サリュートの冒険日誌

世の中的には２月から３月中旬頃まで
サイバーセキュリティ月間なのだそうです。

なら改めて出すにはこのタイミングしか無いと思い
過去に投稿したアカウントハック被害の際の諸々を
再編集して投稿することにしました。

一応、中の人は情報系の国家資格を持っていますし
なんなら情報科の教員免許も持っていますが、
プロのドライバーでも事故に遭う確率がゼロでは
ないのと一緒で、どんなに気をつけても被害に遭う
ときは遭います。

もう10年以上前の話なので記憶も若干曖昧ですが、
過去のメール等を頼りに、覚えている範囲で
記しましょうか。
■時期
復旧関連のメールを確認したところ2012年の冬頃。
Ver1.1の大型アップデートが来た後くらい。
この頃はアカウントハックの被害が急増しており、
スクエニからも注意喚起のメールが出ていた。

■発覚までの経緯
日中に外出先から「冒険者の広場」にスマホで
ログインを試みたところ、常々できていたのに
何度やっても弾かれて、「まさか」と気づく。
(この頃はまだ便利ツールが無かった)

帰宅後にパスワード初期化の手続きをしてログイン
すると、酒場でサポ登録して終わりにしたはずが
グレン城下町の預り所を出たところの道端で
下着姿のウェディが棒立ち状態。
預り所を含めてゴールド・アイテム・装備等々、
ほぼ全ての資産が無くなっていた。

■パスワードはどこから漏れた？
IDもパスワードも他所のサイトで使い回していた
わけでもないので、まったく心当たりなし。
一番ありそうなのは、冒険者の広場そっくりに
偽装されたフィッシングサイトを気付かぬうちに
踏んでしまったか。

■発覚後のアクション
「バックアップからの戻し対応しかないだろう」と
判断し、連絡がつくフレンドに状況報告だけして
余計なデータの出入りが発生しないように
被害発覚時点の状況のままログアウト。
フレンド数名から融資の打診があったが、
上記の理由からすべて辞退した。
(実際に被害後の初動としては間違っていなかった)

その後、不正アクセス被害時の専用フォームに
キャラクター名とID、代表的な職業とレベル、
被害前の最終ログアウト日時などの情報を記載して
データ復旧依頼を送信。

復旧まで何週間か時間がかかりそうだったので、
サブキャラを作成して主だったフレンドに連絡。
メインで培ったノウハウを総動員して育成した結果
サービス開始初日から3～4ヶ月かけて育成していた
メインに数週間で匹敵するまでになった。
■復旧
依頼から具体的に何日で連絡があったかは
覚えていないが、サブキャラで自宅にいたところ、
スペシャルタスクフォース(赤い仮面の方)から
チャットで連絡が入り、復旧作業のために何時間か
ログアウトするよう打診を受け、承諾。
(具体的に何を話したかはセキュリティ上省略)

これにより、メインキャラ完全復旧に至る。

■復旧のあと
結局、メインキャラはちょっと触ってお蔵入り。
せっかく復旧作業をいただいたのに申し訳ないが、
それでも喪失感が強く、サブとメインが逆転化。
倉庫や職人としての運用もあるものの、
なんか触る気にならないのが実際のところ。

■対策について
☆パスワードは長く複雑なものを使いましょう
　他所から漏れればそれまでですが、
　それでも複雑なものを設定した方が無難です。
　私の知っている例では、某有名IT企業の場合、
　社内LANのパスワードの条件を15桁以上と
　定めているそうです。

☆多要素認証(MFA)を導入しましょう
　認証には記憶・所持・生体の3要素があります。
　これらを組み合わせた方が、単一の要素で
　運用するよりもセキュリティが強固になる、
　というのが通説です。
　DQ10の場合、パスワードを記憶認証とするならば
　スマホとソフトウェアトークンが所持認証に
　相当します。
　対応しているスマホであれば指紋認証してから
　ソフトウェアトークンが起動する仕組みなので、
　3要素のすべてを網羅できます。