艦これ アカウントハック事件から見る、艦これ側の問題、ユーザー側の問題
現在Twitterで艦これのアカウントハックについて賑わっています。この事件をきっかけに、艦これに関わるセキュリティ問題について、少しまとめてみたいと思います。
艦これ運営側の問題
通常、ログイン機能や決済機能など、個人情報の入力が必要となる、WEBページやWEBアプリケーションを提供する場合、通信の暗号化を行うために、SSL通信を実装するのが基本です。
[aside type=”normal”]
SSL通信とは、第三者機関が発行した電子証明書を利用して、通信先のサーバーの実在証明を行い、第三者によるなりすましや、通信内容の傍受を防ぐ役割を果たす物です。
[/aside]
皆さんがよく利用するTwitterでは当たり前ですが、SSL通信を利用しており、Chromeでアクセスすると、上図のように緑色の鍵マークが表示されます。
更に発行されている証明書を確認すると、DigiCertよ呼ばれる第三者機関が、twitter.comに対して発行した証明書であることが分かります。これでサーバーの実在証明を行い、第三者によるなりすましを防いでいます。
https接続であれば安心というには早計で、この電子証明書が正しい物かどうかが重要になってきます。例えば、電子証明書が信頼されていない第三者機関に発行されたもの(偽装のおそれがあるもの)を利用している場合、上図のように警告が表示され、ユーザーに対して注意喚起を行います。
ログインページはきちんとSSL暗号通信が利用されている
艦これにログインする際は、DMMのIDを利用してログインしますが、このログイン画面については、きちんとSSL暗号通信が利用されていることが確認できますし
発行された電子証明書についても特に問題は見つかりません。
しかし、ログイン後のゲームプレイページでは、SSLを利用した暗号通信が行われておらず、一切暗号化されていないhttp通信を行っていることが確認できます。
Wiresharkというネットワークパケットキャプチャツールを立ち上げながら、艦これにログインしてみると、Token情報が暗号化されず平文で送信されていることが分かります。
にわかには信じられない結果となりましたが、このToken情報等を悪用することで、悪意のある第三者がアカウントを容易に乗っ取ることが可能です。
自分のスマートフォンのテザリングを利用しており、利用者は自分以外絶対に居ない、と担保できる環境であれば、第三者に漏洩するリスクは下がりますが、公共Wi-Fiアクセスポイントや、無料のWi-Fiアクセスポイントを利用して、艦これにログインすると、いつの間にかToken情報等が傍受され、アカウントを乗っ取られる可能性が出てくるわけですね。
利用者側の問題
さて、艦これ側だけの問題にフォーカスを当てていましたが、利用者側には何の問題も無かったのでしょうか?
不正ログインされたタイミングが不明なので、断定は出来ませんが、単純にログイン画面を盗み見られ、不正にログインされた可能性も拭いきれません。
ログインする際に、ユーザーIDとパスワードをキーボード入力しているところを、悪意のある第三者が盗み見て、不正にログインを行う方法をショルダーハッキングと呼びます。
イベントなど、第三者の目線が多い場で艦これにログインした際に、悪意のある第三者にユーザーIDとパスワードを盗見られてしまうと、簡単に不正ログインを許してしまいます。
厄介なことに、被害者はユーザーIDとパスワードを盗み見されているなんて思いもしませんので、ユーザーIDとパスワードが漏洩したことに気付くことが出来ません。
結果、後日ログインした際に、初めて不正ログインされていることに気付くといった悲劇を生んでしまいます。
対策
これらの悲劇を防ぐためにできる対策方法について、運営側であるDMMと、私達ユーザー目線に立った際に、取り得る対策についてまとめてみます。
DMM側の対策
- ゲーム画面においてもSSL暗号通信を採用する
- 二要素認証機能を実装する
ユーザー側の対策
- 無線LANを利用する場合、信頼できるアクセスポイントを利用する
- 公共の場でWebサービスなどへのログインは控える
- PCやスマートフォンにのぞき見防止フィルターを付ける
まとめ
最近アカウント乗っ取り事件について良く耳にするようになりました。自分は引っかからないよ、と慢心している方ほど、被害に遭いやすい傾向にあります。
インターネットや、PC、スマートフォンの普及率が非常に高まり、娯楽や生活に密接に関わるようになってきているのに対し、ユーザーのセキュリティ意識に対する関心が薄いように思えます。
今回の事件を受けて今一度、自分のセキュリティに対する意識はきちんとしているか、セキュリティ対策は万全か総点検すると良いかも知れませんね。
Source: 黒翼猫のコンピュータ日記 2nd Edition
コメント