr N0 Ne T0」
※この変形はよくあるものなので、自分独自の解釈で数字化するとより良い。例:Nはabc順14番目なので14にするなど
5.つなげてみます。「MyFrN0NeT0」
6.利用するサービス名をアルファベット表記し、頭と最後を抜き出します。「doragon kuesuto」→「dn ko」
7.5の頭と後ろに、入れ替えて入れます。koMyFrN0NeT0dn
8.完成しました。「koMyFrN0NeT0dn」
9.覚えるのは「自分の父親の名前」と「利用するサービス名」だけです。これ忘れる人はいないでしょう。

スクエニ、サービス提供側がどんなにがんばってもこれはイタチごっことなることなので、とにかく自衛が一番です。

さてドラクエ10のアカウントハック被害者は、皆が皆、手持ちのゴールドをどこかに送金されています。
この目的はとても簡単で、ゴールドを現実のお金に換金するためでしょう。いわゆるRMT、リアルマネートレードです。
当然彼らは現実のお金を手に入れることを目的としていますので、アカウントBANなど痛くも痒くもありません。ゲームするのが目的ではないので。BANされたらまた新しくアカウントを作るだけです。
アカウントハックをし、ゴールドを手に入れ、BANされる前にRMTしたら業者の勝ちです。BANされるかどうかが勝ち負けではないのが彼らの強いところですね。ゲームを不正に有利に進めるチーターなどは曲がりなりにもゲームをすることが目的なのでBANされると痛いのですが、RMT業者は違います。売れば勝ちです。

リスト型ハックでは手元にリストがありますので、それをガンガン試していけば、IDとパスワードを共通化している人がヒットします。ヒットしたら手持ちゴールドを抜く。言葉で言えばとても簡単ですが、ドラクエ10のハードがWiiであるため少しだけ難しいと思います。Homebrewを動作させる必要がありますので。

そこで便利なのが冒険者の広場。
こいつはPC用サービスですから、もうスクリプトでもりもりと試行することができます。

しかもご丁寧に所持金まで書かれています。

スクリプトで手元のリストのIDパスワードを総当たりチェック。
ログインできたアカウントを所持金順にソート。ここまで全自動でパソコンがやってくれます。
あとはたくさんお金持ってるアカウントに実機で”ゲストログイン”、送金。ここは人間が操作しないとさすがにできないんじゃないかなと思います。常駐している業者アカウントにフレンド申請、承認、PT招待、ルーラストーンで一定の場所へ。所定の移動をして預かり所にいき財産すべて引き出し云々は、なかなかに大変です。人間がやった方が効率的です。

対象を厳選することで発覚を遅らせることもでき(と同時にお金持ち=よくやってるプレイヤーともなりますが)
数打つよりは確実にRMTまでバレずに済む確率が上がり、アカウント単位の収入、これが飛躍的に上昇しますね。

もうこの所持金表示の必要性が全く理解できません。ゲーム中だと即確認できるんですから、わざわざWeb見ることができる必要性は一体どこにあるのか。ないでしょう。他の人に見せることができるならば自慢要素としていいかもしれませんが、自分専用ですよ。あると便利な時もありますが、その恩恵よりも業者の手助けになっている面のほうが圧倒的に大きいでしょう。そもそも最初はありませんでしたし。なくても全くもって気になりませんよ。最初なかったんですから。

あとゲストログインも、かなりアホな仕様としか思えません。
そもそもゲストログインが必要かどうか気になることろですが、ここは一応必要というのが運営の判断みたいなので仕方ないとしますが、しかしゲストログインには取引に制限つけるくらいはしてもいいでしょう。ゲストログインではちょっとレベル上げしたいとかそれくらいでいいでしょう．なんのためにパッケに同封しているコードを本人確認などに用いるようにしているのか。認証されたハード以外では取引不可能、これでも不便はほとんどないはずです。

そんなわけで、スクエニの対応(というか仕様)にも色々と問題があるんじゃないかなという、アカウントハック問題でした。