名無しさん Lv98 雑談BBS (Lv制限:99)
FLEA BBS(こっそり公開)
| タイトル | 件数 | 投稿者 | 投稿日時 |
|---|---|---|---|
| アカウントハック対策 | 37 | 1O.jkB3iIGoC | 2009-06-01 11:08:56 |
| アカウントハックについて運営はなにもしてくれませんよね。 かく言う私のフレの二人もアカウントハックに遭い、 アイテム全て持っていかれました。 運営が何もしないんだったら ユーザー各々で行動しませんか? 対策として 1.パスワードを長い英数字に変更 2.知らない方とのバザー・トレードを利用しないことを一定期間行う そして、もう一つもし、バザー・トレードを利用するならハッキングに遭ってもよい別IDキャラで行い本IDに受け渡すとかよいでしょう 確信はないのですがバザーが怪しいと思います |
|||
| kWh/91zJylJ0 | 2009-06-01 11:51:03 |
| バザーが怪しいというのは、何かトラップが仕掛けられてるという事でしょうか? 過去に噂でありましたね。他人の出品物の値段を操作できるとか・・・ そういう類で、さらに悪意のある物があるとしたら・・・ |
|
| 1O.jkB3iIGoC | 2009-06-01 12:24:44 |
| 確証はないのですが 実はパスワード変更後 バザーだけを利用したIDがハッキング被害に遭ってます 昨日、5月31日午後5時頃のことです |
|
| vL8esUiUl3qp | 2009-06-01 13:03:07 |
| このサイトか、2chか覚えてませんが、最近、事情通のような人の書き込みで バザーは何かの情報を垂れ流しているので危険だとか何とか見た覚えが有りますね。 ただ、ずっとINもしていなかった古参のユーザーがハックされたというような書き込みを けっこう見かける気がするのでどうなんでしょうね。 明確な手口は不明なままですが、かといって何も行動しないのは不安なので とりあえず、トレードやバザーはメインでは行わないようにしてみます。 |
|
| 7T8gaT48Ug67 | 2009-06-01 14:14:09 |
| 盛んに数の変化する消耗品までは守れませんが、 装備品・レア、エキスパ、悪魔などは、現在ある悪魔ロックを強化し、 指定したモノを、一定期間改変・消去せしめる事由より保護する。 というよりもそれらの選択の範疇より除外するというような機能にすれば、 たとえハックされても被害はとても軽く済むはず。 ただ、期間制である以上、不都合なことが沢山起こりうるでしょうが。 トレしたいものを誤って指定してしまったとか、期間の為に機会を 逃したとか。エキスパも悪魔も同様ですね。 しかし、この期間は短縮解除不可能の絶対的なものでなくては意味が無い。 |
|
| kWh/91zJylJ0 | 2009-06-01 15:43:46 |
| フレのフレがハッキング被害にあったそうで、 その方曰く、CPのチャージが危ないと言っていたそうです。 なんでもロックが掛かってないからとか何とかで。 直接ご本人から詳細を聞けないので、多少の想像が入ってしまいますが 要約すると、CPを管理する課金サーバーのセキュリティが緩くて、 そこから利用者の情報が漏れてる(可能性がある)、って事になるのでしょうか? どなたか詳しい方いらっしゃいましたら、補足をお願いいたします。 |
|
| I3EiaKV5tdeO | 2009-06-01 15:49:40 |
| 気になったのですが被害にあわれている皆様 Internet Explorerをつかっていませんか? IEはメジャーな分色々と脆弱性やセキュリティーホールの発見も早いわけで それをついて今回の様な事象が起きている気がします。 被害に遭われた方がどのブラウザーを使われているのが気になります…。 自分はIE以外のブラウザーを使用しています。 |
|
| ZPqBGGiuCwT. | 2009-06-01 16:04:52 |
| クラメンもバザーが怪しいといってました。もし、そうだとしたら、一刻も早く運営側が対処すべきです。 | |
| 3eeOzN.sOKTB | 2009-06-01 16:22:03 |
| CP管理の様な決済代行を行う会社のサーバーのセキュリティの穴をつけるんだったら、ゲームのアイテムを奪うなんてせこいことはしないと思うのでその線はないと思うなぁ。 そんなことになったらネット通販業界が揺るぎかねない事態だと思います。 それにCP購入するときにログインIDやパスワードは必要ないしね。 (会員サイトにはログインしなくちゃですけど) |
|
| UTfDSxgigzWi | 2009-06-01 16:28:21 |
| 正直、バサでIDが抜かれるなら、何をしても同じかと思いますよ バザがID単位であるので、何らかのIDを特定する情報は 送受信されているとは思いますが > 確信はないのですがバザーが怪しいと思います は思い込みだと思います *** > CPのチャージが危ないと言っていたそうです。 は、本来ありえませんが、 フィッシングはありえますので、そちらは注意が必要かと *** 確かに運営の情報公開に問題はありますが、 今回のアカハックはそんなに簡単な話ではないのではないでしょうか パスワードを長くしても 本気でハックする気になれば気休めです 確率的に最大16文字のパスワードを 総当りでハックするとはおもいませんけど する気になればできてしまいます > CPを管理する課金サーバーのセキュリティが緩くて、 はありえない話ではありませんが、 抜かれることは確率的には低いはずです 言い方を変えれば、現在起こっている問題は 通常ではあまり考えられない状況です にもかかわらず、運営側がなんら情報を発信せずに現在に至っているのが 最大の問題だと思っています 上記の話も確率的にはきわめて低いだけで 可能性がゼロではありません かといって、ここで記述されて 公式に否定されなければ暗黙の事実として認知されかねません 少なくとも私の知識の範囲では ここで書かれた内容は「憶測」でしかありませんが 一方で、全面否定できるほど事実を把握できる立場でもありません 運営の方には、 現在のユーザーの不安を助長しないために 不確定な情報を出さないという方針なのでしょうが 早くに方針なり、進捗なりなんらかの情報の提供をお願いしたいと思います |
|
| nlxsNcWplqWI | 2009-06-01 17:40:32 |
| ちょっとLOGINに関して変なのを発見 公式からLOGINする場合 いつも一度青いボタンを押して エラーにさせてLOGIN画面からINしているのですが それはそのままでいいとしとして きちんとLOGOUTしないで別のHPに移動した場合 ・再度青いボタンから入ると同じようにエラーで LOGIN画面に飛ぶのですが ・右上の黒い「メンバーログイン」ボタンを押すと そのままログインできてしまいますね あと、それを確認しようとしてもう一つIE立ち上げて LOGINしてみたら多重でINできますね 直接は関係ないかもしれませんが 公式のメンバーサイトの利用が危険ということはないでしょうか 素人考えなので的外れかもしれませんが 公式からだといくらでも多重ログインが出来てしまうのに ちょっとビックリしたもので・・・ |
|
| e8FCRntE2Ow9 | 2009-06-01 22:57:47 |
| 以前別アカでキャラを作ろうとした時、新規ID作成フォームからのメールの転送先がスパムアドレスになっていて、いまだにそのアカウントのメルアドにだけ迷惑メールが山ほど来てて困ってたりします。(その後フォーム自体は修正されたようですが・・) そんなヘマを簡単にされてしまう運営なのだから、今回の事件も運営側のセキュリティの問題のような気もします・・ね |
|
| IKYd1SC1FZ5w | 2009-06-02 00:22:44 |
| エムゲームのメンバーサイトに脆弱性が発見され、他人のIDでログインできて しまっていたらしいですが、同様の穴があるのかもしれません。 また、現在、オンラインゲームをターゲットにしたマルウェアが蔓延しています。他のオンラインゲームでもアカウントハックが多発しています。 前者の場合はケイブの責任ですし、後者はユーザーの不注意が原因です。 どちらにしても、運営がアカウントハック被害が多発していることをユーザーに告知して、注意を喚起すれば、ここまでユーザーの反感を買うことはなかっただろうに。 |
|
| UTfDSxgigzWi | 2009-06-02 00:50:12 |
| > 彊さん その状態は正常です 一度接続したブラウザーには、ログイン状態を保持した クッキーが保存されており、 ブラウザを終了するか、一定時間が経過するまでは クッキーは残っていますので そのような状況になります しかし、何か情報を開示してもらわないと不安ですねぇ ユーザーとしてはログインしっぱなししか自衛の手段がないのですからね |
|
| nlxsNcWplqWI | 2009-06-02 06:06:15 |
| >サクヤさん ご解説有難う御座います 更に不安なことに気付いたのですが ハック防止のため常時IN状態という手段が有効かと思っていましたが ゲームプレイ中でもHPからログインして PWを変更されてしまう可能性はあるんでしょうか こちらは多重IN可能なので 秘密の答えを抜かれたら打つ手無しですかね~ |
|
| 7YRbf6T.B5V6 | 2009-06-02 13:54:07 |
| >>ゲームプレイ中でもHPからログインして >>PWを変更されてしまう可能性はあるんでしょうか 可能ですね。 予防の為、常時IN状態なのですが、 ただ、どうしてもPC電源切らないといけないときには この方法でパスワード変更してOUTしてます |
|
| CRAxOnab9xus | 2009-06-02 17:44:59 |
| IDが最初から判明しているのか、IDごと総当りされているのかは現時点で 不明なんですよね。 パスを変更した後被害に遭ったという方は、どんな文字列にしていたので しょうか。 数字のみ6桁=1000000通り → 総当り受けたら数秒で抜かれます。 小文字のみ8桁=208827064576通り → 数分で抜かれます。 大文字・小文字・数字混成16桁=計算機の表示桁数が足りません(汗) 多分、ハッカーさんが一生かけても終わらないブルートフォースに なります。 キャラや仲魔に愛着があって、アカウントを守りたいと思うならこの くらいやるべきだと私は思うのですよ。 これでも抜かれたら、パスごとの漏洩という事になりますネ。有り得る んだろうか。。。。 |
|
| GJLH3njJjkLB | 2009-06-02 20:48:53 |
| 俺のメイン垢はID、パスとも11桁以上の文字数字混合の不規則な羅列だし 最初に登録してから両者を変更した事は無いが現状で不正ログインの対象にはなってない 当然IDとパスは毎回入力してるし此処にもメインIDで来たことは無いな |
|
| n1S0lY3cj7af | 2009-06-02 22:42:39 |
| 運営さんにがんばってもらって、 希望者はIP登録制とか無理なんでしょうか? 公式ページでこのIPを登録しますか?って感じで登録して 他IPからの接続は全て受け付けないとか もちろん変更もそのIPからのみ可能で 気軽にネットカフェとかは利用できなくなりますが、 あくまで希望者のみ処置とかでなんとかなりませんか 技術的に難しいかわかりませんが・・・ |
|
| IKYd1SC1FZ5w | 2009-06-02 23:32:16 |
| 単純な総当たりなら、認証ページの応答時間も考えると、英数字混在を破る のは、ほぼ不可能です。総当たりといっても、ある程度意味のある単語や 数字の組み合わせを順番に試すものなので、完全に頭から総当たりはしな いと思います。 つまり、推測されにくい英数字を組み合わせ、さらにパスワードは大文字 と小文字を区別するので、大文字小文字混在にしておけば、解析で破られる ことはほぼ不可能と考えてよいです。 ただし、どんなに複雑なパスワードでも、マルウェアに入力時に抜かれれば 一発でおしまいです。 |
|
| nlxsNcWplqWI | 2009-06-03 03:00:05 |
| >大石倉之助 さん 分かりやすい説明参考になりました 有難う御座います >ある程度意味のある単語 とは、日本語ローマ字の単語ですか?英単語ですか?両方かな? あと、マルウェアってなんですか?(無知ですいません) |
|
| IKYd1SC1FZ5w | 2009-06-03 04:31:42 |
| >ある程度意味のある単語 パスワードに使われそうな英単語、日本人が使いそうなローマ字単語両方 ですね。総当たりで、nekonekoとか入れれば一人くらいヒットしそうな 気がしますよね。でもNeKo0909とかなら、そうそう偶然ヒットしない。 マルウェアとは、ウィルスの一種で、PCに潜んで、ゲームクライアントや ウェブサイトへのID、パスワード入力を記録して、犯罪者のサイトに送信 したりします。一般のウィルス対策ソフトでかなり防げますが、亜種が多 く、確実ではありません。悪意のあるホームページの閲覧や、ダウンロード した怪しいプログラムの実行などで感染します。 |
|
| I3EiaKV5tdeO | 2009-06-03 04:50:52 |
| えっと、ゲームにIN中にPASS変えられてしまう可能性ですがあります。 IN中にSYSTEMからDB-NETへアクセスしてみてパスワード&IDエラーの 画面が出る場合(何回か繰り返しても出る場合)は確実にPASSが変わって いるのでゲームを中断しないでそのままの状態で、即ブラウザを起動して 秘密の言葉を使用して仮ログインしてPASSを皆さんがおっしゃられてる 様に英数大文字小文字混在にして一応運営に報告するのが良いと思います。 どうでしょうか? |
|
| nlxsNcWplqWI | 2009-06-03 05:13:02 |
| 大石倉之助さん 分かりやすい説明有難う御座いました nekonekoの話ドキッとしました 以前石キャラとかどうでもいいのは似たようなことしてました マルウェアとは やっかいそうだね >霊烏路 空 さん 読み返してみたらこれも自分の質問でした やっぱりそうですかぁ ナイスアドバイスです 有難う御座いました |
|
| CMptxNeev/ae | 2009-06-03 05:42:29 |
| >ジェームス・ルイス >>その方曰く、CPのチャージが危ないと言っていたそうです。 >>なんでもロックが掛かってないからとか何とかで。 これはCPを使用する際にパスワードを必要としないことではないでしょうか? 推測の域をでませんが・・・ さて、対策ですが特定されにくいパスワードにするくらいしかなさそうです。 残念ながらIDはシステム上判明できます。 パスクラックするなら総当りではなく、成否にかかわらず ID+辞書→辞書攻撃で次のIDへ進めばかなりの時間短縮になると思われます。 >>でもNeKo0909とかなら、そうそう偶然ヒットしない。 単語+日付形式の数字では辞書攻撃に該当する場合があるのでやめたほうが良いです。 1.数字は日付・語呂はやめたほうが良いです。 2.大文字にしても文字の切れ目では効果が薄くなります。 ・NeKoNeKo(子音大文字は効果小) ・nEKonEkO(複合は効果中) 3.見た目が似ている文字に変換するのもやめましょう ・walker→wa1ker ウイルスは疑ってもキリがありませんね。 |
|
| kWh/91zJylJ0 | 2009-06-03 11:39:38 |
| CPチャージに関しては意図が分からないままですが、 ロック云々については、ブラウザで表示される鍵マーク(SSL保護の印) が表示されない場所があるから、という事だったようです。 DB-NETに接続する際にも鍵マークが無いことって度々ありますよね・・・ というか、今現在ゲーム内からDB-NETに繋がらないのは何故?? |
|
| UTfDSxgigzWi | 2009-06-03 12:32:40 |
| > 真神 伊舎那 さん > 残念ながらIDはシステム上判明できます。 は、ないはずですが? もし、本当に判明できるのならきわめて重要な脆弱性 いや、脆弱性というレベルではないはずです 具体的な内容を公表する必要はありませんが、 本当なのでしょうか? |
|
| 6xmWPxNq853l | 2009-06-03 12:50:06 |
| 先ほどフレがハックに遭っていたことが判明しました。 INしてみたら第3の倉庫前でまっぱ、おまけにコンプ・悪魔倉庫内の仲魔がすべて捨てられていたそうです。 彼女からのメールは遣りきれなさが滲み出ており、「引退し、二度と戻らない」と、締めてありました。 愛着のある仲魔を一生懸命育てていたことを思うと、慰めの言葉もでません。 わたしも現在は一気に熱が冷めたというか見切りをつけたというか・・様子見にINする以外はなにもしていません。今後プレイを続けるかも激しく疑問ですが・・・。 今の状況化で、ログアウト時のあの一文は痛烈な皮肉ですね。 「お休みの間、悪魔に肉体を乗っ取られぬよう、お気をつけて・・・。」 |
|
| xIxy/v4/7Sg. | 2009-06-03 13:49:15 |
| ハックスレが多すぎてどれに書き込んでいいかわからず、 1番上にあったスレに書込みます。 昨日より システムエラーばかりなのですが やはり 国内外の回線を規制してるからでしょうか 今、ちがう場所からのインですが ここからだと普通にインできます 自宅のpc(プロバイダー別)からだと システムエラーです 問い合わせしても返事をもらえないのでここにかきます。 同じ状況の方いらっしゃいますか? |
|
| 1O.jkB3iIGoC | 2009-06-03 15:37:46 |
| 今日、ハック疑惑のキャラクター前で裸で放置してたら、 【89?】ってTELLきました 分からない中国語がきたあと で、トレ飛ばしてしました。 89って彼らの隠語で【ハック】の様です。 こういうとき、運営側で両方のキャラを凍結してもらいたいものです。 他にタイマーログインとか考えられませんでしょうか? キャラクターに設定して何時~何時までは ログイン試みてもINできない仕様とか 平日昼間絶対にINできない社会人とか便利な仕様だと思いますが 如何でしょうか? |
|
| pejAMb8zKKxb | 2009-06-03 17:17:11 |
| >サクヤさん >>残念ながらIDはシステム上判明できます 本人ではありませんが、 一応、私も心当たりがひとつあります。 もっとも、真神 伊舎那さんが言っているのが その方法かどうかはわかりませんが。 私もOβからの参加ですが、 ハックにあっていないのはその方法では 特定されにくいIDだったからかもしれません。 |
|
| tJQJYs405pA3 | 2009-06-03 21:39:36 |
| アメリカのフレですが、今はいってきました。 海外をブロックしてもプロクシで入って、 トレードくらいはできちゃうので意味がないそうです。 おもくて戦闘したり、pt組めないので アカウントハッカーにはまったく関係ない。 アメリカのブロックは解除してください。 |
|
| tJQJYs405pA3 | 2009-06-03 21:43:30 |
| seucre.cave-online dbネットなど、 情報交換の場所にすら入れないようで… |
|
| CMptxNeev/ae | 2009-06-04 02:33:03 |
| >>残念ながらIDはシステム上判明できます 初期登録でIDを入力するときに入力したIDが既に使われているかわかります。 この方法はどこのシステムでもできますので脆弱性にはなりません。 IDが判明することは問題になりませんので、あしからず。 >ジェームス・ルイス >>ロック云々については、ブラウザで表示される鍵マーク(SSL保護の印) >>が表示されない場所があるから、という事だったようです。 公式トップからのログインでしたら問題ありませんよ。 ログイン画面には鍵マーク(SSL保護の印)がなくても大丈夫です。 ログイン後の画面がhttpsになっていればID/パスワードは暗号化されて送信されています。 |
|
| LmzDU6oKVGNM | 2009-07-10 15:58:09 |
| 注意喚起age | |
| .1P8uHhFmwyw | 2009-07-11 12:59:11 |
| 常時ログインができる環境がない人はいつアイテム、仲魔がなくなってもいいという覚悟をしておいたほうがいいです 軽侮はなにもしません |
|
| 8eh4s90NpTch | 2009-07-11 16:20:39 |
| 自分の周りだと、結構、休止中の垢なんかもハックされてるみたいなんで ID・PASS等の流出は…多分内部流出でしょうね 正直、対策らしい対策はないと思います ただ、盗品業者とここまでの垢HACKの状況なんかを見ていると 5月末:盗品デパートOPEN間近の為に大量仕入れ! とりあえず、たくさんHACKしてOPENセール用の売り物を確保! 最近:OPENセール終了! まだ、セール時の在庫(イベントリ・業者内の余剰在庫)在庫が余ってて これ以上在庫が管理できないので、在庫が切れたらその都度仕入れ(HACK)! って流れのようですね… 常時、管理できない程の在庫を抱えさせる… 要は盗品を買わなければHACK自体は沈静化するでしょうが… 最近はこちらの買いトレに対して業者が自ら売り込みに来ることもあるし 何より盗品と通常品の区別が付かない以上、 運営が業者キャラの垢を凍結でもしない限りはこのタイプのHACKは 対策のとりようがないと思います もし運営が原因の究明・なんだかの対策をこうじたなら、 普通はHACK報告がほぼ0まで落ちるはずですから… 正直、6月6日の時点で盗品売買に対し安全宣言をだした運営の意図が解らない今日この頃でした |
|
| .1P8uHhFmwyw | 2009-07-11 18:01:59 |
| age | |