2022年11月20日
「ワンタイムパスワードをかけているのにアカウントハッキングされた」という噂が広まる。
- 下記で触れられているFCマスターが追記にある人物と同じであるという情報があります。(今回フィッシングサイトによってワンタイムパスワードを抜かれてアカウントハッキングを受けた人物は一人であり、下記の報告者が追記にある人物について説明しているという意味)
dume @dume_dayo
すみません、私からの方で勝手ながらツイートさせて頂きます。
本当に突然前触れもなく、OTP設定を行っているFCマスターがたった今アカウントハックされ、直後私はFCから除名されました。#FF14
マスターの方は直後カンパニーチェストに向かって行きました。続きます↓
このツイートが発端と見られる。
文中にあるOTPはOne Time Passwordの略。ワンタイムパスワード。
文中にあるOTPはOne Time Passwordの略。ワンタイムパスワード。
Padre Luces @LucesPadre
モーグリクエをやりにドラヴァ雲海に入ったら突然送られてきたTell。「ff14をやめるので15分後に3億配ります」と言ったところか。
一見フォーラムのアドレスに見えるが、鯖アドレスの末尾が-fh.topなので偽物。
よりによってギルに全く興味がない人を選んでしまうとは不運な詐欺師である。
Padre Luces @LucesPadre
折角ご招待頂いたので覗いてみる事に。
1から30の間の好きな番号を選んでコメントを返す事で抽選に参加する方式。コメントを返す時に「ログイン」を要求されるので、その際にIDとパスワードを盗まれる訳だな?ご丁寧にヤラセの参加者が既にいる。
上記ツイートのような手口でフィッシングサイトに誘導され、IDとパスワード、ワンタイムパスワードを奪われたのではないかと推測される。
通常のIDとパスワードのみの認証とは異なり、ワンタイムパスワードはパスワードそのものが時間経過によって変動するため強度が高い。
2022年現在、ワンタイムパスワードを外部からの攻撃によって破ることは(不可能とは断言できないが、現実的には)非常に難しい。
仮に実行が可能であったとしても、銀行等の重要度が高いアカウントにならいざ知らず、オンラインゲームのアカウントに対して使用するのは割に合わないと断言して良いだろう。
2022年現在、ワンタイムパスワードを外部からの攻撃によって破ることは(不可能とは断言できないが、現実的には)非常に難しい。
仮に実行が可能であったとしても、銀行等の重要度が高いアカウントにならいざ知らず、オンラインゲームのアカウントに対して使用するのは割に合わないと断言して良いだろう。
そのため、「ワンタイムパスワードをかけているのにアカウントハッキングされた」という事例は勘違い、もしくは言い訳であり、まず間違いなく他の要因である。
具体的には下記のようなものが考えられる。
具体的には下記のようなものが考えられる。
- フィッシングサイトにアクセスしてしまい、情報を入力してパスワードを奪われた(ワンタイムパスワードを奪ってユーザーの代わりにログインするフィッシングサイトは存在する)
- 不正な外部ツールをインストールしており、それによってパスワードを奪われた(特にFFXIVLauncherにはワンタイムパスワードを代行で入力する機能があり、ここからアカウントハッキングされる可能性がある。またAdvanced Combat Trackerにはキーロガー等を仕込む余地があると考えられる。元々ワークエリアを参照して動作しているため、どのような情報がいつ抜かれているかも気付きにくい)
- 実はワンタイムパスワードを使用しておらず、使用しているかのように言い訳した
他にも様々な原因があり、上記は一例となる。
ワンタイムパスワードは強固なセキュリティであるが、完全なセキュリティではない。
特に使う側の人間によって隙を突かれる可能性があるため、ワンタイムパスワードを過信せず注意を怠らないようにしていただきたい。
ワンタイムパスワードは強固なセキュリティであるが、完全なセキュリティではない。
特に使う側の人間によって隙を突かれる可能性があるため、ワンタイムパスワードを過信せず注意を怠らないようにしていただきたい。
追記1
dume @dume_dayo#FF14お騒がせしているところ大変申し訳ありません。
こちらの件なのですが、本人がURLを踏んだという確認が取れました。今現在私がメチャクチャ怒っています。
勝手ながらキャラの名前を載せたツイートは削除させて頂きました。本人への誹謗中傷等はどうかお控えください。
フィッシングサイトが原因であることが確認された。
原因は判明したものの、TELLによるURL送り付け等でのフィッシングサイトへの誘導がなくなったわけではないので、今後も警戒を怠るべきではない。
原因は判明したものの、TELLによるURL送り付け等でのフィッシングサイトへの誘導がなくなったわけではないので、今後も警戒を怠るべきではない。
※これらの一連のツイートは投稿者により削除された。
追記2
Zing - じんぐ @jolmir_tw
昨夜の流れSSを載せます。
Zing - じんぐ @jolmir_tw
2016年にSteamよりインストールしていた複数ゲームにRedShellが含まれていたことが判明しました。長年アップデートせず放置していたため脆弱性が生まれ、そこを点かれたというのが専門店からの結果報告でした。
自身の不徳の致すところでございます。この度はお騒がせし誠に申し訳ございませんでした
別件でアカウントハッキングの事例が同時に報告されたことで情報が錯綜し、混乱を招いた。
こちらは不正なソフトのインストールが原因とのこと。
こちらは不正なソフトのインストールが原因とのこと。
ただし、steamが審査をしていないはずがなく、物的証拠がないためこの説明も確実とは言いがたい。
何らかの他の理由を伏せている可能性はあるので、この説明を根拠にsteamを糾弾するような真似は控えた方が良いだろう。
何らかの他の理由を伏せている可能性はあるので、この説明を根拠にsteamを糾弾するような真似は控えた方が良いだろう。
追記2:その後の経過
FF14 Zing Luo @jolmir_tw
この度はお騒がせし申し訳ございませんでした。
URLをブラウザへ入力し、フィッシングサイトであるフォーラムへアクセスし、ログインのためワンタイムパスワードを入力いたしました。
関係者各位の方々
重ねてお詫び申し上げます。誠に申し訳ございませんでした。
失礼いたします。
【緊急】ワンタイムパスワードについて
KinakoDaifuku said:
Player 2022/07/28 02:25
どこに投稿すればよいのかわからず、ここにスレ建てさせていいただきます
わたしの不注意ではあるのですが
さきほど、ゲーム内にて送られてきたURLを開き偽のフォーラムに誘導され
IDパス、ワンパスを入力して、フォーラムにログインできていないことに気づいたときには手遅れでした。
ワンパス強制解除&別の端末にてワンパス登録&パスワード変更されログインできない状態となっています
アカウントシステム自体にログインできないため何も出来いない状態なのですが
一定時間内ならワンパスは有効なのでしょうか。
強制解除の際も確認メールがないため(事後メールはある)このようなケースの場合に非常に困ってしまいます
メールでの問い合わせをおこなっていますが、その間に自身のキャラクターがなにをしているか非常に心配です
本人の証言によりフィッシングサイトに情報を入力していたことが確認された。
問題点
- フィッシングサイトを踏む、「ワンパス貫通」を原因として挙げてしまう等、ユーザーのインターネットリテラシーが低い。
