私は以前、ワンタイムパスワード未導入時にスクエニアカウントの不正ログイン被害(垢ハック)にあったことがあります。そういう経緯もあり、2段階認証を使ってない人を見かけると「ワンパス導入しろ、使え」と口酸っぱく言う「ワンパス入れろ」おじさんでもあります。
過去ログ整理中にアカウントハックにあった当時の日記を発掘してしまったので、過去の日記を元に未導入者が一人でもワンパス使ってくれればいいな、と思い記事にしました。
いや、このご時世で使ってない方は居ないと思いますが、念のため
スクエニ垢に不正アクセスされた(2015)
自分は、2015年にWebメールサービス、そしてスクエニアカウントへの不正アクセスに遭いました。
この当時にプレイしていたのはDQ10です。FF14は旧版のみプレイでアカウント削除していたので無事(?)でした。恐らくメールへの不正アクセス→DQ10への不正アクセスの順に抜かれて行ったのだと思います。
メルアドのパスワードは、使いまわしをしていないつもりでした(これが実は使いまわしだったことに後から気付く)。当時は複垢でゲームをやっていたりしたので、何だかんだでセキュリティの低いメルアドが、なんとスクエニのメインアカウント用になっていたのです。(尚スクエニ側のパスワードは使いまわしではありませんでした)
ログインできない(=スクエニ垢への不正アクセス)のに気づいたのが、のっとられ発覚から1時間後くらいと割と早かったのと、メルアド自体のパスがまだ変更されていなかったので、大きな被害は有りませんでした。
それでも心に食らった傷は大きすぎました。
経緯
普通にDQ10のツスクル村で2垢ログアウト→昼ごはん
→食後に1垢だけログインできない。
(確かサポートに連絡し、一時的にアカウントをロックしてもらったはず)
ウェブメールアドレスをチェックしたところ、不正アクセスの形跡を確認
メールのパスワードや設定を変更。
再度スクエニサポートに復旧を申請し、スクエニ側のパスワードの変更およびとスマホアプリでのワンタイムパスワードを登録。その後、登録メールアドレスも変更。
※きちんと安全確認してから復旧申請をしないとまたやられるので注意。
復旧申請してから3時間でハック前に撒き戻してくれました。
はやい。はやすぎる。なんだこれ。ありがとう。ありがとう。(当時の自分の日記より)
ワンタイムパスいれるべし!以上だ!
今思えは、自分だけは大丈夫という「正常性バイアス」がかかっていました。
- 10年ネトゲやっててハックに縁がないし
- メルアドもパスも独立オンリーワン仕様だし(実は違った)
- 当時のLineage2の2重チェックがザルだったのでトークンを信用していなかった
- 旧FF14時のトークンを無くして困った経験があったので再導入に二の足
自分は「メルアドがDQ10専用になってて安全なはず」と思い込んで放置していたのが本当にダメでした。定期的にパスワードの変更はするべきですし、今の時代なら使いまわさないようにパスワード入力を補助してくれるツールもあります。
今でこそ普通にどこのアカウントでも2重にセキュリティ対策をするようになりましたが、9年前はまだちょっと意識が低かった。
ワンタイムパスワードを導入することで、万が一メールが突破されてもスクエニ垢の被害を防ぐことができます。
私の場合、ワンタイムパスワードを導入していればスクエニ垢の被害はでなかったはずです。
DQ10のタンスは復旧されません
タンスは復旧されないので、大事なものは倉庫か屋根裏に入れなおしておくほうがよいです。
(自分は復旧のないタンスの被害を運よく免れていました)
メールアカウントのセキュリティに注意
スクエニ垢にワンタイムパスワードを導入するのはいわずもがなですが、 フリーのメールアカウントにもゲームと同じように2段階認証をいれましょう。 ウェブメールの場合は不要なメールは削除し、ゴミ箱も削除したほうがよいかもしれません。メールがハッキングされた場合、受信箱にあるメールをたどって他にこのメルアドを使って利用しているサービスでも悪いことをされる可能性があります。
スクエニ垢のトークンも大事だけど、メールのほうのセキュリティも上げないと怖い。というか色んなアカウント全て2段階入れないと怖い。
えぐれた心は戻らない
モノやお金は返ってきても えぐれた心は復旧しません。
(もう9年近くも前なのでどのタイミングだったのか、はっきりと覚えてはいませんが)『何年も育ててきたキャラたちが、見知らぬグレン住宅村で全キャラ素っ裸』というショックは筆舌に尽くしがたいものでした。
その時、私は心の底から自らのセキュリティの甘さを後悔しました。
ゲームデータの換金できるものは全部盗られて店売りされたりしていましたが、サポートに復旧していただいたので全部戻ってきました(タンス以外)。しかし、自分のキャラが全然知らん悪人にめちゃめちゃにされた、という不快感と嫌悪感で、そのアカウントを使うことができなくなり、被害に遭わなかった方のアカウントのみで遊ぶことになりました。
なぜ「自分は大丈夫だ」と思い込み、無料で提供されているセキュリティさえ利用しなかったのだろうかと思うけれど、それこそが正常性バイアスの怖いところなんだと思います。
その後、物理トークンを注文した(2015)
ワンタイムパスワードには、各種認証アプリ(スマホ)を使用するタイプと物理セキュリティトークンがあります。導入のしやすさでいうとスマホでしょうが、自分はスマホにあれこれ叩き込むのが苦手なので物理トークン派であります。物理トークンは有料であり、2024年8月2日現在1,273円(税込)で販売されています。
不正アクセス後の2015年に、無事だったアカウント用に物理トークンを買いました。
田舎なので、頼んでから1週間ほどでポストに到着。
実は私、ひとつ同じものを持っていまして。
行方不明になっていた旧FF14のトークンです(機能停止済)。
タンブラーと一緒についてきた黒歴史モノです。
無くしたら遊べなくなるので、ちょっと色々つけてみます。
電池がいつ切れるか不安ですが、現在9年目でもまだ使えています。そろそろ新しいものを準備したほうがいいのかな。(キーホルダー型は、背面に設定解除するときのシリアル番号が書いてあります)
※2024年8月2日現在、このデザインのセキュリティトークンは販売されていません
おわりに
「自分だけは大丈夫」
そんなことはありません。
きちんと2段階セキュリティであるワンタイムパスワードを導入しましょう!
コメント