パスワードを忘れた? アカウント作成
13317426 story
お金

スマートフォン向けゲームを提供するAimingの社員が勝手にユーザーのアカウントを転売して逮捕される 33

ストーリー by hylom
犯人はどの部門の人なのだろうか 部門より
あるAnonymous Coward 曰く、

スマートフォン向けゲームを手がけるAimingの従業員が、同社のゲームユーザーのアカウントを乗っ取って不正に転売したとして逮捕される事件が発生したとのこと(4GamerAimingの発表マーベラスの発表)。

問題のゲームは、Aimingがマーベラスと共同開発していた「剣と魔法のログレス いにしえの女神」。同ゲームのプレイヤーのアカウントが乗っ取られ、ゲーム内アイテムやアカウントを現金で売買できるRMT(リアルマネートレード)サイトで販売されていたそうだ。被害者というプレイヤーのTwitterアカウントによると、不特定多数のアカウントが同一のRMTサイトで転売されていたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年06月22日 17時35分 (#3232564)

    「ゲームの利用者のIDやパスワードを自由に閲覧できたという。」
    http://www.asahi.com/articles/ASK6P5QJQK6PPTIL016.html [asahi.com]

    • by Anonymous Coward on 2017年06月22日 22時28分 (#3232721)

      個人情報をハッシュ化してマスクするのは適切な対応ではあるが、
      実環境の個人情報を一般レベル(信用や束縛の弱い)の従業員が閲覧できる状態が問題の本質。
      IDとパスワードだけが閲覧可能だったなんてことはないだろう。

      親コメント
      • そもそも
        http://www.sankei.com/west/news/170621/wst1706210090-n1.html [sankei.com]

        容疑者が利用者情報が分かる社内の「管理ツール」を悪用して68人分のアカウントを不正に取得した

        氏は平成27年12月に契約社員となり、ゲーム内のイベントやアイテムを企画したりする企画開発部に所属

        「(おそらく部署が違う [aiming-inc.com]であろう)企画開発部の」
        「契約社員が」
        「他部署の(おそらく平文で閲覧できるであろう、しかもログイン日付までスナップした)管理ツールで」
        「68人分のID/PWをコピペできる(さすがに全ID/PWを瞬間記憶したわけじゃないだろう)」
        (おまけに別ゲーとはいえ5月までかなり古そうな運用環境だった [aiming-inc.com]タイトルもある)
        というウルトラガバガバな社内環境が見えてくるんですが…
        #でもマーベラスなら仕方がないと思うのはルンファク2を即買いしてしまったせいだとはおもいたくないまる

        親コメント
    • by Anonymous Coward

      そのまま保存していたかどうかはこれだけだと判断がつかん。データベース上はハッシュ化されているが管理用ツールで表示する際に復元した上でひょうじしているのかもしれないだろう?

      • by Anonymous Coward on 2017年06月22日 17時56分 (#3232580)

        すごい管理用ツールだな。是非欲しい。

        親コメント
        • by Anonymous Coward

          「凄い(馬鹿な実装の)管理用ツールだな亅であってます?

          • by Anonymous Coward

            しまったなハッシュ化だと復元できないか。暗号化してあれば平文ではないと書くべきだった。

          • by Anonymous Coward

            ハッシュ化されてるパスワードを復元できるなら普通に凄いだろ。

            • by Anonymous Coward

              方法はあるよね?レインボーテーブルだっけ?

              • by Anonymous Coward

                ハッシュ化のルールが判明してる前提なら、あらかじめ照合用の突き合わせテーブルを作っとけば済む話では。

              • by Anonymous Coward

                レインボーテーブルが通じるのは、salt未使用の場合だけ。

              • by Anonymous Coward

                ハッシュ化されているからと言ってsalt適用済みとは限らないのだ…
                下手な擁護だな。

            • by Anonymous Coward
              片方向ハッシュとは書いてないと無理やり擁護
        • by Anonymous Coward

          ネット系の新興企業は生パスワードをDB保存するのがデフォルトです。
          これは広告系でもそうです。

          まともな企業はこのあたりの査定文書を送って契約を判断します。
          やってないところは早急に取引開始時の確認事項に盛ってください。
          非常にリスク管理の甘い企業がたくさんあります。

      • by Anonymous Coward

        ハッシュからパスワード復元とかNSAかよ。

    • by Anonymous Coward

      所詮はゲームのアカウントだからなぁ……。

      • by Anonymous Coward

        所詮?そりゃおかしいだろ。

      • by Anonymous Coward

        Webサイト・ゲームごとにパスワードを使い分けている人ってどの程度いるのでしょうか.
        ID,PWが外部に流出したときの被害と, 運営会社やゲームの規模を考えると"所詮"とは言い切れないのでは...

        // まさかログイン時に送信されるパケットも平文ってことは...

        • by Anonymous Coward

          最近のモバイルゲームはIDオンリーでアクセスできるものが多い。さらにIDは自動的かつランダムに生成された数字の羅列であることが多い。さらにIDの入力すら不要なところが多い。端末のロックを解除できる=ユーザ本人という理屈ですな。そんなわけで今時はゲームのIDとパスワードの両方を意識したことのない人も多いかも。

          以下蛇足。
          別端末への移行は発行依頼を行うと発行される有効期限付きのワンタイムキー(と言っても事業者側の作業はソフトウェアで自動化されているのですぐ終わる)を使う場合が多いように感じます。端末の故障などの場合に備えて外部

    • by Anonymous Coward

      だって生の方が気持ちいいんだもん

      • by Anonymous Coward

        漏らしたら大変な事になるんだぞ?

    • by Anonymous Coward

      そこまでできるなら、いっそ0からプレイヤーデータ(アカウント)を作って、適当なレアキャラ持ってる状態にフラグ弄って、そのアカウントを売れば後腐れ無かったのに・・・とか。
      IDとパスワード閲覧するのよりは難易度高いだろうとは思いますが。

      • by Anonymous Coward

        参照権限はあるけど、変更権限がなかったんでしょうな。

        • by Anonymous Coward

          データの整合性チェックをやってる可能性があるので単純にデータをいじるとユーザによる不正操作として無効化されるかも。

  • by Anonymous Coward on 2017年06月22日 15時54分 (#3232468)

    いわゆる無課金でも遊べるゲームではある
    がっつりやれば定期的にBOXガチャを空にするぐらいの石は貯まるらしい
    *一回のイベントで20回ぐらいは回せるぐらいの石が手に入ったような(頑張れば)

    ただ、つぎ込む人はつぎ込むのと
    武器が定期的にゴミになる為、百万以上つぎ込んでしまう人はちらほらいたと思う

    高額課金者のものしか売れないだろうに、そのユーザーのデータ売ったら
    会社からどんぐらいの損害賠償食らうんだろうな…

    • by Anonymous Coward

      直近のガチャを回してるようなアクティブなユーザのアカウントを接収したら
      速攻バレて問い合わせされるに決まってるけど、そこに思い至らなかったのかな。
      先のこと、全く何も考えてなかったのかなぁ……?

      • by Anonymous Coward

        プレーヤーは永遠に続けてるわけじゃないから
        どんなに廃課金のプレーヤーでも突然消えていなくなるよ。

        ずっとログインしてないのがやめた人なのか
        それとも長期に休んでいるだけなのか。
        アクセス情報だけでは確実にはわからないんだよね。
        大半の人は帰ってこないんだけど。

        だからむしろしばらくバレなかったんだと思われる。

    • by Anonymous Coward

      会社からどんぐらいの損害賠償食らうんだろうな…

      とりあえず、被害者への補償をどうするか決まらないと決められないだろうなぁ。
      どちらにせよ、本人には支払い能力無いだろうし。
      しかし、運営元の従業員の不正では防ぎようがないし、あと本人が非正規雇用(派遣とか契約とか偽装請負とか)だったら、またマスコミのバッシングが始まるんじゃないかな。

    • by Anonymous Coward

      こう言うのは対策が難しいからなー。

  • by Anonymous Coward on 2017年06月22日 17時08分 (#3232538)

    世界で~♪

    と歌う赤王がかわいかった記憶
    キャラ的に物騒だけどいいのかなぁとも思いましたが。

    • by Anonymous Coward

      こんな汚いゲーム会社なんて焼き払って一から作り直せばいいんだよ!

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...