スマートフォン向けゲームを提供するAimingの社員が勝手にユーザーのアカウントを転売して逮捕される 33
ストーリー by hylom
犯人はどの部門の人なのだろうか 部門より
犯人はどの部門の人なのだろうか 部門より
あるAnonymous Coward 曰く、
スマートフォン向けゲームを手がけるAimingの従業員が、同社のゲームユーザーのアカウントを乗っ取って不正に転売したとして逮捕される事件が発生したとのこと(4Gamer、Aimingの発表、マーベラスの発表)。
問題のゲームは、Aimingがマーベラスと共同開発していた「剣と魔法のログレス いにしえの女神」。同ゲームのプレイヤーのアカウントが乗っ取られ、ゲーム内アイテムやアカウントを現金で売買できるRMT(リアルマネートレード)サイトで販売されていたそうだ。被害者というプレイヤーのTwitterアカウントによると、不特定多数のアカウントが同一のRMTサイトで転売されていたという。
いまどき生のパスワードを保存だと!? (スコア:2, 興味深い)
「ゲームの利用者のIDやパスワードを自由に閲覧できたという。」
http://www.asahi.com/articles/ASK6P5QJQK6PPTIL016.html [asahi.com]
生パスは問題の一部 (スコア:1)
個人情報をハッシュ化してマスクするのは適切な対応ではあるが、
実環境の個人情報を一般レベル(信用や束縛の弱い)の従業員が閲覧できる状態が問題の本質。
IDとパスワードだけが閲覧可能だったなんてことはないだろう。
Re:生パスは問題の一部 (スコア:1)
そもそも
http://www.sankei.com/west/news/170621/wst1706210090-n1.html [sankei.com]
容疑者が利用者情報が分かる社内の「管理ツール」を悪用して68人分のアカウントを不正に取得した
氏は平成27年12月に契約社員となり、ゲーム内のイベントやアイテムを企画したりする企画開発部に所属
「(おそらく部署が違う [aiming-inc.com]であろう)企画開発部の」
「契約社員が」
「他部署の(おそらく平文で閲覧できるであろう、しかもログイン日付までスナップした)管理ツールで」
「68人分のID/PWをコピペできる(さすがに全ID/PWを瞬間記憶したわけじゃないだろう)」
(おまけに別ゲーとはいえ5月までかなり古そうな運用環境だった [aiming-inc.com]タイトルもある)
というウルトラガバガバな社内環境が見えてくるんですが…
#でもマーベラスなら仕方がないと思うのはルンファク2を即買いしてしまったせいだとはおもいたくないまる
Re: (スコア:0)
そのまま保存していたかどうかはこれだけだと判断がつかん。データベース上はハッシュ化されているが管理用ツールで表示する際に復元した上でひょうじしているのかもしれないだろう?
Re:いまどき生のパスワードを保存だと!? (スコア:1)
すごい管理用ツールだな。是非欲しい。
Re: (スコア:0)
「凄い(馬鹿な実装の)管理用ツールだな亅であってます?
Re: (スコア:0)
しまったなハッシュ化だと復元できないか。暗号化してあれば平文ではないと書くべきだった。
Re: (スコア:0)
ハッシュ化されてるパスワードを復元できるなら普通に凄いだろ。
Re: (スコア:0)
方法はあるよね?レインボーテーブルだっけ?
Re: (スコア:0)
ハッシュ化のルールが判明してる前提なら、あらかじめ照合用の突き合わせテーブルを作っとけば済む話では。
Re: (スコア:0)
レインボーテーブルが通じるのは、salt未使用の場合だけ。
Re: (スコア:0)
ハッシュ化されているからと言ってsalt適用済みとは限らないのだ…
下手な擁護だな。
Re: (スコア:0)
Re: (スコア:0)
ネット系の新興企業は生パスワードをDB保存するのがデフォルトです。
これは広告系でもそうです。
まともな企業はこのあたりの査定文書を送って契約を判断します。
やってないところは早急に取引開始時の確認事項に盛ってください。
非常にリスク管理の甘い企業がたくさんあります。
Re: (スコア:0)
ハッシュからパスワード復元とかNSAかよ。
Re: (スコア:0)
所詮はゲームのアカウントだからなぁ……。
Re: (スコア:0)
所詮?そりゃおかしいだろ。
Re: (スコア:0)
Webサイト・ゲームごとにパスワードを使い分けている人ってどの程度いるのでしょうか.
ID,PWが外部に流出したときの被害と, 運営会社やゲームの規模を考えると"所詮"とは言い切れないのでは...
// まさかログイン時に送信されるパケットも平文ってことは...
Re: (スコア:0)
最近のモバイルゲームはIDオンリーでアクセスできるものが多い。さらにIDは自動的かつランダムに生成された数字の羅列であることが多い。さらにIDの入力すら不要なところが多い。端末のロックを解除できる=ユーザ本人という理屈ですな。そんなわけで今時はゲームのIDとパスワードの両方を意識したことのない人も多いかも。
以下蛇足。
別端末への移行は発行依頼を行うと発行される有効期限付きのワンタイムキー(と言っても事業者側の作業はソフトウェアで自動化されているのですぐ終わる)を使う場合が多いように感じます。端末の故障などの場合に備えて外部
Re: (スコア:0)
だって生の方が気持ちいいんだもん
Re: (スコア:0)
漏らしたら大変な事になるんだぞ?
Re: (スコア:0)
そこまでできるなら、いっそ0からプレイヤーデータ(アカウント)を作って、適当なレアキャラ持ってる状態にフラグ弄って、そのアカウントを売れば後腐れ無かったのに・・・とか。
IDとパスワード閲覧するのよりは難易度高いだろうとは思いますが。
Re: (スコア:0)
参照権限はあるけど、変更権限がなかったんでしょうな。
Re: (スコア:0)
データの整合性チェックをやってる可能性があるので単純にデータをいじるとユーザによる不正操作として無効化されるかも。
ログレスもそこそこ廃課金多かった筈… (スコア:0)
いわゆる無課金でも遊べるゲームではある
がっつりやれば定期的にBOXガチャを空にするぐらいの石は貯まるらしい
*一回のイベントで20回ぐらいは回せるぐらいの石が手に入ったような(頑張れば)
ただ、つぎ込む人はつぎ込むのと
武器が定期的にゴミになる為、百万以上つぎ込んでしまう人はちらほらいたと思う
高額課金者のものしか売れないだろうに、そのユーザーのデータ売ったら
会社からどんぐらいの損害賠償食らうんだろうな…
Re: (スコア:0)
直近のガチャを回してるようなアクティブなユーザのアカウントを接収したら
速攻バレて問い合わせされるに決まってるけど、そこに思い至らなかったのかな。
先のこと、全く何も考えてなかったのかなぁ……?
Re: (スコア:0)
プレーヤーは永遠に続けてるわけじゃないから
どんなに廃課金のプレーヤーでも突然消えていなくなるよ。
ずっとログインしてないのがやめた人なのか
それとも長期に休んでいるだけなのか。
アクセス情報だけでは確実にはわからないんだよね。
大半の人は帰ってこないんだけど。
だからむしろしばらくバレなかったんだと思われる。
Re:ログレスもそこそこ廃課金多かった筈… (スコア:1)
社内ツールを使って高価なアイテムをもっているにもかかわらず
長期間ログインしていないアカウントを見つけてはRMTに流していたようです。
んー、それで今わかってるだけで35万円かー
たしかガンホーのは1000万超えてたけど、今回のはよっぽど下手だったんだなー
Re: (スコア:0)
会社からどんぐらいの損害賠償食らうんだろうな…
とりあえず、被害者への補償をどうするか決まらないと決められないだろうなぁ。
どちらにせよ、本人には支払い能力無いだろうし。
しかし、運営元の従業員の不正では防ぎようがないし、あと本人が非正規雇用(派遣とか契約とか偽装請負とか)だったら、またマスコミのバッシングが始まるんじゃないかな。
Re: (スコア:0)
http://www.sankei.com/west/news/170621/wst1706210090-n1.html [sankei.com]
契約社員らしいですね…
Re: (スコア:0)
こう言うのは対策が難しいからなー。
♪うれしいぞ~余がログレスの~ (スコア:0)
世界で~♪
と歌う赤王がかわいかった記憶
キャラ的に物騒だけどいいのかなぁとも思いましたが。
Re: (スコア:0)
こんな汚いゲーム会社なんて焼き払って一から作り直せばいいんだよ!