NEXONセキュリティ強化のためのパスワード変更設定措置実施 2月7日


NEXON

株式会社ネクソン(以下ネクソン)は、自社の運営するすべてのオンラインゲームサービスに必要なNEXON IDに、2月7日以降、パスワードを変更しないとサービス利用ができない設定を実施。

なぜこのような措置をとったのか、個人的な解釈を書いておきます。

さて、ネクソンは2月7日に13時から22時10分の約9時間にもわたる長時間臨時メンテナンスを行いました。そしてその臨時メンテナンスの内容は「セキュリティ強化」。

冒頭にも書いたようにパスワードを変更しないとログインができない設定をすべてのNEXON IDに実施しました。

なぜこのような緊急的なアクセス制限措置をとったのか。
その経緯は告知に書かれています。以下告知から引用。
【パスワード変更設定実施までの経緯】
2月に入り、他のインターネットサービスへのハッキングなどにより得られたと思われるIDとパスワードを利用して、NEXON IDに対し、大量のログインアクセスが行われ、同時期に、NEXON IDへの不正ログインが確認されました。この事態を受けまして、セキュリティ強化のために全てのNEXON IDに対し、パスワード変更設定を急遽実施致しました。
① 2月2日~6日、不正と思われる外部からのIPアドレスに対し、アクセス制限措置を実施致しました。
② 2月7日に全てのNEXON IDに対し、パスワードの変更を行わないとサービスのご利用ができない設定に変更致しました。
※ 不正と思われる外部からのIPアドレスによる被害を防ぐため、パスワード変更後は、以前のパスワードに戻さないようお願い致します。
※ 現時点で不正アクセスによる被害に遭っていないお客様も、同様の被害を受ける可能性がございます。

要するに、
ハッカー「げへへ、○○社のオンラインゲームのIDとPWを入手したぜ」

ハッカー「これもしかして他社のオンラインゲームIDとPWとも一致するんじゃね?」

他社から盗んだID・PWを使ってNEXONにログイン

他のオンラインゲームのID・PWとNEXON ID・PWを同じにしていたプレイヤーのIDのハッキング成功
…という経緯で大量の不正アクセスがあったのではないかというのがNEXONの見解。

つまり、今回アカウントハックなどの被害を受けたプレイヤーはNEXONのオンラインゲーム以外のオンラインゲームをプレイしていて、さらにそのID・PWとNEXON ID・PWに全く同じ文字列を設定していたというわけですね。

オンラインゲームのログインIDとパスワードというのは頻繁に使うがゆえに覚えやすい文字列や簡単なものに設定しがちです。また、複数のオンラインゲームで遊んでいるというプレイヤーにとって、個別にID・PWを設定するのは面倒ですね。

ならばオンラインゲーム全体で共通のID・PWを設定してしまえば複数のID・PWの組み合わせを覚えなくてもゲームがすぐにできて便利だ!なんていう考え方をしているプレイヤーが被害にあったのが今回の事件。

IDはともかくパスワードまで同じにしてしまうと今回の件のように芋づる式にゲームIDをハック(クラック)されてしまうわけです。


では私たちユーザーはどうすべきか。

答えは明白ですね。オンラインゲームごとに別々のID・PWを設定すればいいのです。そしてできれば、パスワードは8文字以上で英字と数字を組み合わせたものがいいです。さらに英字部分に小文字と大文字を組み合わせたものを設定するとさらにセキュリティ強度は上がります。

そして、注意すべきはもう一つ、メールアドレスです。アカウントハックに成功したハッカーにはIDを登録した際に入力した個人情報まで盗まれてしまいます。

もちろんメールアドレスもわかってしまうわけですが、もしもそのメールアドレスのパスワードをハッキングされたIDに設定していたパスワードと同じものにしていたら…?

メールアドレスアカウントもハッキングされて、ハッキングに気づいたとしてもパスワードの変更ができなくなる可能性があります。さらにはほかのオンラインゲームアカウントに同じメールアドレスを設定していた場合、メールアドレスを通じてそのアカウントのパスワードも変えられてしまうことも。

結局どうすればいいのかというと、①オンラインゲームのID・PWは個別のものを設定すること②メールアドレスのログインID・PWもオンラインゲームのID・PWと別のものにすること
という2点を守りましょう。


ログインIDとパスワードの管理。

とはいえよく使うID・PWは覚えられますが、たまにしか使わないID・PWを覚えておくのは人間には難しいですね。

アナログ的なもので言えばメモ用紙に書いてパソコンの周辺に置いておく方法や、デジタル的なものでいえばメモ帳にID・PWをリストにしておく方法などありますが、書いておいた紙をなくしたりウイルスに感染してリスト.txtが流出したりと危険と隣り合わせです。

そんなとき私はどうしているかというとID Managerというフリーソフトで管理しています。
http://www.woodensoldier.info/soft/idm.htm
ID・パスワードを確認したいときに起動して、という形で使っています。

アカウントハックや個人情報流出という危険は、インターネットを使っている以上、常に隣り合わせです。
そういった危険から自分を守る「自衛」の方法を知らずにインターネットをし続けることは危険だと思いませんか?

今回書いた件はそういった危険のごく一部です。
人によっては最も近くにある危険かもしれません。
是非ともその対策というものを心に刻んでおきましょう。

コメント

コメントを投稿

このブログの人気の投稿

【アラド戦記】スキル振りの参考になるサイト「AradDB」

イメージ
AradDBは2022年に閉鎖したため閲覧できなくなった。 代替サイトとしては「 DFCat 」という韓国のサイトがおすすめ。 スキル振りに悩むのがアラド戦記の醍醐味でもあったけど、キャラ数が増え、スキルが増え、やることが増えた今、なかなかスキル振りの検討に時間を割いてられない事情もあり。 そんななか、引退してた間なのかどうかはわからないが便利なサイトができていた。 DNFのOpenAPIを使ってDNFトップランカーのスキル振りを閲覧できるという便利サイト。 それが「AradDB」だ。 https://arad.pure-db.com/#/skill 使い方 まず、英語に拒否反応を示す前にページ右上の「Languages」から「日本語」を選ぶ。 すると、画面上のメニューが日本語になる。 キャラクター種類と職業名を選択して、「Search」ボタンを押す。 職業名・転職名がわからない(または忘れた)場合は、 アラド戦記公式サイト で調べよう。 職業名(例えば、鬼剣士など)をクリックすると、すべての転職名(バーサーカーなど)を一覧で確認できる。 するとランキングの一覧が表示される。 1位(#1)の人を見るのもよいし、アバターを見てインスピレーションで決めるのもよし。 スキル振りを決めたいとき、それは、たいていこだわりがないときが多いのだ。 ランキング一覧の画像リンクをクリックするとスキル振りとページ下部にタリスマン情報が表示される。 あとはこれを参考にスキルを振っていけばいい。 当然だが、Lv100基準でのスキル振りになっていたり、達人の契約(自分のレベルより5レベル高いスキルを習得できる課金アイテム)が適用された状態でのスキル振りになっているので、あくまで、習得するスキルの参考にする程度に止めよう。 条件が一緒であれば全くスキル構成をコピーしてもいい。 ーーーーーーーーーー それにしても素晴らしいサイト(ツール)ができたものだ。 とはいえ、2021/8/18に日本にもスキル初期化無料化が到来するらしく、今まで課金が必要だったスキル初期化は無料になる。 スキル振りも色々試せるようになるので、まずはスキル振りをコピーしてみて、使ってみてから、バランスを整える、ということもできる。 うん。便利になるのはいいことだ!
<全文を読む>