注意
このページは外部ツールの存在を警告し、自衛を促す目的で作成されています。
(「プレイヤーサーチでヒットする範囲のキャラクターの情報を収集する」という当該のツールの機能から考えて、ユーザーが自衛できる部分は非常に少ないと考えられますが)
(「プレイヤーサーチでヒットする範囲のキャラクターの情報を収集する」という当該のツールの機能から考えて、ユーザーが自衛できる部分は非常に少ないと考えられますが)
また、Tiamatで行われたモブハンツアーの主催者の一人がPlayerScopeを使用していた旨の記述を削除する工作が継続的に行われているため、非ログインユーザーによる編集を制限しました。
概要
発生日:2025年1月11日頃(話題が拡散され始めた時期)
ブラックリストの仕様を利用し、同じアカウントのキャラクターを調べる外部ツールの話題が拡散。
(ツール自体は以前から稼働していた模様)
ブラックリストの仕様を利用し、同じアカウントのキャラクターを調べる外部ツールの話題が拡散。
(ツール自体は以前から稼働していた模様)
解説
※管理人注:当該ツールの入手手段や導入方法といった情報を記載しないようにしてください。
■フォーラムのスレッド(海外)
SE Please start caring about your players privacy.
https://forum.square-enix.com/ffxiv/threads/514672
■Xのポスト
Eorzean @eorzean_info
ブラックリスト機能の改修でゲームクライアントにプレイヤーのアカウントIDが送信されるようになり、これを悪用してサブキャラを特定したり滞在マップの履歴を閲覧できるツールが出ています。既に配信者のサブキャラリストが作成される等の被害あり
GitHub規約違反に該当するため有志による通報や、海外メディアからスクエニへ対応を問い合わせ中
Eorzean @eorzean_info
Reddit情報によると既に収集されたデータベースはブラウザ上で確認できる状態になっているとのこと。今回のツールが停止されても簡単なパケット解析でアカウントIDを見ることができてしまうためゲーム側での対策が必須
同エリアにいなくてもプレイヤーサーチに表示されるだけでアカウントIDが送信されている、と半年前のスレッドで懸念が表明されていました。
https://reddit.com/r/ffxiv/s/f5YnxLVRNa
■Youtubeの動画
Players Beware: Terrifying Plugin Coming To FFXIV! (MORE INFO IN DESCRIPTION)
https://www.youtube.com/watch?v=yDHcThOxqSk
■国内ニュースサイトの記事
【FF14】IDに紐づけられた全てのキャラクターや名前変更履歴などがわかる外部ツールの存在が話題に。脆弱性を利用
https://kultur.jp/ffxiv-playerscope-controversy/
『ファイナルファンタジーXIV』の吉田P、キャラクターIDの一部を参照する外部ツールに対して法的措置を検討中だと発表
https://jp.ign.com/final-fantasy-14-dawntrail/78121/news/xivpid
『ファイナルファンタジーXIV』の吉田P、キャラクターIDの一部を参照する外部ツールに対して法的措置を検討中だと発表 (上記IGNのYahooニュース版)
https://news.yahoo.co.jp/articles/0440d97676d3f961aacd80e750486e95e12719be
■海外ニュースサイトの記事
Final Fantasy 14 communities panic as it turns out change to blacklisting, meant to help reduce stalking, also lets players use mods to track their alts
https://www.pcgamer.com/games/final-fantasy/final-fantasy-14-communities-panic-as-it-turns-out-change-to-blacklisting-meant-to-help-reduce-stalking-also-lets-players-use-mods-to-track-their-alts/
This hidden variable was changed from being character-wide to account-wide with Dawntrail and the increased power of the blacklist function, as stated by a player who'd warned said subreddit about six months prior, who wrote: "One could make a tool that would log Account IDs and match them with character names. With this database, it's obviously possible to figure out alt characters if they were ever online."
この隠し変数は、Dawntrail とブラックリスト機能の強化により、キャラクター全体からアカウント全体に変更されました。これは、約 6 か月前にこの subreddit に警告したプレイヤーによって述べられており、次のように書かれています。「アカウント ID を記録してキャラクター名と照合するツールを作成できます。このデータベースがあれば、代替キャラクターがオンラインになったことがあるかどうかを把握することは明らかに可能です。」
(Google翻訳による)
当該のツールはPlayerScopeという名称。
遭遇したキャラクターの(通常の方法では確認できない)情報を収集する機能を持つ。
遭遇したキャラクターの(通常の方法では確認できない)情報を収集する機能を持つ。
簡単に言えば、「ブラックリストの仕様からアカウントIDを取得し、それを元に同じアカウントに属するキャラクターを調べる」「キャラクターの行動を調べる」といった機能であり、例えば「そのプレイヤーの、秘匿されたサブキャラクターを特定する」「特定したキャラクターの行動を追う」といった目的に使用される。
海外ではストリーマーの別キャラクターが晒されるといった被害の報告が上がっている模様。
海外ではストリーマーの別キャラクターが晒されるといった被害の報告が上がっている模様。
エリア移動をはじめとした行動履歴、キャラクター名変更やホームワールド変更履歴、幻想薬使用履歴の開示といった機能の存在も確認されているが、これらの機能がどの時点で搭載されていたかは不明。
これらのサービスの利用履歴は有償サービスの利用履歴を含んでおり、そういった意味でも問題として大きい。
これらのサービスの利用履歴は有償サービスの利用履歴を含んでおり、そういった意味でも問題として大きい。
プレイヤーサーチの結果に載る範囲に入るだけで情報を収集されてしまうため、回避は極めて難しいと言える。
極論すれば、ログインするだけでリスクとなる状況であると言えるだろう。
少なくともキャラクター単位の情報収集は以前から行われており、今回新たに出現したものではない(今回確認されたものは「ブラックリストの仕様を利用してキャラクター同士を紐付ける」のが新機能である)ことに注意が必要である。
経緯
2025年1月11日頃
海外サイトを中心にツールの情報が広まり始める。
当該ツールは2024年10月から存在しており、一部のユーザーにだけ配布されていたという証言がある。それが最近になり一般に配布されるようになったという経緯の模様。
当該ツールは2024年10月から存在しており、一部のユーザーにだけ配布されていたという証言がある。それが最近になり一般に配布されるようになったという経緯の模様。
2025年1月14日
Githubでソースコードが公開されていたが、Github運営はこれをBANしたとの情報あり。
ただし、他のサイトでツールの配布が継続している模様。
ただし、他のサイトでツールの配布が継続している模様。
Eorzean @eorzean_info
GitHubで一時公開停止となりましたが既に他のアップロードやフォークが存在している模様
2025年1月16日
Discordで配布が始まったとの情報あり。
2025年1月19日
公式放送があったものの、言及はなかった。
「新春ドマ式麻雀大会2025」 1月19日(日)放送決定!
https://jp.finalfantasyxiv.com/lodestone/topics/detail/1e1a44e04d3efd8ac26ac5aaf65ac77c49a3a3de
2025年1月21日
北米で、収集されたキャラクターデータが公開されたとの情報あり。
「北米ではMODやツールの使用が批判されるどころか推奨されている」「それは吉田P/Dが何もしないとプレイヤーに思われているから」という証言も含まれている。
「北米ではMODやツールの使用が批判されるどころか推奨されている」「それは吉田P/Dが何もしないとプレイヤーに思われているから」という証言も含まれている。
PCGamer 記事: 危険なストーキング MOD
https://forum.square-enix.com/ffxiv/forum.php#threads/514622/?page=16
shiraneko said:
Player
今日 14:21
どうもNAプレイヤーです。日本語がまだにくいのですみません。
最近話題になっているストーカーツールだけではなく、NAデータセンターではツール使用する大問題があります。
もともとNAサーバはJPサーバとは違い、ツールやMOD使い文化があり、あまり軽蔑することじゃなくて、むしろ推奨されています。自分の印象では大多数のプレイヤーはツールを使用している状態です。とくに三年前、「〇〇LAUNCHHER]というツール開発APIがリリースされた後、ツールの開発と使うのが非常に便利になってきました。チーティングツールとか、マーケットボード自動価格引き下げとか、ハウジングアイテム配置、PVP自動行動、そのほかにも山程あるんです。現在ではほとんどの使っているツールの原点はこのランチャーです。そして私にとって最も大問題なのは「AUTOMARKER]という自動マーカツールでギミックによってプレイヤーをマークするツールです。このツールは利用者だけじゃなくて、無関係なプレイヤーも巻き込まれています。今のNAサーバのPFではほとんどの絶パーティーは「AM]を使用していて、AMと関係したくない人もAMを強制された状態です。何故こんな状況になっている?と、それは”吉Pさんは何もしないから”とのプレイヤー印象があるんです。
本当になんとかしてください。;_;
shiraneko said:
Player
今日 15:32
2件投稿して申し訳ありません。4chというサイトによってもうすでにプレイヤー情報が出回って公開された。今朝、とあるファイルが悪意のある人物に漏洩された。このファイルはCrystalデータセンターのプレイヤーアカウントID、そしてそれぞれのアカウントに関連付けられたキャラクター名も漏洩されました。噂によると、Aetherデータセンターも情報収集中。運営チームは迅速に対応すべきだと思います。
なお、この投稿は1時間ほどで削除された。
削除の理由は「不適切な内容が記載されていたため」となっている。
削除の理由は「不適切な内容が記載されていたため」となっている。
shiraneko said:
今日 14:21
理由: 不適切な内容が記載されていたため削除いたしました。
shiraneko said:
今日 15:32
理由: 不適切な内容が記載されていたため削除いたしました。
補足:AUTOMARKER(オートマーカー)について
文中で触れられている「AUTOMARKER」については下記のフォーラムのスレッド等を参照のこと。
オートマーカーによるギミック処理について
https://forum.square-enix.com/ffxiv/threads/481530
「オートマーカー」の名称が表す通り、自動でフィールドマーカーを設置する、規約違反となる外部ツールである。
【アラガンメロン】の隠語で使用され(略称がAMであるため)、戦闘中にフィールドマーカーを設置できなくする仕様変更の一因になったとされている。
【アラガンメロン】の隠語で使用され(略称がAMであるため)、戦闘中にフィールドマーカーを設置できなくする仕様変更の一因になったとされている。
FINAL FANTASY XIV Patch 5.2
フィールドマーカーに、以下の追加/変更が行われます。
◆マーカー情報の保存・復元機能が追加されます。
◆戦闘中に、フィールドマーカーの設置/解除ができなくなります。
2025年1月24日
フォーラムに「ドイツのデータ保護当局に正式な苦情を申し立てた」という内容の書き込み。
投稿者のメインアカウントは、ツールについての書き込みにより10日間の書き込み停止を受けている模様。
投稿者のメインアカウントは、ツールについての書き込みにより10日間の書き込み停止を受けている模様。
Atinuviel said:
Player
今日 06:37
変に聞こえるかもしれませんが、Google で自動翻訳しています。
私はドイツのデータ保護当局に正式な苦情を申し立て、Square が私の個人データに関して「GPDR - General Data Protection Regulation (from European Union)」 に違反していると主張しています。
「tool」とそこから生じる問題について入手可能なすべての証拠をリストしました。また、Square は「tool」全般に対して何の措置も講じておらず、この問題と適切な保護の欠如によるシステムの脆弱性につながっています。
また、Square はユーザー向けの情報やこの問題に対する具体的な対策も公開していないと述べました。
今後も最新情報をお知らせします。
前回のメッセージでは、「tool」についてお知らせするためにここに投稿しましたが、私の「Main-Account」は 10 日間ブロックされていました。
この情報がまだ届いていることを願っています。
なお、この書き込みは同日に削除された。
Atinuviel said:
今日 06:37
理由: 不適切な内容が記載されていたため削除いたしました。
2025年1月24日 公式の声明発表
FINAL FANTASY XIV/FF14 @FF_XIV_JP
【お知らせ】
「キャラクターIDの一部」を参照する外部ツールについて
プロデューサー兼ディレクターの吉田がフォーラムにコメントを投稿しました。
詳しくはフォーラムをご覧ください。
🌐https://sqex.to/8GSl4 #FF14
X(旧Twitter)への投稿とフォーラムでの告知はあるが、Lodestoneのトップページや起動ランチャーに表示されるトピックスにはない。
PlayerScopeはFF14史上有数の規模の影響範囲を持つ外部ツールだが、その存在はユーザーにはそれほど知られていないため、現時点で存在を認識していないユーザーに情報を与えまいとしている可能性が考えられる。
PlayerScopeはFF14史上有数の規模の影響範囲を持つ外部ツールだが、その存在はユーザーにはそれほど知られていないため、現時点で存在を認識していないユーザーに情報を与えまいとしている可能性が考えられる。
「キャラクターIDの一部」を参照する外部ツールについて
https://forum.square-enix.com/ffxiv/threads/515101
通常のゲームプレイでは表示できない「キャラクターIDの一部」を確認・参照することで、
FFXIVサービスアカウント内の別キャラクター情報等を確認する外部ツールの存在を確認しています。
開発/運営チームではコミュニティの皆さんのご不安の声も含め状況を理解しており、
当該ツールの配布取り下げと削除要求
法的措置の検討
といった対応、および検討を進めております。
「キャラクターIDの一部」とあるが、実際に問題になっているのはアカウントIDや行動履歴である。表現により、問題を矮小化しようとしている可能性が考えられる。
また、ユーザーに大きな被害を及ぼすと考えられる「既に収集された情報をインターネット上に公開する行為」についての言及はない。
インターネット上に公開された情報を全て消すことは困難を極めることが予想されるが、収集したデータの公開や拡散への対策を取らなければ後の被害を防ぐことはできない。
また、ユーザーに大きな被害を及ぼすと考えられる「既に収集された情報をインターネット上に公開する行為」についての言及はない。
インターネット上に公開された情報を全て消すことは困難を極めることが予想されるが、収集したデータの公開や拡散への対策を取らなければ後の被害を防ぐことはできない。
これについては、「ユーザー個人による、単体の対象へのPlayerScopeを用いた非公開の情報の閲覧」のみを問題視しており、PlayerScopeによるデータの収集や、それによって作られるデータベースの存在を認識できていない、あるいは意図的に触れていない可能性もある。
フォーラムの投稿等により対応に対する疑問の声が上がっているが、中でも多くから問題視されているのが「クライアントの改修が予定にない」という点である。
いわゆるセキュリティホールだが、声明文にはPlayerScopeの開発や配布の阻止にしか言及がなく、FF14側の不備の修正には触れていない。
そもそも、「ブラックリストに使用するアカウントIDをはじめとしたプライベートな情報が(通常の方法では閲覧できないとは言え)ユーザーから閲覧できる状態になっている」という点がPlayerScopeの利用を可能にしている。
仮にPlayerScopeの開発と配布を止めさせたとしても、例えば「データベースを作成せず、対象のキャラクターの行動履歴を見るだけの外部ツール」といったものがPlayerScopeのソースコードから開発可能であることは想像に難くない。
いわゆるセキュリティホールだが、声明文にはPlayerScopeの開発や配布の阻止にしか言及がなく、FF14側の不備の修正には触れていない。
そもそも、「ブラックリストに使用するアカウントIDをはじめとしたプライベートな情報が(通常の方法では閲覧できないとは言え)ユーザーから閲覧できる状態になっている」という点がPlayerScopeの利用を可能にしている。
仮にPlayerScopeの開発と配布を止めさせたとしても、例えば「データベースを作成せず、対象のキャラクターの行動履歴を見るだけの外部ツール」といったものがPlayerScopeのソースコードから開発可能であることは想像に難くない。
PlayerScopeに絞った対策をしても、クライアントやブラックリストの仕様を変更しない限り別の外部ツールが用いられる可能性は否定できない。
同様の機能を持つ別の外部ツールが既に開発されているという情報もある。
同様の機能を持つ別の外部ツールが既に開発されているという情報もある。
2025年1月24日 吉P散歩
「吉P散歩」はプレイヤーサーチの対象外である特殊なエリアで行われた。PlayerScopeを警戒してのことと見られる。
ゆるゆる生放送「吉P散歩」 1月24日(金)放送決定!
https://jp.finalfantasyxiv.com/lodestone/topics/detail/4b87c9b29226934c14897ba5c9570baee343c67f
2025年1月27日
PlayerScopeによって収集された情報から作られたデータベースが公開されたとの情報あり。
MiaBlaze-Cari said:
Player
今日 17:42
EU プレイヤーです。翻訳を使用していますが、失礼な表現がありましたらお詫び申し上げます。
コミュニティの皆様、スクウェア・エニックスの皆様、
ここに投稿して申し訳ありませんが、この悪意のあるツールに関する状況全体の最近の進展を共有するにはここが適切な場所だと感じています。
約 8 時間前、法的措置が検討されているという最近の発表への対応として、完全に機能するサーバーと 145,000 件を超えるエントリを含むフォークされたデータベースが公開され、多くの悪意のある人物がこの悪意のあるツールにアクセスできるようになりました。
これにより、ストーカー行為の被害者となったプレイヤーにとって現在の状況は非常に危険であり、状況が悪化するのではないかと心配しています。この状況の最近の進展を考えると、プレイヤーとブランドへの被害を回避するために、このセキュリティ問題をできるだけ早く修正することが非常に重要です。
Discord サーバーを監視している人物 (保護のため、身元は明かしません) によると、彼らは開発を中止しておらず、発表を恐れてもいないとのことです。これらの人々は危険であり、人々に関する膨大なデータを収集していることを互いに賞賛しています。
この問題を解決するために迅速に行動してください。この状況は非常に懸念されています。
お時間をいただきありがとうございます。
MiaBlaze-Cari said:
Player
今日 18:10
Quote 引用元:SISOMAKI投稿を閲覧
情報が事実であるならば、非常に危険な状態ですね
現状では該当のツール作成者に対しては何の抑制・阻止効果が出ていない可能性が高いという事になります
こうなると、現段階で運営が表明した対応に加えて技術的改修対策が取れるまでサーバーの一時停止等を含む緊急的な対応を実施したほうがよいのではないでしょうか?
残念ながら、私は自分でデータを確認することができたので、漏洩の信憑性は確認できます。このデータをここで公開することでこのフォーラムのルールに違反したくないので、スクリーンショットは共有しません。
サーバー自体は Python で書かれており、145,000 人以上のキャラクターと約 3,900 人のリテイナーのデータがあります。
これは、統計によるとデータベースに 100 万以上のキャラクターと 380,000 人以上のリテイナーがあり、私の情報源から送られてきたスクリーンショットによると、67 人のプレイヤーがすべてのデータセンターでデータベースをアクティブに入力していると主張する悪意のあるツールの「公式」サーバーほどではありません。
翻訳に失礼な点があった場合はお詫びします。
これらの投稿は「サービス運営の妨害に当たる」として削除された。
MiaBlaze-Cari said:
昨日 17:42
理由: サービス運営の妨害にあたる内容が記載されていたため削除いたしました。
MiaBlaze-Cari said:
昨日 18:10
理由: サービス運営の妨害にあたる内容が記載されていたため削除いたしました。
2025年2月7日
第85回 FFXIVプロデューサーレターLIVE
https://jp.finalfantasyxiv.com/lodestone/topics/detail/5adb52f22c28017d45a47de2b945deed3682c084
第85回 FFXIVプロデューサーレターLIVEにて「3月下旬のPatch7.2で対応を始める」という主旨の発言。
約1ヶ月半の間は、クライアントの仕様変更といった根本的な対策は行わない模様。
また、「(ブラックリストに入れたキャラのサブキャラも対応するように)何年もフィードバックをもらっていたものを実現したが、そのためにこの事態が起きた」というような責任転嫁のニュアンスも見られた。
約1ヶ月半の間は、クライアントの仕様変更といった根本的な対策は行わない模様。
また、「(ブラックリストに入れたキャラのサブキャラも対応するように)何年もフィードバックをもらっていたものを実現したが、そのためにこの事態が起きた」というような責任転嫁のニュアンスも見られた。
2025年2月9日
外部ツール「MMO Minion」に同様の機能が追加されたとの情報あり。
「MMO Minion」は有料の外部ツールで、自動スキル回し等のFFXIVLauncherにもない機能を有している。
「MMO Minion」は有料の外部ツールで、自動スキル回し等のFFXIVLauncherにもない機能を有している。
2025年3月25日
FINAL FANTASY XIV Patch 7.2
https://jp.finalfantasyxiv.com/lodestone/topics/detail/272e3ae76b2663ef84b4d5833441597813e29d75
【2.x】
ブラックリスト機能の改修にともない、以下の変更が行われます。
パッチ7.2より、通常のゲームプレイでは表示できない「キャラクターIDの一部」の確認・参照が困難となるように対策を加えており、これにともない各種クライアント保存データがリセットされます。
お客様にはご迷惑をおかけしますが、各種対策の一環としてご理解いただけますようお願いいたします。
ブラックリストの登録情報は保持されますが、7.2以前に登録したキャラクター名が「キャラクター名を確認できません」と表示されるようになり、設定したコメントが削除されます。
※パッチ7.2以前に登録したキャラクターに対するブラックリスト処理は引き続き行われますが、複数のキャラクターを登録していた場合、リスト上で見分けることができなくなります。
お客様にはご迷惑をおかけしますが、リストの整理を必要とする場合は一度ブラックリストからの削除をご検討ください。削除後に再度ブラックリストに登録することで、対象キャラクター名が表示されるようになります。
ミュートリストの登録情報がすべて削除されます。
※コンタクトリストのうち、パッチ7.2実装前の古い履歴からはブラックリストに登録することができなくなります。
アカウントIDが秘匿されるようになったという情報あり。
ただしキャラクターID(ContentsID)は変更されていないらしく、以前に収集されたデータと照らし合わせることで依然として照合は可能である模様。
ただしキャラクターID(ContentsID)は変更されていないらしく、以前に収集されたデータと照らし合わせることで依然として照合は可能である模様。
また、滞在エリア履歴等も参照できるとのことで、「アカウントID(ブラックリストの仕様)を利用した別キャラクターの特定」のみに絞った対策であることが窺える。
SNS等で話題になったのが「サブキャラクターを特定できる」という点を中心にしたもので、行動履歴の開示はそれほど大きく取り上げられなかったため、話題になった部分のみを対策した可能性が考えられる。
SNS等で話題になったのが「サブキャラクターを特定できる」という点を中心にしたもので、行動履歴の開示はそれほど大きく取り上げられなかったため、話題になった部分のみを対策した可能性が考えられる。
「インターネット上で話題になった・炎上した場合に、その部分だけ対策する」という挙動は「君だけV外者」事件等でも確認されている。
(シャークを用いたMPKが話題になったため、その対策として「挑発のヘイト量を引き上げ、無差別なMPKに使いにくくする」仕様変更を行っている)
(シャークを用いたMPKが話題になったため、その対策として「挑発のヘイト量を引き上げ、無差別なMPKに使いにくくする」仕様変更を行っている)
2025年3月26日
Yodada said:
Player
今日 12:57
興味がある方のために。特に変わったことはありません。何人かの人がテストしました。
引用:
「アカウント ID は難読化されましたが、この難読化によって、プレイヤーのアカウント ID をクライアント側で関連付けることができ、実際には元に戻すことができます」
フォーラムに上記のような投稿がなされる。
この内容が事実であれば、アカウントIDは非公開化されたのではなく、公開されたままの状態で難読化されただけということにある。
そして、その難読化は24時間と経たず突破されている。
この内容が事実であれば、アカウントIDは非公開化されたのではなく、公開されたままの状態で難読化されただけということにある。
そして、その難読化は24時間と経たず突破されている。
また、英語フォーラムに「パッチ7.2のアカウントID保護対策はすでに回避されている」という主旨のスレッドが立てられる。
Patch 7.2's Account ID protection measures have already been circumvented
https://forum.square-enix.com/ffxiv/threads/516700
Paradi-Cataract said:
Player
今日 13:53
Patch 7.2's Account ID protection measures have already been circumvented
https://bsky.app/profile/notnite.com/post/3lladdcxq5s2h
The solution is to stop sending IDs to the client in any form. There is absolutely no other solution.
パッチ7.2のアカウントID保護対策はすでに回避されている
https://bsky.app/profile/notnite.com/post/3lladdcxq5s2h
解決策は、いかなる形式でもクライアントに ID を送信しないようにすることです。これ以外の解決策はまったくありません。
(Google翻訳による)
NotNite @notnite.com
IMPORTANT UPDATE: after a *lot* of testing and a group chat full of my smartest FFXIV friends, we have figured out the obfuscation is vulnerable, and that the account IDs are actually reversible. SE needs to stop sending the account ID entirely to clients and just set a hidden flag or something
重要な更新: たくさんのテストと、私の最も賢い FFXIV の友人たちによるグループチャットの結果、難読化は脆弱であり、アカウント ID は実際には元に戻せることがわかりました。SE はアカウント ID をクライアントに送信するのを完全にやめ、非表示のフラグか何かを設定する必要があります。
(Google翻訳による)
2025年4月2日
英語フォーラムに「Patch7.2で行われた難読化は1行のコードで解除できる」という内容のスレッドが作成されるものの、同日に削除された。
The 7.2 AID obfuscation can be reversed by a single line of code.
https://forum.square-enix.com/ffxiv/threads/517032
Lmao what a joke of a company. People on the [redacted] Discord have already publicly shared the reversal formula with the plugin creator.
The formula is redacted but it's literally just a few xors and a bitwise shift. If you're not familiar with that, the formula is literally as simple as something like
account id = ((my obfuscated id * your obfuscated id) + 79) * my account id
[Note: this is just an illustrative example]
Folks, this is what your $13 a month is going towards.
You know what else is 13? The age of the kid who did the obfuscation thinking he made some awes
なんて冗談みたいな会社なんだ。[編集済み] Discord の人たちは、すでにプラグイン作成者と反転式を公開しています。
式は編集されていますが、文字通りいくつかの XOR とビット単位のシフトだけです。よくわからない場合は、式は文字通り
アカウント ID = ((私の難読化 ID * あなたの難読化 ID) + 79) * 私のアカウント IDのように単純です
[注: これは単なる説明例です]
皆さん、これがあなたの月々 13 ドルが使われる目的です。
13が何なのかご存知ですか? すごい暗号化を作成したと思って難読化した子供の年齢です。
(Google翻訳による)
2025年4月13日
GaiaDCのモブハント連戦の主催をしているユーザーが、PlayerScopeを使用してキャラクター情報を収集しているという情報あり。
PlayerScopeの開発者はツール使用者のデータ収集への貢献度をランキング化しており、貢献度を高める(=データ収集数を増やす)ためにこういった行動をしている可能性がある。
PlayerScopeの開発者はツール使用者のデータ収集への貢献度をランキング化しており、貢献度を高める(=データ収集数を増やす)ためにこういった行動をしている可能性がある。
273 Anonymous 警備員[Lv.2][新芽] (ワッチョイ 5f47-0ra6) 2025/04/13(日) 06:12:02.56 ID:HinToP810
潜入班だけどGaiaにて情報収集してたのはこの人
なんとモブハン連戦主催をしてる人で連戦参加者の情報を集めていたようです
不特定多数のプレイヤーが集まるモブハン連戦は情報収集にうってつけだった模様
また、画像を見ればわかるようにAdvanced Combat Tracker(ACT)やFFXIVLauncherのDiscordコミュニティにも参加している模様。
常習的な外部ツールの使用が窺える。
常習的な外部ツールの使用が窺える。
キャラクターは下記の通り。
Nicolas White Tiamat [Gaia]
https://jp.finalfantasyxiv.com/lodestone/character/21305364/
Tiamatで行われるモブハントの定例ユーザーイベントの主催者の一人で、月曜日から金曜日の15時30分の部(不定期)の担当をしているという。
Tiamatサーバー 現在のツアー時間&主催者
https://jp.finalfantasyxiv.com/lodestone/character/21521333/blog/5135009/
2025年4月14日
海外のユーザーにより、PlayerScopeがPatch7.2で行われた対策を回避して機能を回復したとの情報がフォーラムに投稿される。
PCGamer 記事: 危険なストーキング MOD
https://forum.square-enix.com/ffxiv/threads/514622#threads/514622/?page=32
MiaBlaze-Cari said:
Player
昨日 11:22
こんにちは。失礼な表現になってしまったら申し訳ありません。これは私の意図したことではありませんし、日本語が母国語ではないので。
数時間前、対策措置は正式に回避され、ツールは元の機能に戻りました。この新たな展開は世界中のプレイヤーに影響を与えるため、日本のプレイヤーの皆様にお知らせする必要があると判断しました。また、この新たな展開について特別タスクフォースにも報告しました。
皆様、どうぞお気をつけてお過ごしください。
DiscordのPlayerScopeコミュニティにも同様の投稿がある模様。
2025年4月17日
上記の2025年4月13日の更新内容を削除する更新が行われる。
当該のモブハンツアーの関係者による情報拡散妨害の意図があると見られる。
編集者のIPアドレスは 2400:4153:b382:a800:845:4aa5:1b5:8cb8(IPv6)。
当該のモブハンツアーの関係者による情報拡散妨害の意図があると見られる。
編集者のIPアドレスは 2400:4153:b382:a800:845:4aa5:1b5:8cb8(IPv6)。
管理人のコメント
当wikiには非ログインユーザーにページ削除権限がなく、履歴から即座に復旧が可能です。削除にはほとんど意味がありません。
今回のことで、「『TiamatモブハンツアーでPlayerScopeを使用された事実が広まると都合が悪い人物』が当Wikiに工作をした」という事実だけが残りました。
工作お疲れ様です。wikiへのネタ提供ありがとうございました。該当のIPには編集規制を課しました。
当wikiには非ログインユーザーにページ削除権限がなく、履歴から即座に復旧が可能です。削除にはほとんど意味がありません。
今回のことで、「『TiamatモブハンツアーでPlayerScopeを使用された事実が広まると都合が悪い人物』が当Wikiに工作をした」という事実だけが残りました。
工作お疲れ様です。wikiへのネタ提供ありがとうございました。該当のIPには編集規制を課しました。
2025年4月18日
17日と同様の削除が行われる。同様に復旧済み。
編集者のIPは下記の通りで、編集規制済み。
編集者のIPは下記の通りで、編集規制済み。
2400:4153:b382:a800:d1d9:978:f985:1d43
2400:4153:b382:a800:165:abae:890d:fdae
2400:4153:b382:a800:165:abae:890d:fdae
以降は事件簿wiki、Tiamatモブハンツアーの記述を削除する荒らしに遭うで対応します。
資料
フォーラムの投稿と公式の対応
PCGamer 記事: 危険なストーキング MOD
https://forum.squar&image
e-enix.com/ffxiv/forum.php#threads/514622/
【1】2025年1月17日
Nagi-Dantes said:
Player
今日 10:56
件のプラグインツールで昨日からログインを辞めてますが、運営はあのプラグインがどれだけヤバいのかちゃんと理解して対策して欲しいです。
ログインしてキャラをマウスでワンクリされたら、自分のサブとリテイナー把握されるだけじゃないんです。
自分が所属してるFCやLSのメンバーも同時に見られてしまうんです。
知り合いからは『ロドスト非公開にすればいいよ、気にせずおいで』と言われましたが、ログインして自分だけでなく他者もリスト化に巻き込むこと考えたら、ログインなんてできないです。
YouTubeにplayer Scopeを使用した動画のアップがされてるのでリンク貼りますが、どれだけヤバいプラグインツールなのか動画を見て、ここの方の声を聞いて、このプラグインツールの危険さを感じて、ちゃんと対策すべきか考えて、運営が動いてくれることを願います。
それまでホントログインなんて怖くてできません。
動画リンク貼ることで、このコメントを削除されたら『運営は臭い物に蓋をしてなかったことにするんだ』とかんがえることにしますが。
player Scope使用動画リンク
https://youtu.be/yDHcThOxqSk?si=HYIPlhUwD9zqJPa2
Nagi-Dantes said:
今日 10:56
理由: 動画へのリンクが記載されていたため削除いたしました。
2025年1月17日14時49分頃、こちらの投稿は
「理由: 動画へのリンクが記載されていたため」削除された。
「理由: 動画へのリンクが記載されていたため」削除された。
Nagi-Dantes said:
Player
今日 15:40
動画リンクがダメだったようなので、文章だけであらためて失礼します。
件のプラグインツールを理由に昨日からログインするのを辞めましたが、あのプラグインツールの危険性を理解して欲しいです。
ゲームでログインしていたらキャラをクリックしてメニュー一覧からサブキャラとリテイナーが分かるだけでなく、自分が所属するFCやLSのメンバーも見れる状態になり、自分だけでなく他者を巻き込む形になってしまうのです。
知り合いからは『ロードストーンを非公開にすればいいし、気にせずおいで』と言われましたが、他者を巻き込むと考えると怖くてログインできません。
他の方も言われておりましたが、今回のプラグインツールは『キャラクターを人質にした個人情報収集ツール』という危険なものです。
どうか運営の方にお願いします。
自分だけでなく他者を巻き込むという危険性を抱えたまま遊ばなくてもいいよう、プラグインツールに対して何かしらの対応をお願いしたいです。
その後、動画URLのない文章が再投稿された。
【2】
Rehayem said:
Player
今日 03:09
こんにちは皆さん、また私です。翻訳ツールを使用しているので、文章が不自然または失礼に聞こえる可能性があることをお詫びします。
プロデューサーからの回答を拝見しましたが、残念ながらその内容はひどいものでした。この状況の核心的な問題には触れられておらず、プラグイン作成者を訴訟で追及することは何の解決にもなりません。
データはネットワークを通じて送信され、「Wireshark」のようなアプリケーションでアクセス可能です。そのため、すべてのプラグインが削除されたとしても、誰かが新しいアプリを作成し、独立した形でデータを収集し続けることができます。
私たちは、開発者に彼らが作り出した穴を修正するよう追及する必要があります。この脆弱性は7月から存在しています。開発者はデータをサーバー側で管理するべきです。そうでなければ、ユーザー層を軽視していることを示しているようなものです。
ありがとうございました。
【3】2025年2月8日
SISOMAKI said:
Player
昨日 20:33
運営の対応には懸念が残ります。
運営側の発表通り、マスクデータを不正取得してサブキャラの紐づけがされているだけだったとしても、対人トラブル等で被害を受けていたユーザーは、パッチ7.2までログインすらできない状況になります。
この問題が話題になり始めたのは1月上旬であり、その時点からログインを控えていた場合、約2か月以上も制限が続くことになります。
また、「個人情報や支払情報は不正取得されていない」とのことですが、サブキャラの数が9体以上である場合、利用しているサービスコースが推測されてしまう可能性があります。
サービスコースの契約情報は、課金プランに関する情報であり、支払情報の一部と関連づけられる可能性があります。
これらの情報が他のサービスと紐づく場合、個人関連情報とみなされる可能性があり、近年の法改正では個人関連情報の取り扱いにも厳格な規制が求められています。
さらに、スクウェア・エニックスのプライバシーポリシーでは、収集する個人情報の一例として「お客さまの本サービスにおける購入および利用に関する情報」を挙げています。
サービスコースの契約情報も、これに該当すると考えられます。
運営の判断基準についての説明が十分ではなく、不信感を抱かざるを得ません。
透明性や対応スピードの向上が求められるのではないでしょうか。
余談
アクティブキャラクター数
PlayerScopeによって、精度が高いと考えられるFF14の現在のユーザー数が開示される。
単位がユーザー数ではなく、キャラクター数であることに注意。
(サブキャラクターでログインすれば、1人のユーザーで複数のキャラクターがカウントされることになる)
(サブキャラクターでログインすれば、1人のユーザーで複数のキャラクターがカウントされることになる)
2025年2月5日頃
2025年4月16日頃
使用者のnote
2025年2月9日
真偽は不明だが、noteにPlayerScopeの使用者を自称するユーザーによる記事が投稿されている。
真偽は不明だが、noteにPlayerScopeの使用者を自称するユーザーによる記事が投稿されている。
FF14で話題のPlayerScopeについて
https://note.com/ggtyoshida/n/nd9ccb53e1ae3
2025年2月11日
同ユーザーからさらなる記事が投稿された。前回より踏み込んだ内容となっているようである。
同ユーザーからさらなる記事が投稿された。前回より踏み込んだ内容となっているようである。
ff14で話題のPlayerScopeについて♯2
https://note.com/ggtyoshida/n/n43596124bf76
「ACTでチャットログが抜き取られる」説(2025/02/11時点)
ACT(Advanced Combat Tracker)及び各種の外部ツールで、原理的にはユーザーのチャットログを保存できるという説が浮上している。
(「DPS計算にチャットログは無関係なので収集されていない」「テキストデータとは言え、量が膨大になるとサーバー側に要求される保存要領が莫大になるため収集されていない」等の仮説がある)
実行されたという報告は確認されていないが、ツールの性質を考えれば技術的ハードルはクリアされていてもおかしくはない。
(「DPS計算にチャットログは無関係なので収集されていない」「テキストデータとは言え、量が膨大になるとサーバー側に要求される保存要領が莫大になるため収集されていない」等の仮説がある)
実行されたという報告は確認されていないが、ツールの性質を考えれば技術的ハードルはクリアされていてもおかしくはない。
