-
Marieahl@ジケル
2011.1.11. 18:09
このゲームのハックはパスIDを盗られメルアドやパス、カードを不正変更される事によって行われていましたからね。
今回その対策としてそれらの変更に『秘密の質問』を入れたのだがどうでしょうかねってカンジかな。
(注意!『それら』を忘れてしまうとそのIDでは3ヶ月後の強制パス変更でログインが出来なくなります!メモに必ず控えましょう!)
これらで不正なパスやカード変更を阻止できればそれなりに効果はあると思うのですが、数ヶ月くらい様子見ないと本当に効果があるかわかりませんね。
多分それらも運営を直接攻撃するハック法の前では無意味でしょうなので運営自体も自衛をきちんとしないといけないでしょう。
個人的にはそんな事よりもワンタイムパスが一番効果があるんじゃないかと思うんですけど。
ーちなみに文中に書かれてたwikiってここのパワーウィキの事ですかね?
いっときますけど外部のwikiは誰でも更新が可能なので危険極まりないですよ。
また今は攻略サイトを偽るウィルス配布サイトもあります。
外部の攻略サイトを利用される方は細心の注意を払って下さい。
-
透子@シエル
2011.1.11. 18:10
気持ちは判るし、どげんかしたい熱良いも同感ですが、ちょっと過大説明というか過剰的かな
サービス提供側がいくら防壁を実施したとしても、利用者側がハッキングに対し
無関心・無防備・適当曖昧の人がいる限り限界があるのも事実なわけで
>2.事実
>当方のレギの3代目レギマスは
>・AIONと公式とwikiしか見て居ない
というのも…当人の過剰表現じゃないかな
それが真なら、AION公式やウィキにブックマークするまでは
URLをアドレス欄に直打ちアクセスした、という事…になる訳で考え辛いと思う
昨今のハッキングは
「ゲーム側へのハッキング」 というより
「メールアカウントのハッキング」 にシフト
PlayNCのアカウント登録に使用したメールアカウントを他場で
どう使い、どこでメール送受信閲覧してるか、など…メルアカは本人次第としか
今後はワンタイムの導入も決定していますし
http://www.4gamer.net/games/025/G002594/20101220014/
要望を出すならもっと明確な案をNCに掲示したほうがいいかも
-
Marieahl@ジケル
2011.1.11. 18:16
まぁセキュリティに関して誇大に心配するくらいがちょうどいいと思いますけどね。
ちなみに本人確認方法ってどんな方法があるんでしょうね。
ぱっと思いつくのでは指紋認証方式とか??
私はちょっと色々指を怪我する事、傷つける事が多いから余りやりたくないなぁ(汗
まぁ大事な事ですので一応推薦入れてあげます。
-
Mercian@ユスティエル
2011.1.11. 18:32
ヒラウ(ry
前もって言うとAIONのセキュリティに対して擁護する訳では無いです。
AION以前に各個人のネットワークに対するセキュリティ認識は非常に甘い。
・某有名ウィルス対策ソフトを入れてるから大丈夫なはずなのに・・・。
・このパソコンはAION専用だから他に何もしていないのに・・・。
・長いパスワードだったのに・・・。
ハックに遭った人たちはこう漏らしてました。
それに対してこう聞くと・・・
Windowsアップデートしてる?→してない
Flashのアップデートは?→してない・・・等
そもそもがネットワークに接続しているだけでウィルスの驚異に晒されてる事を知らない。
「ダウンロードして実行」だけが感染じゃないんです。
トロイに感染していればいくらセキュリティカードがあっても画面キャプチャされて終わりです。
長いパスワードも同じく。
そもそも、個人PCでは内部を書き換える事が可能なAdmin権限でログインするのが普通なWindows。
もっとセキュリティ対策に気をつけましょう。
-
アウターウォレン@ルミエル
2011.1.11. 18:55
今回の対策はやらないよりはマシかも、これが布石である事を願います。
もうMS自体「対応策がありません」って報告が出てくるようになってきたり、地味なアップデート情報が流れてこなかったりと既に厳しいはずです。
それだけに掲示板にセキュリティ情報流してくれるのって助かっています。
何が原因でハックされたのか難しい以上、個人を攻めるのは難しいだろうね。
-
駄目庵@ユスティエル
2011.1.11. 19:26
コメント感謝です > 各位
Marieahlさんへ
経過観察ですね~但しメール対策は早急にと思ってます。
尚、本人確認ですがPCIDSS関連情報を見れば色々製品は有りますよ~ (。・_・。)ノ
透子さんへ
過剰表現かどうか不明ですが・・・当人の言われていた話ですね。
セキュリティソフトも導入されていた普通の人でした。
尚、ワンタイムパスワードですが シード(種)値・ID・PW・時刻 とかで
パスワードを算出する場合、どうしても「時刻同期」が必要になります。
Windowsのアクティブディレクトリーとかで5分違うとログイン出来ない~とかねw
NTPサーバを導入してログイン時に強制的に時刻を合わせるとか必要でしょうね。
-
グラハムスペクター@ルミエル
2011.1.11. 19:26
垢ハックするための体制が整ってしまってるみたいですねぇ
リネ2と同じ方式で~ってなると、ハッキングする側もやり易いわけか・・
やっぱり、セキュリティ専門の第三者のシステム導入をして、
責任ごと丸投げが良いんだろうね。。
ちなみに、知り合いが垢ハックされた時に詳しく話しを聞いたりしてると、
大抵は、ネカフェ慣れ?してないのに、その時、ゲーム内のイベント等の都合でネカフェから・・
というパターンだったので、自分はネカフェが危ないと思ってました。
自分に関してはされた事も無く・・という感じ
他社の対応と比べられて、
ユーザー間で運営の責任であるかのような結論付けをしてイメージ刷り込んでしまってるのと、
他の事もひっくるめた対応に不満が集中しててどうしようも無いってところかな。
まぁ、ネットにある人気コンテンツに課金して楽しく遊ぼうと思ってたら、
こんな事ばっかりになるとか・・プレイヤーにとって、既に、別次元な話だと思う。
-
駄目庵@ユスティエル
2011.1.11. 19:27
※Windowsはケルベロス認証を行っているため~
-
駄目庵@ユスティエル
2011.1.11. 19:28
Mercianさんへ
御疲れ様です。
多段ファイアウォール(外部側は簡易FW機能付きNATルータ)とか色々対応した結果、
内部から外部へのアクセス方式ですよね~
ゾンビクラスター的なリモコンなり、Web参照系のガンブラー系なり・・・
プロでも対応が大変という・・・
リネ2攻略サイトでもサイト管理者がセキュリティに明るい人だったから即時対応
していましたが・・・
5月の最新ウィルスを9月にパッカーソフト(圧縮実行)で圧縮して
「ウィルスパターンを難読化」
した結果、その時点でのVirusTotalサイトで35種類のウィルス対策ソフトで3種類
しか検知出来てなかったかと思います。
尚、Windowsは権限昇格系のセキュリティバグとかでAdmin権限が無くても改変
されてしまったりしますし・・・Boot自身書き換えたり・・・
バッファアンダーランはOSを含めて全てのプログラムに有り得るセキュリティの
脆弱性かとは思います。
-
駄目庵@ユスティエル
2011.1.11. 19:31
アウターウォレンさんへ
セキュリティサイトのチェックは大きいですね~
あと・・・地道なセキュリティ対策としては・・・
ネットゲーPCとWeb参照PCを分けるとかも有効です。
(VMWareやVirtualBoxを利用してその上の別OSで参照も有効)
何にしても・・・
セキュリティ強化でユーザの被害を抑えられれば幸いです。
-
駄目庵@ユスティエル
2011.1.11. 19:34
グラハムスペクターさんへ
ネカでも容易に利用可能なセキュリティをと考えると、USBとかどうかな?なんて
思ったりしてますが・・・最終的にはコストとの兼ね合いも有りますよね~
ただ・・・ユーザ側に落ち度が有る物ではないので、ベンダーサイドでの対応が
必要になるとは思います。
-
駄目庵@ユスティエル
2011.1.11. 19:38
トウヘンボクさんへ
【サーバー構築・設計・管理・運用・開発経験10年以上】の有識者さんの意見として
どういうセキュリティが良いと思われますか?
当方は1995年頃からインターネットサーバ構築等でワンタイムパスワードもその頃に
顧客に紹介したりしていた者です。
まあ、突っ込み所の部分は色々お伺いしたら当方の間違いも見つかるかも知れない
ですね~(笑)
尚、【セキュリティの基礎知識】云々よりも
【サイバーノーガード戦法】でも【要点を抑えればセキュリティに発展する】ので
過去の情報よりは現在と未来ですかね~
ツッコミ所の御指摘は期待しております。
-
グラハムスペクター@ルミエル
2011.1.11. 19:59
10年前ってISDNからADSLぐらいの時代だっけ?
どっちかと言うと、電気工事系の人と一緒にやったり回線業者的なの多いんじゃないっけ?
CCNAとかCCNP持ってて、スイッチとかコマンド操作してみたり、
Linuxでサーバーチューニングして、ネットワークの設計書書いたり、
PealとかjavaやPHPでプログラム書いたりする感じなんかな?
そういう業種区分で考えると、たぶんゲーム系のネットワークの技術は、
元々グラフィックありきの開発体制の中で、裂いてる人数少なそう?
Web系にはデザイナーや、サイト運営の人員も要るだろうし、、
そもそも、技術屋の給料らしく貰える業界でもないよね?
サーバー上でサーバー側のプログラム動かして、クライアント側はDirectX上で動かしてるし、
あまり垢ハックに強いと言い切れない感じしますね。
もし強いとすればチート対策系の技術になるんじゃなかろうか?
-
グラハムスペクター@ルミエル
2011.1.11. 20:11
>駄目庵さん
ネカフェ自体がどう見てもヤバイと僕は思ってるんですが、怖いですよねw
USBメモリから起動できるOS入れて悪戯してもバレないし、
消したデータ復旧するソフトとか入れておけば前の客の使ったデータ覗けるし、
道端で買った違法コピーソフトとか、インストールしてそのまま置いて帰れるし、
個室で線だけ抜いて自分のノート使っても何も言われないし、
会員登録はレンタルビデオ屋以下の本人確認制度しかないし、
パソコンと回線使うだけの使用料なんだろうけど
あんな所からクレジット使うとか言語道断だし、
ソフトをダウンロードして使えてしまう時点でどうかとも思う
もしかしたら、海外からの接続中継サーバーにされてる可能性も十分あるんじゃないかな。
ただ、そこからプレイする事も想定したサービスという事になると、
個人のアカウントやプロフィールに関する、セキュリティが弱くても仕方がなかったりして、
その辺で苦労してるところなんですかねぇ
-
駄目庵@ユスティエル
2011.1.11. 20:21
トウヘンボクさんへ
先ず、相手の揚げ足を取りたいならきちんとそこを
「何がどういう説明でどう誤解されるから気をつけるように」
という事を言わないといけないと思います。
次に、ググって出てくる世界なので先ずはキーワードですね。
それこそセキュリティサイトを2~3個廻る感じで1年以上見ていれば判ります。
最後に、技術者であれば技術で答えて下さい。
当方自身も、ここに書かないキーワードも色々持ち合わせます。
それから論議するなら論議しましょう。
-
駄目庵@ユスティエル
2011.1.11. 20:27
グラハムスペクターさんへ
当方のダイヤルアップインターネットはPPPではなくてSLIPでした(笑)
当時はShockWaveが出始めでしたね~
FireWallはBSDカスタムのセキュアOSだったように思います。
Linuxは趣味で1995年当時のものをインストールして遊んでました。
(まだ業務に使える時代では無かったと思います)
当時はルーターとかはCiscoも含めて各社乱立ですね。
最近ではQuaggaとか面白いものも有りますが前身のZebraが出るかどうか
の時期ではないでしょうか?
ネットワークセキュリティは確かに「餅は餅屋」かも知れません。
-
虚構と現実@ジケル
2011.1.11. 20:28
>トウヘンボク氏
こういう煽るだけ煽って、具体的なこと何も書かずに逃亡する人って居るよね。
技術者として10年以上働いているなら、もういい年だろうに寒いわ~。
-
駄目庵@ユスティエル
2011.1.11. 20:35
グラハムスペクターさんへ(連投すみません)
1.USB起動
→BIOSの設定できちんと抑止してないと危ないですね~
2.データ復旧ソフト
→Vectorとかでも有りますね。1/0の書き込みしないとHDD上では
消えないという事を知っているかどうかになります。
3.不正インストール
→再起動の時点で消えるかとは思いますが、それを利用した悪戯は
問題になると思います。
4.自身のノート
→DHCPでMACアドレス認証の上でIPアドレスを付与する形にセキュリティ
を掛けているかどうかですね~(笑)
5.会員登録云々
→一番怖いのは自由に利用できる無線LANかと思います。
WPA2に出来てるかどうか・・・
WEPタダ乗りさんが怖いと思う今日この頃です。
セキュリティとサービスはバランスになりますからねえ・・・
何時でも永遠の課題になります。
-
グラハムスペクター@ルミエル
2011.1.11. 20:36
自分は給料が2.5万円上がるというだけの理由で2940UWを中古で買って、
CCNA取ったけど、元々そういう畑の仕事じゃなかったっていうか
組み込み系だったんで、OSの上の機能作ったりの
用意されたサーバーでコーディングばっかしてる感じで不具合苦労しました。
ブラウザとか通信部分とか作ってたんで、危ない仕様出されるたびに泣いたりでw
スレに書いてて気がついたんですが、
やっぱりセキュリティカードの発行・認証の仕様は全部裸にされちゃってるっぽいですね。
ログインIDとパス抜かれたら、簡単に突破されちゃうもんなんでしょうか。
印刷してデジタルで参照してなければ100%安心という辺りも怪しい気がしてきましたw
-
駄目庵@ユスティエル
2011.1.11. 20:40
2.の関連ですが・・・
RetroSpectみたいな端末バックアップツールも怖いですし
これDo台ProみたいにHDDごとコピーされても怖いですね。
RAID1構成で時々物理的に外して丸ごとコピーor保存とか(笑)
基本的にデジタルデータは一度出ちゃうと抑えられません。
-
駄目庵@ユスティエル
2011.1.11. 20:44
私はCisco系ではなかったです。Summitとか8624XLとかのL3スイッチは
今でも自宅に有りますがね(笑)
Socketインターフェース御存知ならサニタイズを含めたプログラムも経験が
有るのではないでしょうか?
ユーザID・パスと違って画像情報はハッキングの仕掛けが異なるとは
思いますが、専用ウィルスを作って送信したりリモコンされると
対応が難しいですね~
更なる対策は・・・
「セキュリティカード画像をPC上に置かず、携帯の中に持つ」
という手ですね(笑)
-
グラハムスペクター@ルミエル
2011.1.11. 20:51
ネトランとか、PCJとか、ゲームlabとか、
今考えると危険極まりない書物ですね・・w
データ復旧ソフトは、
ユーザーの人が、ブラウザで訪れた履歴とか、
キャッシュに一度入れて削除したグラフィックデータとか、
Webメールで閲覧したセキュリティーカードも含む
ダウンロードフォルダに落として消したデータとか、
全部取れますね。
あと落ちてるツールで、
パーティション切って認識できない方式でフォーマットしたり、
OSから見えないエリアにソフト入れて動かしたりってのも有りますね。
-
駄目庵@ユスティエル
2011.1.11. 20:59
ハッカーJAPANとか、ゲームラボは参考に見てましたね~
データ復旧ソフトは・・・編集中や削除が必要なデータまで無条件に
抜いちゃうのが怖いという・・・
落ちてるツールですか・・・BootSelector機能が有ってHPFSとかだと
「やろうと思えば見れるけど権利的に見てはいけない」
とかも有りそうですね(笑)
そして・・・VMの仮想マシンだと・・・それが単なるファイルだったり
するので・・・管理するのは泣きそうになるかとw
-
グラハムスペクター@ルミエル
2011.1.11. 21:00
画像系のハッキングは、コンバーターとか作れると解り易いかもですが、
画像解析は顔認証システムのデジカメとかみたいな事してるんかなぁ
ネットワーク上で横取りとかなら、特定ポートで送受信してるデータ全取りとかしたりして、
ファイル空けてメモリ内に展開して、特定の画像形式に並び替えれればOKっていうか、
WinAPIにもそういう機能あるし、BMPにでも変換できてしまえば
文字情報ならパレットデータとか要らないし並べ替えるだけで再現できてしまいますね。
メールデータに添付されてる暗号化されたjpegとか、パケット全部とって見れるように直すとか、
金儲けが絡んでる場合、開発してみて儲かるかも?ならする人いるかも
-
グラハムスペクター@ルミエル
2011.1.11. 21:06
CPUから開発して特殊なアセンブラで記述したOSをゼロから作るぐらいまですると、
きっと、ハッキングされないんじゃないかって気がしますww
ゲームとかはOllyDbgとか使ってみたりしてたんだけど、
デバッガ自作とかしてみたいですねぇ・・まぁ自分のOS騙したりしないと
自分が遊んでるゲームの解析とか難しそうですが、、やってみたいなぁ・・とw
前にそんな本有ったりして、マイコンに自作OS入れてみたいなとか作ってみてたんですが、
自作のCPUとか遅すぎて話にならず、OS作れば表示が洒落にならないな・・っていうか
時間なくて止まってしまいましたw
-
古畑にゃん三郎@シエル
2011.1.11. 21:36
>>駄目庵さん
10年以上培った自宅警備のノウハウなんて聞いても無駄だからスルーでいいと思いますよw
-
グラハムスペクター@ルミエル
2011.1.11. 21:51
まぁ、なんていうかもうゲームどうでもいいんで、
興味がある面白い話をgdgdとコミュニケーションして、
自分達の好き放題貪った方が得るもの大きいんじゃなかろうか。
個人的には、ゲームガードとかもはずして貰って、無料サービスとかにして、
AIONの綺麗なキャラが、ニコ動とかでミクミクダンスでも踊ったりして、
面白い楽しいと思った人が大勢アクセスして活気が有ったほうが良かったな・・
チートやRMTなんかも、廃人がねたまれてると思ってしまうぐらいの方が
全体的に勢い有って、みんな必死だなwwってぐらいで済んでたきもするし
別にハイエンドのPK同士が装備だ格差だ言うところだけが目指すところじゃないと思うんだな。
垢ハックされても、それでもゲームに戻ってきて遊びたくなるようなユーザー社会作ったり
思い返せば、やろうと思えば出来た事だったんじゃなかろうか
そういう事って、いくら技術があっても手に入らない事なんだと思うけど
そこに至れなかったのも残念なおはなし
-
虚構と現実@ジケル
2011.1.11. 23:27
>トウヘンボク氏
ご忠告痛み入る。
貴方のような寒いだけの老害にならないように気を付けるよ。
-
駄目庵@ユスティエル
2011.1.12. 05:07
グラハムスペクターさんへ
>画像解析は~
多分・・・画像ファイルをそのままftpして見てるだけかも?
---
>ファイル空けてメモリ内に展開して
FireWallのCVPを思い出しました(笑)
---
>メールデータに添付されてる暗号化されたjpegとか
jpeg画像自身に情報を埋め込むツールとかならVectorにちらほら(笑)
暗号解析は進んでいるから・・・1024~4096bitくらいでの暗号が
良いかもです~
---
>CPUから開発して
時代はTRONですかね?(笑)
どちらにしても「使う=脆弱性が産まれる」とは思いますがw
---
>自作のCPUとか
TTLを思い出しました(笑)
---
>まぁ、なんていうかもうゲーム~
全文含めて同感です。課金収益でなくてユーザの楽しさを追及出来れば
とは思いますね。韓国系ネットゲーコンテンツの多くが
「人の諍いを商売のネタにする」のが多いで残念です。
近江商人の「三方得」が目標かと・・・
-
ライムぅ@ユスティエル
2011.1.12. 08:22
PC音痴ですが
セキュリティに詳しいお二方に質問していいですか?(トウヘンボクさんのレスは消えてて見えないけど)
NCがオード採集BOT対策に導入した、表示された文字を入力するのあるでしょ?
あれ、BOTはすでに対策してて、あたしらだけがめんどいことになってるって掲示板にでてるけど、
それ、本当なんですか?そんなことできるんでしょうか?
あれがBOT対策になってたら(狩りBOTはダメやろうけど)、少なくとも採集BOTに対応できるんじゃないかなって・・・期待してたんだけどね・・・
-
ととっちの小屋@ジケル
2011.1.12. 09:54
ととっちの小屋です。
有識者かどうか分からないのでやって来ました~(興味があったので)
3代目レギマスさんが見たWikiとは・・・wikiwikiの方なのかな??
wikiwikiの方は今でも危険性がありそうな気がしてます。
ご存知の方も多いと思うけれど、以前マビノギってオンラインゲームをしていました。
2009年の話ですが
その時、運営からもWikiwikiでサイト内で「スクリプトが改竄が有り外部サイトへアクセスされてしまう可能性があった」という報告が実際にありました。
AIONのWikiwikiも同じくらいに危険だと思います。
垢ハック問題は、ネットワーク知識が幾らあってもふせげないもので
セキュリティとかWebサーバーとかプログラミングの知識ある人じゃないと詳しいことを語れないと思う。
AIONプレイしてるユーザーさんの大多数がセキュリティの素人の集まりだと思うな。
サポートが有る人は、専門家のセキュリティソフトメーカー等の人に今の垢ハックに遭わない為に、どう対応したらいいのか相談して見るといいと思いました~
-
ととっちの小屋@ジケル
2011.1.12. 10:04
追記します。
OSアップデートや下記の修正プログラムはちゃんと入ってるか?確認をお願いしたいです。
あと今流行の「動画再生」も危険性はあると思います。
2009年のIPAでの告知文です。古い情報ですみません。
マイクロソフト社の Microsoft Video ActiveX コントロール (*) にリモートからコード(命令)を実行される脆弱性(972890)(MS09-032)が存在します。
攻撃者がこの脆弱性を悪用した攻撃コードを埋め込んだサイトを作成し、ユーザが Internet Explorer でそのサイトを閲覧した場合、攻撃者がユーザのパソコンを制御できるようになる恐れがあります。
この脆弱性を悪用した攻撃コードを埋め込んだサイトが複数確認されています。
この脆弱性に対する抜本的な修正プログラム(MS09-037)が、2009年8月12日に公開されました。
注(*) 動画の録画や再生で利用されるプログラムです。Microsoft Windows Media Center などで使用されています
-
安藤圭子さん@イズラフェル
2011.1.12. 10:32
透子は日本語でおk
-
駄目庵@ユスティエル
2011.1.12. 13:34
ライムぅさんへ
CAPTCHAの事と受け取りました。
一般的なセキュリティ破り手法も幾つか有ります。
ファイルが認識出来れば数値の自動入力も可能かと思います。
BOTツール自身がその機能を包含したかどうかは当方には判りません。
-
駄目庵@ユスティエル
2011.1.12. 13:39
ととっちの小屋さんへ
十分有識者さんかと(笑)
書かれている事件はXSSの話ですかね?
某ネットゲーの例ですが、セキュリティはここより数段甘いです。
でもハッキングが発生してません。
ハッキングしても利益にならない構成を取っているためです。
アイテムは取引出来ず、ガチャからのポイント・課金アイテムのみ。
「サイバーノーガード戦法」とは言いませんが
無意味になるハッキングをやる人間は愉快犯のみに限定されます。
ビジネスハッカーさんは十分抑止出来ちゃうみたいですね。
-
駄目庵@ユスティエル
2011.1.12. 13:45
ととっちの小屋さんへ
>追記します。
>OSアップデートや下記の修正プログラムはちゃんと入ってるか?
>確認をお願いしたいです。
当時の確認では対応されていた様に思います。何にしても現在連絡取れません。
>あと今流行の「動画再生」も危険性はあると思います。
動画も静止画もですね。フォーマット詐称しておいて後ろに別のデータという形で
ウィルス埋め込みを行うケースも有ると認識しています。
尚、ウィルス対策ソフトでは現状のPC分析を行い、モジュールの新旧を判別して
ブラウザのプラグインに至るまでUpdateの必要性をチェックするものが有ります。
組み合わせて使うと良いかも知れません。
当方が挙げた元レギマスさんはCCC(サイバークリーンセンタ)のBOT感染チェック
まで行われていた人でしたね~
-
駄目庵@ユスティエル
2011.1.12. 14:16
本人確認手法の一例
【仮想仕様】
1.ゲーム用認証局を設置。
2.メール添付ファイルとしてユーザ側の暗号鍵を送付。
※このユーザ暗号鍵はNCJ側の暗号鍵で暗号化して送付し、
公開鍵で復号する事が前提。
3.ユーザ情報(ブログ含)に公開鍵を設定。
4.アカウント認証をユーザ側暗号鍵で暗号化して送信。
認証サーバ側では公開鍵にて復号して認証。
5.自宅ユーザ用として暗号鍵は
「ユーザID・パスワード・GMT・シード(種)値・セキュリティカード番号」
から算出したものとし、ゲームクライアントにインストール後に削除。
ゲームクライアント側で保持する二次精製鍵は
端末のMACアドレス・端末名称・ユーザ名称を含んだ形で加工。
ログイン時はMACアドレス・端末名称・ユーザ名称にて一次鍵を導く。
※LANボード交換時や別ユーザログインは別の暗号鍵となるため、
先の2.を取り直して再度セットアップが前提。
6.ネカフェ用にICカードを配布。USBカードリーダーを認定ネカフェ端末に
接続して一次鍵とする。
-
Mares@ジケル
2011.1.12. 15:52
Windowsアプリはさっぱり分からないので教えてほしいのですが、IEでフォーム入力された物がSubmitされた場合ってキャッシュに残るのでしょうか?
ず~っと前から気になってたのですが、↑のログインフォームありますよね?
ソースを見るとID/Passがそのまま因数としてSSLのURLに渡されている形になっています。
もし、フォーム入力内容がキャッシュされるのであれば、エンコードされたID/Passがキャッシュ上に残っちゃうのかな~と・・・
とすれば、キャッシュを外から取り出すことも可能と誰かが前言ってたので、簡単にID/Passは盗めちゃうな~と思ったのですがどうでしょうかね?
普段私は↑からはログインせずにSSLのかかっているNCJのログインサイトからログインしてからゲームに入っています。
なんかそれでないと怖い気がしてどうも↑のフォームからはログインできないです。
ま、もしキャッシュされなくてもパケットモニターするトロイでも入ってたら盗られちゃいますけどね?
-
Mares@ジケル
2011.1.12. 15:52
OTPはNCJのサイトでもアナウンスされてますね?
http://www.ncjapan.co.jp/pressroom/news_view.ncj?nid=2245&pg=2&order=&s_year=&s_mm=&s_dd=&e_year=&e_mm=&e_dd=&keyword=&pg=2
私のスマホにもトークン入れたので早く使える日が来るといいな~
-
駄目庵@ユスティエル
2011.1.13. 01:08
Maresさんへ
>IEでフォーム入力された物がSubmitされた場合ってキャッシュに
>残るのでしょうか?~
ID入力枠の履歴という事ですかね?
キャッシュファイルという考え方で良いですか?
IEの設定等での対応になるため、AIONクライアント側の対応でなく
インターネットオプション
→全般タグ
→閲覧の履歴
「削除」or「終了時に閲覧の履歴を削除」
という感じになるかと思います。
ウィルスの作りによっては有り得るかも知れません。
スニファーされたIPパケットもSSLの上では暗号化されていますが、
128bit暗号は弱いため確かにこれも解析される可能性が有りますね。
どちらもご指摘の通り危険性を持つと考えます。
>OTPはNCJのサイトでもアナウンスされてますね?
内容を参照致しました。
アナウンスであって導入ではないためどうなるか不明ですが、
ユーザがアカハック被害から逃れられる対策になる事を期待しています。
-
黒猫王アズラエル@ジケル
2011.1.13. 01:19
おや、自称プログラマさんのカキコが消えてるw
-
グラハムスペクター@ルミエル
2011.1.13. 04:34
まぁ、ネットワーク屋さん歴10年云々とか、お仕事何年してます・・という話で、
車が運転できる人と、ジムカーナ何度も行ってる人と、乗ってる時間は同じぐらいでも、
アクセル全開して性能の上ギリギリをどんだけ使ってますよ時間が長い人度合いが違う
けど、多分、CEさんとか、環境設定屋さんなんじゃなかろうか?
10年前はC言語勉強してIT業界入りましょうな就職難の時代だし、
趣味で遊ぶ程度のコンテンツのサイトで何を言っても仕方ないと思う。
特に、もうセキュリティ守れるとかのレベルの話になってないしw
-
しものて線@ジケル
2011.1.13. 11:42
僕はちょっと視点が違います。
IT技術について、クラック側のLVが相応に高いという前提条件の下、スレ主は書かれていますが、多分それも曖昧な所じゃないかと。 対ネトゲクラックでそこまで高い質の技術者が複数いるかっていうと、微妙としか言えないと思います。
それに対して、ハック技術そのものは損得勘定を抜きにして発展してる気がします。 純粋な知的好奇心や、ゲーム感覚でセキュリティを抜く方もいますからね。っていうわけで、セキュリティの穴を抜く側と、利用する側は明確に別だと考えています。そこで発生するタイムラグこそが、専門的なセキュリティ対策知識をもたないエンドユーザーの最後の防壁になっていると考えています。当然のことながら、攻撃側も完璧ではありえないわけです。
NC側の問題点について。
こういってはなんですが、公式側からIDやPASSが抜かれたというのは、僕の個人的な見解では、まだ ないだと思います。というか、いつだったか垢ハックが酷かった時の攻撃対象は、フラッシュ関連のセキュリティ問題の あ と でしたよね。
-
しものて線@ジケル
2011.1.13. 12:06
NC側の問題点続き。
NC開発のソフトで中国での運営を考えられてるものは、もしかしたら全部ですが・・。
〔ソースコードの中国公的機関提出〕
が行われているそうです。早い時期からBOT大繁盛だったのも・・・・・・・
AIONの癌は多分コレでしょうね。FF14もコレで失敗したんじゃないかって聞いてますが。
最後に、認証方式についてですが、手順を複雑にすればいいってもんじゃない筈です。
多大な時間をかけて遊ぶゲームで、個人にとって重要なデータの塊ですが、だからといって参入障壁になるようなセキュリティ強度立ててどうします。どんなにセキュリティ硬くても、エンドユーザーが使えなければ無意味です。極端な話、セキュリティ有識者しかゲーム内にいない偏ったMMOなんて僕はゴメンです。 企業側は、大多数に可能であると推測できて、それでいてセキュリティの高いログインシステムを使うしか無い訳です。
というわけで、ワンタイムパスには期待してるんですよねー。
-
駄目庵@ユスティエル
2011.1.13. 13:45
グラハムスペクターさんへ
>車が運転できる人と、ジムカーナ何度も行ってる~
同意です。
自身が全体統括の時も細部が見えているか?
自分が部品の時も全体が見えているか?
後は、技術だけではなくて、人への配慮という所がシステムエンジニアかと。
(サーバーモンキー+目的意識=SE?)
>もうセキュリティ守れるとかのレベルの話になってないしw
元々ARPANETで、大学間の通信を行うネットワークだったという事ですね。
インターネットは善人を前提として皆が利用出来る様にしたものと思います。
現在はサイバーテロから軍事利用を視野に入れたクラッキングに至るまで
各国利害・善悪を取り混ぜた危険なネットワークですね。
八百屋が核武装しないと自身を守れないインフラはインフラと言えるのか?
インフラを守るための国家・軍隊・警察はどう動くべきか?
国際的に考えないといけない時期かと思います。
-
駄目庵@ユスティエル
2011.1.13. 13:46
しものて線さんへ
>純粋な知的好奇心や~
過去のハッカーさんはそうだったんですが・・・
現在はビジネス(犯罪)として生計を立てる人が増えてきているのが実情と
考えます。
ゾンビクラスター端末を期間レンタルでDDoSを行う等は趣味の世界を逸脱して
いますし、アングラサイトでの各種ツール群は学生さんでも簡単にウィルスが
作れてしまうものですよね?
>セキュリティの穴を抜く側と、利用する側は明確に別だと考えています。
某陸軍のサイバー攻撃部隊や某国マフィア組織等、
「目的と手段を明確にセキュリティを抜く人々は存在する」
と考えます。
>認証方式についてですが、手順を複雑にすればいいってもんじゃない筈です。
同意です。
例えば当方の上の仮想仕様ですが
自宅ユーザ=初回設定以降は現状と同じ
ネカフェユーザ=ログイン時にカードを読み込ませてからユーザ認証
(カード内部の秘密鍵は1次でも良いし、それを作成する元の0次でも良い)
裏方の世界を書いた部分なので、ユーザ負荷軽減はOTPと同程度以下と考える
次第です。
-
しものて線@ジケル
2011.1.13. 14:55
>駄目庵さん
視点の違いと書いたのは、セキュリティホールを抜く、それで〔本格的に儲け〕ようとしている連中は、手間の割りに儲けの少ないMMOのアカウントクラック等に手を出さないと思うからです。
それならば、既知の穴を〔利用〕する手法を確立するほうが遥かに儲かるはずです。
要はセキュリティホールの運用とでもいいますか、構造的に未知の穴を利用したツールは無理で、できて最新かと思われます。 ソフトやハードの作成側も危険な穴は全力で塞ぎに来るでしょうから、ここでの時間が対MMOのクラック対策にとって重要になると考えます。
あと、想像でしか無い内容ですが
MMOのアカウントクラックで、何が美味しいかと考えたときに、盗んだデータが、〔何のデータ〕なのか比較的容易に判断がつくからではないでしょうか。
2chやWIKIからの誘導は、鴨が何のソフトを使っているか簡単に連想できますものね。
それこそIPが何処から来たかが解ればキーロガーだけでもなんとかなりそうです。
その対策のセキュリティカードだった筈ですが、実はオードBOTがキーを回避するのと同じ
おっと誰か来たようだ
-
黒猫王アズラエル@ジケル
2011.1.13. 17:40
自分のパソ師匠がたまたま技術屋なので一連の話を伝えてみたら
PC98の時代じゃあるまいしWindowsやLinuxの時代に情報を自分だけで抱えてられる訳がない。だそうで
しかも日進月歩で二年前の技術が過去の遺物扱いな世界で昔の技術がどんだけ役に立つの?だって。
なので本当に技術屋で自信があるならコメント消したりせずに堂々と知識のごく一部でもひけらかして
皆から羨望の眼差しでも集めて置けば良かったのに…
そもそも本当の技術屋なら自分の技術を他人に自慢したりはしないとケータイの向こうからそう仰ってましたw
仰る通り、ごもっともだと思いました、まる。
-
サトリ@イズラフェル
2011.1.13. 19:17
黒猫なんとかさんに同意だ。
(有識者のみ)なんて嫌味ったらしいタイトルでどんな内容かと思ったら
だらだらと自分は昔こんな事やっててこういう事も知ってるみたいな自慢大会みたいな流れ
ソレなんの役に立つの?って思ってた
おれは有識者とやらじゃないので何の話なんだかちんぷんかんぷんだから話に入ろうとも思わないけど参考にもならない
知識ってさ無知なもののためにあるものなんじゃないの
ただ知ってることだけを自慢するかのように専門用語並べてりゃあ賢く見えるとでも思ってるのかもしれないけどさ
ホントに知識があって賢い人は無知な人にもわかりやすーく教える事ができる人の事を言うと思うんだよね
スレッドのタイトル、本文、コメント内容通してみて「有識者」がやることじゃあないよなって感じた
専門的なマニアックな雑談をしたいんだってだけなら
かっこつけて有識者とか書かずにやればいいのにな
-
グラハムスペクター@ルミエル
2011.1.13. 19:28
俺もちょっと技術者としてスキルをひけらかそうと思う
まぁ、仕事あるのに命がけで遊んでます自慢でも・・
えーと、ギターの速弾きが得意で、インギーの7thsignとか、
メタルカントリーの27needlesが弾けます、
調子にのってcanonrockをアップロードしたけど恥ずかしくなって消しました
まぁ趣味ですが・・
あと、二級整備士の免許を目指した事があって、自分で車検前にバイクのマフラー交換してます。
これは、派遣先が決まらない間バイトしといて・・って言われて、
GSでバイトして今のうちに・・と思ってたら返事が来て断念・・
英会話は当時の会社が金出してくれるし自己啓発を理由に忙しかった時代に行ったんですが、
カラオケでStandByMeとか、MoreThanWordとか、wildworldが歌えるようになりました。
ついでに2級ゲットしたけど、英語は話せません。
あと、グアムで観光がてら受けた特殊部隊訓練の2段階目まで頑張りました。
ウエイトトレーニング頑張ってみたりして、45口径ぶっ放せます?
-
グラハムスペクター@ルミエル
2011.1.13. 19:31
まぁ、擁護すると
途中で、スレ主に噛み付いた人がいてちょっと荒れたんだけど、
その人がコメントを消してしまったんだな・・
だから、見ると書いてる人だけ悪いみたいに見えてしまうところが有る
-
グラハムスペクター@ルミエル
2011.1.13. 20:33
しものて線さんの書き込みにある
中国での運営を考えていて、ソースコードの提出を行ったという話と、
それをFF14のスクエニもやったっていう話はびっくりしました。
それって、最初から犯罪組織に犯罪やってくださいって言ってるようなもんだし・・・
-
瞳二式@ユスティエル
2011.1.13. 22:42
駄目庵さん、正直難しいですよ~
運営のみに訴えるなら、【ご意見掲示板】で、要望として出せば良い事だと思います。
【有識者のみご覧下さい】と、一部で意見交換するより、
初心者でも解る様に、アドバイス的な記載にした方が良かったと思います。
普段の駄目庵さんって、レギメンor初心者支援に関して言えば、
私より積極的に動いてる方なのです。
普段のゲームスタイルと違うのに驚きました。
【公式掲示板】で、意見を出すなら、
技術者として全員が理解出来る様に、その辺の配慮は欲しいと思いました。
-
駄目庵@ユスティエル
2011.1.14. 00:19
しものて線さんへ
>手間の割りに儲けの少ないMMOのアカウントクラック等に
>手を出さないと思うからです
思いは尊重します。
事実のみ書きます。
【事実】
1.リネ1/2時代に専用のアカウントハック用ウィルスを開発されています。
2.リネ2のBOTツールであったLine2Walkerは、当初無料でしたがその後
有料化(ユーザ総数は不明です)
3.先の2.はPK用(PV)としても端末に入る全ての情報を利用出来るため
PK/戦争用にも利用されユーザ数が拡大。
(遠視・広範囲レーダー・スカウター・チャット盗聴等々)
4.先の2.のとあるPKの例
(1)PK(PV?)に熱中したが、とあるPKKにボコられる
(2)相手が不正ツールを用いていると思い込んでそのPKも
ツールを使い始める
(3)BOTツールの本来の使い方に目覚めて、BOTとしても活動を
始める
5.先の2.が蔓延していた当時、彼らの月収は70万円だったと聞いています。
(1年余で1億数千万となったリネ2プロキシーも有名)
-
駄目庵@ユスティエル
2011.1.14. 00:24
黒猫王アズラエルさんへ
全文含めて同感です。
>本当の技術屋なら自分の技術を他人に自慢したりはしない
仰られる通りです。
自分の技術を他人のために活用して収益を得るのがプロ。
過去の経験を書いて苦労話として情報交換をした上で、
「歴史は繰り返す」
という事で未来のトラブルシュートの切り口とする等。
どんなコメントでもそこに汗が有れば有効ですよね~。
-
駄目庵@ユスティエル
2011.1.14. 00:30
サトリさんへ
>自慢大会みたいな流れ
これは失礼を・・・
黒猫王アズラエルさんの仰られる通り
「何を持っていた・勉強していた」
云々は経験談からの苦労話の交換であって自慢ではないです。
>知識ってさ無知なもののためにあるものなんじゃないの
これも仰られる通り。
ただ、裏方の方策を論じたいと思った次第。
一般の人は「縁の下の力持ち」的な存在に配慮不要と思いました。
知識を含めて会話は双方向。
相手の理解を引き出すためにはナレッジベースが必要。
顧客先相手であれば勉強会等を行うケースも有ります。
今回は一般のユーザさんはそこまで苦労も努力も不要であり、
かと言って有識者が有料サービスするクラスでの会話も出来ないです。
せめて・・・
「裏方がアイデアを創出するための場」
に出来ればと思っていました。
-
しものて線@ジケル
2011.1.14. 02:13
駄目庵さん
リネ1からの時代は記憶が曖昧なのでなんともですが、セキュリティ問題が話題になったのは覚えてます。あれの種類は何タイプでしたっけ。ぐぐってみた感じですと、やはりIEのセキュリティホールを付くタイプですかね。何種類もあった筈ですが。要はコレも穴の運用と言えると思います。
セキュリティホールを公開したのはMSなり、どっかの研究機関なりで、アップデート日時が予告され~って流れですよね。 私がIEから火狐に切り替えたのもIEの信頼性が問題になってからですから、懐かしい話です。
BOTツールはセキュリとはまた別の話の筈。 穴は対策されれば終わりですが、BOTツールは要所のバイナリを書き換えるだけで継続して運用可能、更に色々仕掛けられるという開発するに足る商品だったのでしょう。 セキュリティの観点から見た場合、ユーザー側が簡単に防げる内容であるはずです。
アカウントクラックで儲かるのは、当たりアカだけでしょうが、BOTは時間で収益がある程度予測できる上に、並列稼動する事で利益も跳ね上がりますからね。収益性からいっても開発に手間をかけるのは頷けます。
-
わっふるう@ユスティエル
2011.1.14. 04:02
結局なにをどう物申したいのか簡潔にまとめてください笑
-
駄目庵@ユスティエル
2011.1.14. 04:45
しものて線さんへ
事実のみ記述しますね。
>セキュリティ問題が話題になったのは覚えてます。
【リネージュ資料室 → 価格.com】
等の情報と考えて良いですかね?
1.目的:リネージュ・リネージュ2のユーザID/パスワードを盗む
2.手段:ユーザが見ると思われるサイトにウィルスを仕込んで
感染を待つ。
3.対策:サイト側ではIISのセキュリティホール対策
端末側ではIEのセキュティホール対策
>BOTツールはセキュリとはまた別の話の筈。
業者が売買する手段として
1.BOTツールで自動化して稼ぐ(金子農夫?)。
2.セキュリティホールを突いてアカハックを行う。
3.ネット恐喝でゲーム内通貨を巻き上げる。
これらの1~3の行為で作られたゲーム内通貨を
4.ユーザに販売する。
Unityサーバに居た元業者アルバイトさんからの話ですが
「アカハックはユーザの引退を招く可能性が有るので、業界でも
嫌われる行為」
だそうですが・・・
依然として存在します。
-
駄目庵@ユスティエル
2011.1.14. 04:45
【続き】
ユーザID・パスワードを抜いても更にそれが収益に繋がらない手段として
1.ユーザ同士の売買を制限
2.セキュリティカード・OTPを追加してのセキュリティ強化
という事かと考えています。
-
駄目庵@ユスティエル
2011.1.14. 04:56
わっふるうさんへ
>結局なにをどう物申したいのか簡潔にまとめてください笑
しものて線さんの主張
「アカハック(セキュリティ)とBOTツールは別物」
→木をきちんと見ないと論点を見失う
当方の主張
「アカハック(セキュリティ)とBOTツールは関連したもの」
→木を見て森を見ないと大局を見失う
どちらも正論かと考えます。
-
しものて線@ジケル
2011.1.14. 05:32
セキュリティの観点からみたRMTですが、運営が明確に禁止している事で、通常考えられるであろう正規の手順が無い事が問題と考えます。要はすべて裏なのが問題かなと。
実際には、善悪を抜きにして、取引は発生します。現実問題禁止しても無駄であり、闇であるが上に無法状態になるわけです。実は現実通貨とゲーム内通貨を一定の割合で交換することを明言したゲームも存在し、一時期話題になりました。アメリカのMMOだった気がしますが。この場合は明確なルールが存在した訳ですね。
なぜ、NCJが実際には相当量行われているであろうRMTを頑なに拒否するのか。 RMTによる恩恵を受けてる側が拒否するのか。
これはまぁ、大人の事情って奴でしょうか。 詳細を書くのはやめておきます。
今の時代、まだ可能性は薄いでしょうが、運営がゲーム内通貨の商取引を認め、商取引の場ができたのであれば、セキュリティは一気に向上すると思います。どっちみち法整備が必要で、一定の制限かけないと酷い事になりそうですが。
注意 運営が否定しているRMTをAIONで肯定するものではありません。勘違いなきよう。
-
駄目庵@ユスティエル
2011.1.14. 11:49
リアルマネーとの交換を保証した場合、ネットカジノの要素が強くなりますよね。
リネ2でも海外ではモンスターレースを取り止めたりしてませんでした?
但し、リアルマネーと関連付けをしてセキュリティが向上すると言っても
PCIDSSの視点から見直してすら、銀行・信販会社の取引を狙ったサイバー攻撃も
存在しますので完全に防げないのが実情かと思います。
最後に、法整備は国家の垣根を越えられないため、国際協力無しには片手落ちです。
ですが、現状の国内の治安維持には効力を発揮すると思われます。
-
わっふるう@ユスティエル
2011.1.14. 13:17
自分が頭悪いからなのか結局何をどう誰に物申したいのかさっぱりわからんのですが・・・
わかる方簡潔にまとめてください。
-
駄目庵@ユスティエル
2011.1.14. 17:23
わっふるうさんへ
下記は参考になりますでしょうか?
【本文】
セキュリティ対策強化として
・連想ワードセキュリティはユーザ個人の確認方式
→メールアドレス流出対策にならない
アカウントハック対策の直接対策にならない
※折角のブラウザ認証方式なのに、
「サーバ証明書・端末証明書」
を使ってないという事も有りますが・・・
ならばCA(認証局)を使って端末特定から個人識別は如何?
---
【おおまかなレスの流れ】
1.OTP関連情報
2.端末ウィルス対策・WindowsUpdate・各種プラグインのUpdateに
留意が必要
3.【雑談】昔懐かしの話題
4.CAPTCHAをクラックするBOTツールの話題
5.BOTツール・ウィルスに関する意見交換 ← 今ここ
(当方の仮想仕様もNCJの想定されているOTPも
ウィルスにID/PWを抜かれても無意味にする技術)
-
黒猫王アズラエル@ジケル
2011.1.14. 17:53
自分が別の視点から6918でスレ立ててみました。
(解りやすさを念頭に置いてるのでかなり言葉足らずではありますが)
あと、途中から加わった人には解りづらいと思うので補足しておきますが
17個ぐらい上に書いてる内容はスレ主にたいしてではありません。
途中から湧いて消えた自称技術屋さんに対してのものです。
駄目庵さんのアプローチが間違ってるとは思わないけど、
ここで書くにしてはその対象が余りにも狭過ぎる気がします…
おまけ
パソ師匠曰く『ブラウザ上で認証なんかさせてる時点でシステム的に駄目でしょう?』だとか。
-
駄目庵@ユスティエル
2011.1.15. 04:20
>パソ師匠曰く
>『ブラウザ上で認証なんかさせてる時点でシステム的に駄目でしょう?』
>だとか。
気持ちは分かるんですよ。
でも、実際にセキュリティを作る場合にコスト的な兼ね合いも有ります。
要は何を使っても 端末を特定 出来れば良いという感じかな。
セキュリティに絶対は有りませんので。
尚、その師匠さんに「サイバーノーガード戦法」を知っているかお尋ね下さい。
-
グラハムスペクター@ルミエル
2011.1.15. 10:14
アビスの片隅でカジノとか運営しちゃったら面白いかもねぇ
RMTで換金したい人とかも増えてみたりして、
法的にノータッチという事になると、もしかしたらユーザー数も増える可能性ありますね。
元締めのNCJに関しては、規約で禁止している行為ですし、
現状でも法的に管理者として責任を問われてない状態・・
カジノの元締めをやって、ローリスクで稼ぎたいなとか思ってる人からすれば、
法的な問題もクリアできてしまってたりして、これは美味しいのかもしれないのかな?
RMTの換金も公式が認めない限り、現状みたいな感じだよね。
-
駄目庵@ユスティエル
2011.1.16. 01:31
黒猫王アズラエルさんへ
感謝です。レスはこちらに載せますね。
>※ 私的にはルータのF/W、ゲートウェイマシン(以下GWM)上に実装したF/W、
>パーソナルF/Wなど、これらは総て別物と考えています。
1.CiscoのIOSでFireWallを利用する場合
2.NetScreen/SSGの小規模版をルータとして利用する場合
3.ゲートウェイマシンのソフトウェアファイアウォール
(FireWall-1等の著名製品から各種WAFに至る迄)
4.各種ウィルス対策ソフトに付いているパーソナルファイアウォール
これらは確かに別物です。処理能力を含めて棲み分けが可能な特化部分が有ります。
でも、ネットゲーに利用するショートパケットで転送するデータ量が少なければ
大きな差異は出難いと考えます。
なので、家庭用の「NAT付き簡易F/W付きルータ」でも十分と思います。
-
駄目庵@ユスティエル
2011.1.16. 01:32
>Cバス用LANカードを今更複数枚用意するなんて非現実的な事は要求しません。
自宅のPC-9801RA51はCバスのLANボード搭載しています(笑)
9821はPCIボードも搭載可能ですのでドライバーが同梱されていれば使えます。
現在はEPSONの98/Vも販売されていませんので、DOS/V機でIntelCPUの型名と
周波数を提示頂くと判り易いと考えた次第。
また、PC-8801FRも持ち合わせますが流石にこれを利用してというのは
非現実的かと思います。
→8624XLにPowerPCを利用してルータ能力が30Mbps程度というのはご存知かと。
-
駄目庵@ユスティエル
2011.1.16. 01:32
>解ってて言ってますね?(笑
判ってて言ってます(笑)
PC-9801用のFreeBSDは古くから有ります。
(当方のPC-98noteでFreeBSD2.1.7.1を載せて遊んだ記憶が(笑))
386BSDからの派生であるためセキュアなUnixを求めるならLinuxよりも安全性が
高いのでは?という事と、PC-98を使う意図であればより簡単にインストールと
設定が出来ると考えました。
Linuxをどうしても使いたいのであればPC-98ではなくてDOS/V前提になります。
TOMOYOをお使い頂くという手も有りますし、セキュリティホールを埋めた
RHEのクローンであるCentという手が楽かな?なんて思いました。
日本語がどうしても~であればVineかな?古いPC-ATマシンを使うのであれば
Debianかな?という形の選択肢になります。
-
駄目庵@ユスティエル
2011.1.16. 01:32
>AIONではメールの類はID・パスワードと直接的に結びつく仕様であると聞いています。
>なので、この部分は別PCとした方が、より安全かと考えます。
より安全と思います。
ただ、ゲーム用PCを分けてブラウジングとメールを一緒にする意図は
1.ブラウザからの感染ウィルスがゲームを狙っている
2.ブラウザ上のID/PWを狙う物であればブラウザ感染の時点で防御困難
3.メーラーソフトが特定出来ない。
(雷鳥系をお使いの方も居られますので)
現状、安全を求めるコストと、得られる安全性を考えると分割メリットが薄いと
考えた次第です。
-
駄目庵@ユスティエル
2011.1.16. 01:41
【補足】
>古いPC-ATマシンを使うのであればDebianかな?という形の選択肢になります。
以前のRedHatLinuxはインストール可能だったのに現在のRHE(CentOS含)が
インストールできないPCが有ります。
→486時代の筐体を利用。
マザーに搭載されているCPUはAMD-K6-2-550MHz。
但し、この型のDOS/VだとWindows2000以降はOSがインストール出来ません。
ドライバー等の関係でRHEが対応しなくなったのではないかと思います。
Linuxの各種ディストリビューションを試したんですがDebianが
インストール・動作可能だったため列記してみました。
-
黒猫王アズラエル@ジケル
2011.1.16. 02:33
レスつけて戴きありがとうございました。
師匠の方もリアルタイムでこのレスに目を通しているそうです。
多少なりとも参考になる事があれば幸いだと言う風に話していましたがどうだったでしょうか?
…ってわざわざ聞かなくても内容読めば察しがつきますね。
コメの更新も終られた様なのでこちらのスレに対する師匠からの返信を書き込まさせて戴きたいと思います。
長くなったらすみません。
-
黒猫王アズラエル@ジケル
2011.1.16. 02:38
>>パソ師匠曰く
>>『ブラウザ上で認証なんかさせてる時点でシステム的に駄目でしょう?』
>>だとか。
>気持ちは分かるんですよ。
>でも、実際にセキュリティを作る場合にコスト的な兼ね合いも有ります。
>要は何を使っても 端末を特定 出来れば良いという感じかな。
>セキュリティに絶対は有りませんので。
全くですね…AIONのためのF/W構築に時間喰われてAIONログインする時間無くならない程度に、程々にね♪
※ 人はそれを本末転倒と言う(笑
>尚、その師匠さんに「サイバーノーガード戦法」を知っているかお尋ね下さい。
IT業界では6~7年位前から使われ始めた言葉ですが、
~戦法と言いつつ、何の対策も講じない事と解釈しています。
もし誤った解釈でしたら御指摘等お願い致します。
…以上です。
自分にはおぼろげに解ったり解らなかったりする話だらけなので
まともなコメントを挿し入れられなくて申し訳ありません。
-
駄目庵@ユスティエル
2011.1.16. 08:41
黒猫王アズラエルさんへ
>多少なりとも参考になる事があれば幸いだと言う風に
>話していましたがどうだったでしょうか?
多分、黒猫王アズラエルさん仰られている「師匠」さんも色々苦労を
されて知識を得て来られている人と解釈しています。
会話については「こういう考え方・こういう状況も有りますよ」という
情報交換のみであって優劣よりは好みの問題ですかね(笑)
情報は参考にさせて頂きました。
こちらの情報も参考になれば幸いです。
-
駄目庵@ユスティエル
2011.1.16. 08:41
>>尚、その師匠さんに「サイバーノーガード戦法」を知っているかお尋ね下さい。
>IT業界では6~7年位前から使われ始めた言葉ですが、
>~戦法と言いつつ、何の対策も講じない事と解釈しています。
私見ですが・・・
某天下り団体さんと某セキュリティゴロさんの事件で
・某天下り団体さんは自浄作用(自身の悪い所を自身で把握して治す)
が無い事を業界に公言したばかりか、多分数百年~数千年は
残り続ける対応をされた。
・某セキュリティゴロ(失礼)さんは有識者として弱者を助ける部分が暴走
してしまった。また、この裁判以降はその有用な知識・技術を世の為人の為
に使う事が少なくなってしまった。
ゴロvsゴロの喧嘩になってしまって双方に残念な結果になったと思います。
(互いに誠意で接すれば、互いがもっと援け合えて別の解になったかと・・・)
-
駄目庵@ユスティエル
2011.1.16. 08:41
【続き】
過去にはフロッピーディスクのプロテクト技術が著作権法の制定・維持・管理で
必要とされなくなったという世界が有りました。
それを
・法整備が不十分
・法整備を行っても国際協力無しには対応不可
・建前/肩書きよりは実力の世界
というインターネットの世界を理解せずに利用してしまったのでしょう。
(山田オルタナティブや仁義無きキ○タマを語らずWinnyの情報流出を語るのと
同様かと思っている次第)
-
駄目庵@ユスティエル
2011.1.16. 08:41
【続き】
セキュリティ有識者さんが「何もせず対策を言い張る」という用語に使われて
いるものとは思います。
但し、素人さんも騙せない全くの0であれば法的にも騙せなくなります。
私見ですが・・・
言い換えれば
「ここまでは対応可能・ここからは対応不可能・対応不可能な場合はどうする」
をきちんと取り決めて運用する場合、
「見えている工数を対応方式を取り決めて省く」
見えて居ないと困りますが、見えていてサボタージュしているのでれば、展開
で次を用意出来るという考え方ですね。
-
Violetius@ルミエル
2011.1.16. 09:02
ある法学者からお聞きした話ですが、その先生は御自分で書かれた論文を、まず奥様に読んで聞かせるそうです。そして、奥様が少しでも聞いていてわからない部分があれば、即その箇所を書き直すそうです。誰にも理解できる内容でないと意味を成さないし、愛がないからだそうです。
たとえ、有識者のみと限定したところで、この掲示板はみんなのものです。スレ主と黒猫さんが話し合いたければ、別に個人的にメールなりでやりとりしたらどうでしょうか。
空気がよめてない典型的な例ですね。
-
駄目庵@ユスティエル
2011.1.16. 09:45
Violetiusさんへ
KYは貴殿にお返しします(笑)
1.例えば優秀な家庭教師が居たとして生徒全員を東大に合格させる事が
できますか?
2.短文で理解し易くしろと言われても相手にナレッジベースが無い場合
どうされますか?
3.ある意味、
【会話の情報が判るor判らない部分はググって調べる】
の前提で有識者を設定させて貰ったのに
【努力もしないで他人が口に情報を放り込んでくれる】
と誤解されているのは何が原因なのでしょう?
言葉は柔らかいですが内容は辛辣です。
貴殿が相手を傷つけようとする言葉のトゲは、そのまま自身を傷つけて
台無しにしていますよ?ご自愛下さい。
-
駄目庵@ユスティエル
2011.1.16. 09:50
【判りやすく言えば・・・】
1.ある法学者さんは物理学や工学や医学を理解されますか?
2.「誰にでも」は相手が知識を持たない場合・知識を持っていても
宗教/思想的に相容れない場合も含みますか?
3.自身の言葉でなく他人の言葉を引用して人を傷つけたいとする
その心の要求は社会通念上の正義ですか?
-
Violetius@ルミエル
2011.1.16. 10:22
物事の真理は、シンプルでとてもわかりやすいものです。
真の有識者は、子供から年配者まで、あらゆる層の人々が聞いても理解できるように説明できるものだと思います。それがまだお出来にならないという事は、まだまだその域に達していらっしゃらないということなのでは。
ところで貴方はこのスレでいったい何を言いたいのですか?
このスレの目的は何ですか?
-
駄目庵@ユスティエル
2011.1.16. 17:55
Violetiusさんへ
>真の有識者は、子供から年配者まで、あらゆる層の人々が
>聞いても理解できるように説明できるものだと思います。
理想論を展開するのは勝手です。
どこの学者?政治家?宗教家?がそこまでの
「理解しようと努めない人間に湯水の様に知識を分け与えて
平等に理解を求める」
事が出来るのか再度自身で自問自答してみてもらえますか?
>それがまだお出来にならないという事は、
>まだまだその域に達していらっしゃらないということなのでは。
貴殿自身そうでしょう?
当方の書き込みすら理解出来ない人間に、その全知全能の域は
「程遠い」
と思いますよ?
>ところで貴方はこのスレでいったい何を言いたいのですか?
>このスレの目的は何ですか?
1.セキュリティエンジニアに対する情報提供
2.NCJのセキュリティを守る人間への啓蒙・啓発・努力研鑽の依頼
3.セキュリティ保持でユーザをガードする仕様策定ネタの議論
「縁の下の力持ち」とは聞こえの良い「裏方」の仕事です。
貴殿には理解する必要すら無いと思いますよ?
-
駄目庵@ユスティエル
2011.1.16. 18:03
【続き】
ここまで言わないと判りませんかね?
>ある法学者からお聞きした話ですが~
まず、論文を書くに当ってその法学者さんは言語設定をされてますよね?
1.国家はどこを選択されていますか?
言語は?
日本みたいに単一言語の国家は珍しいです。
2.子供は何歳から?
生まれて半年?2歳以降?(日本語なら平仮名?)
年配というのは何歳まで?
その年代が受けた教育を前提にですよね?
3.理解というのは、各々の立場の人間が全て賛同するという事ですよね?
「右翼・左翼・中道・中道右派・中道左派・極右・極左」
が理解して賛同する政治倫理・政治体制を説いてみてもらえますか?
建前はそうでも、本音は「ベースとなる人間を設定」されています。
それを少しでも広げようと努力する事は当方さえも行います。
但し、それは「全て」では無いのですよ。
・キリスト教の人間に仏教を説く
・資本主義(利己主義)に社会主義(全体主義)を説く
・技術を知る基礎知識の無い人間に技術を説く
難しいと思いませんか?
-
駄目庵@ユスティエル
2011.1.16. 18:43
【閑話休題】
サーバ証明書・端末証明書方式での本人確認に対する考え方で
当方の持っていた考えは下記の通り。
※ドラフト版であり、叩き台として設計を練る必要有り。
1.端末固定をする場合、MACアドレスを利用して
ユーザID・パスワード・MACアドレス・シード(種)値
を元に公開鍵暗号方式の秘密鍵を生成。
2.公開鍵はサーバに送られて自動登録。
ゲーム認証時に利用する。
派生:運営からのメール送信時にこの公開鍵で暗号
ユーザは秘密鍵で復号する形でセキュリティを掛ける。
3.クライアント側ソフトは通信を秘密鍵で暗号化。
サーバ側は公開鍵で複号。
(秘密鍵はMACアドレスを参照して毎回生成)
4.ネカフェユーザはMACアドレスが毎回異なるケースが想定されるため、
ICカードを郵送で送付して
「カード所持・ユーザID・PWが正しい」
条件に合った人間をログインさせる。
※1/2はゲーム用PCが変わったり、LANボードが変更になる場合に
再設定が必要な旨アナウンス。
-
Violetius@ルミエル
2011.1.16. 21:53
ふ る く さ あ あ あ (‘-‘☆)
-
グラハムスペクター@ルミエル
2011.1.16. 21:56
まぁ、とにかく長々と続けてしまうとですね・・
読むのもダルい・・と言うのが、読み手のスタミナ不足なのかどうなのか
慣れてる人がサラっと目を通せるレベルなら苦も無くかもしれませんが、
いちしち用語で引っかかってしまって、質問するにも気がひける・・なんて思うと、
もうストレスなっちゃう人が大勢です
嫌なら見なければ良い・・確かにそうなのですが、
メールでやり取りしなさいと言われても仕方ないかもしれませんよね。
で、わかってない人とかに聞かれてアドバイスとかするのに、
説明を省いて具体的に言うだけなら
「そんなゲームやめとけよwあぶないw」
これになってしまうかも・・w
垢ハックされるターゲットに成りうる可能性があって、
尚且つ危険な話が何度も取り上げられて、被害者も後を絶たない状態を見れば、
一言で言うと、これだけかもしれませんね
-
駄目庵@ユスティエル
2011.1.17. 08:47
グラハムスペクターさんへ
>いちしち用語で引っかかってしまって、
>質問するにも気がひける・・なんて思うと、
ご指摘の通りです。
で、ググって調べると内容が見えて来る部分が有ったり(笑)
多分、キーワードを見つけて調べるという手順を経て自身の理解
を深めないと全体像は掴めないかと・・・
そして、一般ユーザはそこまで苦労を必要とする人ではなく、
裏方の仕事と考えた次第です。
>「そんなゲームやめとけよwあぶないw」
当方も過去に周囲に言った事が有ります。
但し、そういう専業ハッカー・クラッカーさんは収益のネタが
無くなると別の切り口からの攻撃手法を作られます。
Winnyの情報漏洩がWinny自身ではなくてウィルスに拠るものですから、
ウィルスの作り次第ではWinnyを利用しなくても感染する感じですね。
>被害者も後を絶たない状態を見れば、
ここだけ何とかしたいです。
-
駄目庵@ユスティエル
2011.1.17. 10:53
【用語説明】
トロイ方式
トロイの木馬(トロイのもくば、Trojan horse)
コンピュータの安全上の脅威となるソフトウェアの一つ
パスワード窃盗型・クリッカー型・ダウンローダ型・ドロッパー型・プロキシ型
等の動きをする
(出展:Wikipedia)
キーロガー
コンピュータ(パーソナルコンピュータ)へのキー入力を監視してそれを記録する
ソフトウェアもしくはハードウェア
(出展:Wikipedia)
リモコンウィルス
仕込まれたウィルスは、Avast!では「JS:Illredir-B」として検出されるトロイの
木馬です。
Adobe Acrobat/Adobe Readerの未修正の脆弱性を悪用して、FTPのIDやパスワード
などを盗み出したり、 PCを外から遠隔操作できるようにしたりします。
(出典:リネージュ資料室2010/1/8)
公開鍵暗号
暗号化と復号に別個の鍵(手順)を使い、暗号化の為の鍵を公開できるようにした
暗号方式
(出展:Wikipedia)
-
駄目庵@ユスティエル
2011.1.17. 10:53
認証局
暗号において、公開鍵証明書認証局または認証局(CA、Certification Authority)
は、他の当事者にデジタル 公開鍵証明書 を発行する実体
(出展:Wikipedia)
-
駄目庵@ユスティエル
2011.1.17. 10:54
ワンタイムパスワード
ワンタイムパスワード (One Time Password,OTP)
定期的にパスワードを変更することで、それもワンタイムパスワードを利用することで、
こうしたリスクは大幅に低減することができる。
ワンタイムパスワードには、基本的に5つのタイプがある。
1.数学的アルゴリズムに基づき、古いパスワードから新しいパスワードを生成する方式
2.認証サーバーとクライアントからの間で時刻同期をしてパスワードを供給する方式
(時刻同期タイプ)
3.数学的アルゴリズムに基づき、チャレンジ(認証サーバーあるいはトランザクション
の詳細によって選ばれる乱数など)と以前のパスワードの代わりのカウンターに基づき
新しいパスワードを生成する方式(チャレンジレスポンスタイプ)
4.紙に印刷されたパスワードのリスト用いる方式(トランザクション認証番号タイプ)
5.ワンタイムパスワードを携帯電話などの「out-of-band」(アクセスに用いるネットワーク
とは別の帯域を用いる)方式
(出展:Wikipedia)
-
駄目庵@ユスティエル
2011.1.17. 10:54
ケルベロス認証
ケルベロス認証(ケルベロスにんしょう、Kerberos - )は、ネットワーク認証方式の一つ~
インターネットなどで通信経路上の安全が保障されていないネットワークにおいて、
サーバとクライアントとの間で身元の確認を行なうのに用いられる。
(時刻同期の必要性はケルベロス認証で時間のずれが5分以内となっているため)
(出展:Wikipedia)
NTPサーバ
Network Time Protocol
丁度、ネットワークを利用したコンピュータ向け時報のようなものである。
(出展:Wikipedia)
-
駄目庵@ユスティエル
2011.1.17. 10:55
NAT
NAT 【Network Address Translation】
ネットワークアドレス変換
IPアドレスを別のIPアドレスに変換する技術である。
IPアドレスに加え、ポート番号の変換(NATオーバーロード)を行うものを
NAPT(Network Address Port Translation)、
PAT(Port Address Translation、Cisco Systemsによる呼称)、
IPマスカレード(LinuxにおけるNAPTの実装名から)
などと呼ぶ。
いずれも、主にプライベートネットワーク環境のホストから、インターネットに
アクセスするために利用されるものである。
(出展:Wikipedia)
-
駄目庵@ユスティエル
2011.1.17. 10:55
ゾンビクラスター
ボットネット
サイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った
多数のコンピュータ(ゾンビPCという)で構成されるネットワークのことである
(ゾンビPCをゾンビクラスターと呼称する場合有り)
サイバー犯罪者の支配下に入ったコンピュータは、使用者本人の知らないところで
犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある
(出展:Wikipedia)
ガンブラー
Gumblar
「Webサイト改ざん」と
「Web感染型ウイルス(Webサイトを閲覧するだけで感染するウイルス)」
を組み合わせて、多数のパソコンをウイルスに感染させようとする攻撃手法(手口)
のことである
(出展:Wikipedia)
パッカーソフトでのウィルスパターンファイル難読化
IntelliTrap機能:自動実行型の圧縮ファイル(パッカー)により難読化されたウイルス
に対するヒューリスティック(ルールベース方式)検出機能 (の記事が有ります)
(出典:トレンドマイクロ)
-
駄目庵@ユスティエル
2011.1.17. 10:55
VirusTotal
VirusTotal.com
約40のアンチウィルスプロダクトを使用して総計テストを行う
バッファアンダーラン/バッファオーバーラン
バッファオーバーランは、バグによってデータでバッファ領域の内外を上書きしてしまい、
誤動作を引き起こす。
そうした場合、通常はそのプログラム(ないしオペレーティングシステム)が動作不安定
になりまたは停止するが、しばしば、そのようなバグのあるプログラムに対して、
意図的なデータ(悪意のあるコード)を与えることにより、コンピュータの動作を
乗っ取ってしまうことが問題となる。
(出展:Wikipedia)
MACアドレス
MACアドレス(マック・アドレス、Media Access Control address)は、ネットワーク上で、
各ノードを識別するために設定されているLANカードなどのネットワーク機器のハードウェア
に(原則として)一意に割り当てられる物理アドレスである。~
原則として、MACアドレスは世界中で唯一の番号となる。
(出展:Wikipedia)
-
私は虎になる@ユスティエル
2011.1.19. 17:32
>駄目庵さま
ひととおりレスを見させて頂きました。
案とされているのは端末のMACアドレスをキーにPKIの仕組みを利用した認証方式だと理解しました。(ネカフェは別として)
簡単に言えば、IDと端末を紐付ける形になるので、ユーザーは自宅で普段使用しているPC以外からはゲームにログインできなくなるという形と理解しています。
ちょっと思いつくのが、
・有線・無線LANでMACアドレスがちょいちょい変化してしまう環境への対処
・この仕組みではローカルのMACアドレスが使われるため、NATの問題は関係しないと思いますが
特殊なネットワークへのバインドをするような環境への配慮をどうするか?
(昔のダイヤルアップとかでありませんでしたっけ?)
というところかなーと思います。
個人的にはオプションサービスにして、それでも安心を買いたい(ここにレスをされている
ユーザーの方々を含めて)というユーザーのニーズはあると思うので、
ICカード型のソリューションにしちゃえばいいのではと思います。
この場合、コストは申し込みユーザー側が負担することを想定しています。
-
私は虎になる@ユスティエル
2011.1.19. 18:04
追記ですが、申し込みユーザーには、特典パールの提供などのゲームバランスに影響のない範囲でのフォローが考えられるかと思います。
また最後になりますが、つまるところは要素認証の話であり、
サービス開始当初はそれが、「ユーザID,パスワード」という1要素、
その後、セキュリティーカードが加わって2要素、
現状3要素目が必要なケースもあるだろうというところには合意します。
ただ結局はコストをいくらかけて何をやるのか、どこでペイするんだという
話になっちゃうんですよねえ。哀しいことに。
-
駄目庵@ユスティエル
2011.1.20. 04:06
私は虎になるさんへ
有識者さんとお見受けします。
>案とされているのは端末のMACアドレスをキーにPKIの仕組みを~
ご指摘の通りです。
>・有線・無線LANでMACアドレスがちょいちょい変化してしまう環境への対処
これもご指摘の通り。
ノートPCで有線のLANボードで認証を作っておいて、無線LANではネカフェと同様に
ICカードをUSBカードリーダ等で読み込ませる方式になると思います。
>昔のダイヤルアップとかでありませんでしたっけ?
私のPCの環境が正にコレです。
先のノートPCと同様。バックアップ回線のダイヤルアップを使う場合は
ICカード+USBカードリーダーになるかと思います。
>ICカード型のソリューションにしちゃえばいいのでは
これを元に色々考えているのはキャッシュカードを利用する手ですね。
JCB等のAION用を作っておいて、銀行の口座番号と括り付ける。
カード自身は信販会社が負担するという事で、信販会社も課金の際にカードを
利用して貰えるというメリットを享受可能です。
あとは仕組みを作れば良いだけになります。
-
駄目庵@ユスティエル
2011.1.20. 04:07
【続き】
>ただ結局はコストをいくらかけて何をやるのか、どこでペイするんだという
>話になっちゃうんですよねえ。哀しいことに。
だからこそ・・・
3~4年前にセキュリティカード方式導入後のリネ2で再度発生したアカハックに
この方式を提案したんですが、ずっと放置され続けているのが現状です。
但し、ならばどうするか・・・を常に考えていけば解は出るものと思います。
OTP導入がCA方式と邪推して色々考えてみた次第です。
何にしても一般ユーザがこれ以上被害に遭う環境を有償サービスとして
提供する事自身が問題と考える次第です。
もっとコストを下げるケースも考えられますし・・・