※具体的にストーリーの核心に触れるような表現はありませんが、FF14になぞらえた解説記事ですので人によってはネタバレと感じるような「ライトなネタバレ」が入っています最近知ったのですが、
FF14でもアカウントハックや個人情報の詐取が流行ってるみたいなので、注意喚起も込めて記事を書きます。
以前にも書いたかもしれませんが、リアルゼアでのジョブはエンジニアでして、Webについては広い知識を持っているので
そのあたりの
仕組みや危険性、ハッカーの目的、対策などを網羅した情報って結構需要あるんじゃないかと思った次第です。
不安を煽るようなタイトルをつけてしまいましたが、決して大げさではなくあなたにも起こりうる話で、FF14に限らず普段から注意するべきだと思うのです。
今回はFF14を例に挙げて説明しますが他サービスにも共通することもたくさんあるので、こういう話題に詳しくないという方はしっかり理解していただければ幸いです。
難しい言葉を平たく表現する都合上、詳しい方が見ると「ちょっと意味違うんだよな〜」っていう箇所もあるかもですが、そこはイメージしやすさ優先で。
というか、詳しい方は読まなくて大丈夫です。
## ハッカーって何者ハッカーというと、一般的によくイメージされるのはネット上の悪者的な存在だと思うのですが
本来は「
コンピュータや回路、ネットワークなどの分野に詳しく、技術がある人」みたいな意味なんですよね。
中でもその
技術を悪い方向に使う人たちのことを「クラッカー」といいます。
お祝いやパーティーで盛り上がりそうな、あるいはチーズを乗せて食べるとおいしそうな名前ですが、激マズです。
そういえばFF14でも「
力が悪なのではなく、それを使役する側の心の問題だ」というような哲学があるように感じますが、ハッカーの中にも残念ながら悪い心を持った人がたくさんいるのが事実です。
シルフ族の中に「悪い子シルフ」も存在するのと同じです。いや、違うか。
悪者というイメージが拭いきれない「ハッカー」という言葉ですが、中にはその技術を使って悪者からシステムを守る正義のヒーローがいることも忘れないでください。
そう、そんな正義のヒーローのことを僕たちは、光の戦…
もとい、「
ホワイトハッカー」と呼んでいます。
さて、ここでは悪いハッカーを話題にしているので、以後「
クラッカー」と呼ばせていただきます。
## FF14で実際にあった被害例1.楽しくゲームをプレイしていると、知らない人(クラッカー)からTellで何かURLが送られてくる
2.そのURLを開くとFF14の公式と思われるページだったのでログイン情報を入力
3.しばらくするとゲームアカウントに勝手にログインされ、今度は自分のアカウントから他のプレイヤーにTellでURLが送られる
僕が見聞きした内容だと、こんなことが起こるようです。
知らない人から送られてきたURLは
本物そっくりに似せた偽物サイトで、ここにログイン情報を入力することでクラッカーの手元に送信されてしまいます。
ちなみにこういう偽サイトって、その気になれば5分もかからず作れてしまいます。
エンジニアにとっては、
鍛冶師でブロンズインゴット(NQ)をクラフトするくらい造作もないことです。
## クラッカーの目的と情報の行方ではクラッカーたちは何が楽しくて僕たちの情報を欲しがるのでしょうか。
単なるイタズラ?
他人のアカウントを乗っ取る優越感や快感を得るため?
気に入ったキャラのアカウントを乗っ取ってムフフなSSを撮影するため?
こればっかりはクラッカーにアンケート調査でもしないと正確にはわかりません。
とはいえアンケートに答えてくれる律儀なクラッカーがいるとも思えません。
あくまで推測ですが、多いのはやはり
お金目当てかなと思います。
というのも、奪った情報でロードストーンはもちろん、オンラインストアやモグステーションなどスクエニの各種サービスにログインできるので、
メールアドレスや電話番号、配送先住所まで抜き取ることができてしまうんですよね。
実はこういう情報が
高値で売れるんです。
売れるといっても、メルカリとかヤフオクで出品することはまずありません。
そんなところで白昼堂々出品しようもんなら、捜査権限のある警察が本気を出して、アクセス元を辿って一発逮捕ですよ。
そういう追跡をされにくくするように、アクセス元をちょろまかすことも、クラッカーにとってはお手のもの。
さらに一般の人たちには普通にアクセスできない、
インターネット上の闇市でマケボに掲載され、ひっそりと売り捌かれます。
そして言い方はすごく良くないんですけど、実際にクラッカーたちから思われていることなので言葉を選ばず書きますが、そういう人たちの情報って
「
知らない人からのURLをクリックして疑いもなく情報を入力してしまう、リテラシーが低く騙されやすい人リスト」として結構取引されやすいんですよね。
詐欺サイトって結構作りが甘かったりどこか違和感を覚える部分があったりするんですが、それでも情報を入力するほどリテラシーが低い人をターゲットにするため、あえてそのような「詰めの甘さ」を表現しているとかしていないとか…
そんなわけで不用意に情報を入力してしまうと、アカウント乗っ取りだけで済むとは限りません。
登録情報が売買されて、詐欺業者からのメールやSMS、DMなどが届くきっかけになることもありますよ、というお話です。
さらにもっと危険なのは、そのログイン情報を使って
他のサービスのアカウントも乗っ取られかねないということ。
例えばFF14で楽天のID/パスワードと同じものを使っているとしたら、今度は楽天アカウントを乗っ取られる、というような二次被害にも繋がります。
もちろんクラッカー側にもどのサービスでログイン情報が使い回されているかなんてわからないので、ここは力技です。
ありとあらゆるサービスのログイン画面でログインを試し、ヒットところからさらに情報を抜き出すことができてしまいます。
頼んでもないのに高額な商品がいきなり家に届いた、カード明細を確認すると見覚えのない購入履歴が…とかよく聞く話です。
繰り返しますが、これは決して大げさな話ではなく
起こりうる可能性の話です。
こういう「当たればラッキー」戦術を平気でやってくるのがクラッカーです。
実際にTellから始まり被害を受けたヒカセンの方がどこまでの被害を受けられたのかはわかりませんが、あくまでこういうことまでできてしまう、という注意喚起です。
## 対策と見極め方さすがにここまで丁寧に悪事を解説すると、怖くて怖くて夜しか眠れなくなってしまうヒカセン方もおられるかもしれませんが…対策はあります。
その方法は至って簡単で
「聞いて、感じて、考えて…」…んなわけあるか。笑
1.ワンタイムパスワードの設定を忘れずに!ログインするときのひと手間は増えますが、一番安心できるのはやはり「ワンタイムパスワード」だと思います。
大きく分けて
・ワンタイムパスワードを表示するアプリ
・物理的なアクセサリ(キーホルダー型)
の2種類がありますが、どちらでもOKです。
ワンタイムパスワードは一定時間おきにランダムで更新されるパスワードのことで、それを見ることができるのはスマホアプリかキーホルダーを持っているあなただけです。
IDとパスワードを入れて、さらに
その時々で違うワンタイムパスワードを入れないとログインが叶わないので、クラッカーにとっては一番厄介な相手です。
ただしこれにも弱点があって、やはり偽サイトに誘導しワンタイムパスワードも込みで入力させることでクラッカーがログインを行うことができてしまいます。
信頼できないサイトにワンタイムパスワードを入力してしまっては元も子もありません。
2.知らない人から送られてくるURLにはアクセスしない基本的にはこの姿勢を守りましょう。
万が一クリックしてしまっても、情報は絶対に入力しないこと。それだけで直接的な被害は防げます。
3.IDパスワードを使い回さない使いまわしてしまうと、万が一どれかのサービスでアカウントが乗っ取られた場合に、いろんなサービスに被害が波及することに繋がりかねません。
なるべく使い回しを防ぐこと、そしてパスワードは強固なものを!
これは一般的によくいわれる対策なので、日頃から意識している方も多いかもしれませんね。
ですが、この記事のミソはここからです。
僕はわざわざ、こんな簡単なことを伝えるためだけに記事を書くことはしません。
## 危ないサイトの見極め方Webサイトには、1ページごとに必ずURLというものが設定されています。そしてこのURLは、他のページと重複することは決してありません。
さらには、このURLはあるルールに則って決められているので、
URLをじっくり観察すると簡単にウソのサイトを見破ることができてしまいます。
たとえば、この記事のURLをじっくり観察すると
https://jp.finalfantasyxiv.com/lodestone/character/45898391/blog/5178845/↑こう書かれていますね。
この中の
https:// の直後に書かれていて、最初の / の手前までが「ドメイン」です。
上の例でいうと、ドメインは
https://
jp.finalfantasyxiv.com/lodestone/character/45898391/blog/5178845/
赤文字部分ですね。
このドメインはスクエニの所有物であり、全く同じドメインを他の人が利用することはできません。
大事なことなのでもう一度言います。
このドメインはスクエニの所有物であり、全く同じドメインを他の人が利用することはできません。さらにもう一度言いま(ry
…とまぁ、とにかくそれくらい大事です。
万が一にも情報を盗まれることがないよう、少しでも怪しいと感じたらURLをよく観察して、違和感がないかを確認してください。
ドメインはどうしても少し難しい話になりますが
なるべくわかりやすく、具体的な見極め方の話をしましょう。
ここが一番重要なので 【がんばって!】
.com とか .jp とか .net とか
URLの中にそういうのが入っているのは見たことがあると思います。
この
.com .jp .net の直前に入っている文字が
本家か、偽物かを見極めるポイントです。
一文字たりとも違わなければ本家
一文字でも違えば偽物
です。
どうして .com .jp .net などの直前に注目なのかといいますと、うまく見間違えやすいように寄せてくるパターンが意外とあるんですよね。
NG例1)
jp.flnalfantasyxiv.com
→i が l に変わっています。
NG例2)
finalfantasyxiv.nisemono.com
→.com の直前の文字が本家とは違う
そもそも全くURLを寄せる気がなくて
eowifagpersirrdbfvsfds.com
みたいな、適当でぐちゃぐちゃのアルファベットの羅列
というパターンもありますが
こだわっているクラッカーは
こういう見落としやすさにつけ込んで
偽物のドメインを取得して騙しにきます。
特に
NG例2については、FF14に限らず一般的にかなり頻繁に見かける手法です。
つい "finalfantasyxiv" が入っているから、本物だと勘違いしてしまいます。
URLを決めるときに「サブドメイン」という機能を使うことで
誰でもドメインの一部に "finalfantasyxiv" を入れることは技術的には可能です。
("jp.finalfantasyxiv.com" も、実は"jp"を前につけたサブドメインです)
でも .com とつなぎ合わせて
"finalfantasyxiv.com" というドメインは
本家のスクエニが所有しているので
絶対に他人には真似できない。
だから、
怪しいと感じたら必ず自分自身の目で
"finalfantasyxiv.com" と
一文字の違いもなくURLが作られているか
確認してください。
ちなみに地球時間にして
2023年2月13日現在
ロードストーンや
オンラインストアのドメインが
finalfantasyxiv.com
モグステーションのドメインが
square-enix.com
になっています。
つまりこれ以外のドメインは偽物サイト、ということになりますのでご注意を。
## 万が一入力してしまったor被害を受けている場合1.ログインできるならパスワードを変更する
2.不審な操作を感じたらすぐに運営へ報告
3.ログイン情報を使いまわしているサービスがあればすぐに変更
これらは気付いた段階でさっさとやってしまったほうが良いと思います。
他にも、迷惑メールが届くようになったならメールアドレス変更
見に覚えのないカード利用があった場合はカード会社への連絡
などなど、
身の回りのことにしばらく気を配った方が良いかもしれません。
あるいはそこまで被害が広がることは少ないかもしれませんが
知らない間に大ごとになってしまうくらいなら
心配が杞憂に終わる方がマシです。
場合によっては自分だけでなく
周囲にも迷惑がかかってしまうということを考えて
適切な行動をとってほしいなと思います。
それから、最初に書いたとおり
この内容はFF14だけでなく
他サービスでも共通することをたくさん含んでいます。
この記事がきっかけで
1人でも多くのヒカセン、非ヒカセンの方々の被害が
未然に防がれたらいいなと思っています。
ちょっと仕事の息抜きに書き出したつもりが
5000文字を超える大作になってしまいました。
画像抜きにしてこの分量はなかなか…
ここまで読んでくださった方、ありがとうございましたm(_ _)m
