2019年6月6日木曜日

アカウントハック その時あなたは


幸い、これまでハックされた経験はないのですが。
怪しいログインアタックをされたことは数え切れないほどあります。
昔のネクソンゲームは、NEXON IDがゲーム内で丸出しだった時代もあったので、古参としてはアタックもある程度はやむなし…。

とはいえハックされたらたまりません!

そして、いざハックされたらどうすればいいのか。
意外と細かい手順知らないですよね。そもそもパニックになってしまって、まともに思考できるかどうかもあやしい。

今回は、ハック対策と、ハックされたときどうすればいいの、を、まとめてみました。




       対策編 1~8     


 1)フリーのメールアドレスを使わない


もうまずこれです。
メールが乗っ取られてしまうと、パスワードの再発行などなんでもされてしまいます…。
ヤフーメール等、要するにインターネット上で「メールアドレス+パスワード」でログインするタイプのメールを使わないことです。

「俺ワンタイムパスワード入れてるから関係ないぜ」

いいえ、油断しているあなたが一番危ない!!!あぶなーーいドーーーン

ワンタイムパスワードが設定されている携帯電話を、うっかり機種変更してしまいました!さあどうする。そう、ワンタイムパスワードの利用停止を、何らかの手順で運営にお願いしますよね。ログインはできないから、メールとかフォームで連絡しますよね。そう。そういうことです。
事実はそうでなくても、そのていで、メールアドレスに不正ログインしたハック犯が、ワンタイムパスワードを解除しちゃえるということです。


ではどんなメールアドレスに変更すればよいか。
一番安全だと思われるのは、キャリアメール(docomo、au、softbank)です。
次に、プロバイダメール。メールソフトにSMTPだのなんだのを設定するあれです。
(プロバイダが提供していても、フリーメール方式の認証である場合があります。)
その両方をお持ちでない場合。
2段階認証を入れたGoogleアカウントの、Gmail等でしょうか。インターネット上で誰でもログインアタック可能なので、危険度はもちろん上がります。

ネクソンサポート:登録しているメールアドレスの変更方法を教えてください。



2)ワンタイムパスワードを設定する


これも鉄板です。絶対に設定してください。
1)で、メールが乗っ取られたら意味がない、とは説明しましたが、メールが乗っ取られないならば最強の対策です。

スマートフォンでしか使えないと思っている方がちらほら見受けられますが、モバイル端末以外にも、パソコンで使えるもの、物理トークン型(およそ6cm×3cm)のもの、とあります。

アプリ型トークンSymantec VIP
PC一体型トークンSymantec VIP(ダウンロードボタンを押すと、Windows版を選ぶことができます)
物理トークンNEXON ワンタイムパスワード(OTP)トークントークンの他に300NPが付いてきます)

トークンが準備できたら、

マイページ会員情報>セキュリティ情報ーワンタイムパスワード

から、ワンタイムパスワードの利用を設定します。
その後、メールが届くので、メール認証まで完了させます。


ネクソンサポート:ワンタイムパスワード




3)海外ログイン制御


国内からの不正アクセスや、国内のPCを踏み台にされたら効きませんが、それでも効果はゼロではありません。
ご自身が海外からマビノギする予定がなければ、ぜひ利用しておきましょう。

マイページログイン履歴>(最下部)海外ログイン制御




4)ログインチェックアラート


これも、先にメールが乗っ取られてしまうと意味がない(犯人はメール削除できますし、アラート設定をなしに変更できてしまいますし、メール用のパスワードも変更してくれちゃったりすると本来の持ち主がメール受信できないようになりますし…)のですが、
メール乗っ取りでもなく、ワンタイムも設定しているのに突破してくる、スーパーなハックが発生した際にきっと効きます。

IPアドレスが変更になるとアラートが発生しますので、たとえば停電したあととか、モデムの再起動後なども、自身のログインでアラートが発生します。

このメールが心当たりのないときに来たら、不審なアクセスがないか、ログイン履歴をチェックしましょう。そして不審なアクセスが『成功』などとなっていた一大事な場合にはすぐさまパスワードの変更を行い、セキュリティの見直しを強くおすすめします。

マイページログイン履歴

アラートの設定はこっち
マイページログイン履歴>(下から2番目)ログインチェックアラート



5)2次パスワード

マビノギを起動して、マビノギIDを選択したあとに入力する、あのパスワードです。
これも、ハック犯からすればすでにログインできているならマイページで解除してからって感じになるでしょうからどうなんでしょう。まあでも不正アクセス時の障害は多い方がいいってことで。



6)銀行パスワード

これは、だいぶ最後の砦です。しかも案外有効なのではないかと。
何故なら解除する際に、運営に初期化依頼(ネクソンID,メールアドレスの他に、マビノギIDや、パスワード設定したキャラクター名、サーバー名も必要)を出す必要があり、時間がかかるためです。

ハックされたことに気付くのは、ハック犯が全ての準備を終えマビノギにログインしてきた瞬間(自分が落とされる&パスワード変更されている)か、そのタイミング不在だったなら、数時間後自分がログインできなくなっていることに気付いたときです。

そこからは時間との勝負になります。
こちらは運営に取り戻すための連絡をしなければなりませんし、ハック犯はその間ひとつふたつみっつ…とアイテムやお金を移動してくれています…orz

そんな時間との勝負の中、銀行パスワードの解除申請で時間を要するというのは有効。

もちろん、あらかじめハック犯が銀行パスワード解除依頼を出すことも考えられますが、
マビノギIDやパスワード設定したキャラクター名が一致しないといけません。
代表キャラクターで設定していたらザルですが、たくさんいるサブキャラのどれかわからない状態なら効く…かも…!(自分も覚えていなくてはいけませんが!)

みなさん!サブキャラで銀行パスワードを設定しましょう!
そして、マイページのサポート情報に登録してあるような数字の羅列(電話番号や誕生日)などは使わないようにしましょう!

ティンポーションを銀行内の仕切り代わりにするマン



7)装備の密封


え~先日、改造成功率増加期間中に密封が終わらなくて阿鼻叫喚しましたが。
エルグ実装時には、これまた密封が長くてなかなかエルグ投入できなくて絶望しましたが。

それでも
それでも

大事な装備は密封しておくと安心です!ほんっとにこれが最後の砦です。
密封期間は1日、7日、30日とありますので、めんどくさがって30日コースにしなければ、上記のようなセルフ密封罠にかかることもありません…orz


雑貨屋さん、執事等から密封スクロール(期限ごとに別々に売られています)を購入し、使用しましょう。

バルターさんなら「雑貨」タブの3ページ目にあります

ハック対策で使っているのに案外とお高いのが不満です!不満!



8)番外


ネクソンポイントセキュリティというものがありましてですね。
 ネクソンの別ゲームでもNPを使用できるようにするのか否か、
 ショップでお買い物はするけれどMOMは使わない、とかいう設定も可能
なのですが。
マビノギプレイヤーなら、マビノギで使えるようにはしていますよね…。
ということで番外にしました!

マイページポイント管理>NEXONポイントセキュリティ






ここからは、どうやらハックされてしまったようだ…絶望だ…編です。

       絶望編 1~2     


ハックされたことにどうやって気付くか、どの程度乗っ取られたか、によりますが。

むかーしむかしは、プレイヤーに、『よいアイテムを渡すのにIDとパスワードが必要なんだ』とか言って聞き出す方法、乗っ取られた瞬間に居合わせると取り戻せるタイプのもの、などありましたが、悲しいかなハック方法も年々進化しているんでしょうか、ここ数年は取り戻すのに大変だった事例しか聞きません。

というわけで、どうやらハックされたらしい、その時どうする、です。


1)ログインは可能?


ネクソンサポート:IDについてお困りの場合はこちら

ログインできるなら、今すぐパスワードを変更してください。
フリーメールを登録してたなら、今すぐメールのパスワードも変更してください!



2)ログインできない


ネクソンサポート:お問い合わせ(ログインできない方)

登録メールアドレスまでもが乗っ取られていた場合でも、他のメールアドレスで問い合わせは可能です。
上記のリンク先から、問い合わせに使うメールアドレスを入力して送信します。

すると、入力したメールアドレスに、問い合わせ用フォームのリンクが送られてきます。
送られてきたリンクにアクセスし、必要事項を入力していきます。
その際に必要になる情報は、まずは
 会員アカウントのID
そしてどのような状況かの説明です。いつまではログインできていて、いつからログインできなくなったのか、ワンタイムパスワードは利用していたのか否か、登録していたメールアドレスも乗っ取られているようだ、などなど、自分がわかる範囲のことをできるだけ記述しておくと、きっと運営も対応もしやすいですよね。

その後、運営からの本人認証として
 氏名
 氏名(フリガナ)
 生年月日
を聞かれると思います。
(この3点の情報は、マイページでは変更不可能なのです)
その他、マビノギIDやキャラクター名なども聞かれるかもしれません。

このあとはひたすら、運営の返事を待ちながら、粛々と、対応していきます。
ドンマイ…;;;;;




この記事をまとめようと思ったのは、
少し前まで、ハックされたときの問い合わせ方法が結構えぐかったんですよね。

別のネクソンIDを用意してそこから問い合わせてよ!みたいな…。

けれど今では、メールが乗っ取られていても別のメールアドレスから問い合わせが可能なようです。
しかし逆に
ネクソンIDと、本名、誕生日、といった個人情報がセットで漏洩していた場合、この窓口からハックできてしまうということにもなりかねません。

みなさん自分の個人情報はしっかり管理しましょうね…!
ハックされないための対策もがっつりしておきましょうヽ(´▽`)ノ


※この記事は、ハックされた経験のない筆者が、ハック体験談と記事執筆時の公式サポートを参考に、筆者が思いつく限りの可能性を記述したものです。