えーと、ちょっと古めのネタ(2013/02/08)なのだけど、セキュリティに関するGGGからの投稿を訳してみた。クローズドベータ時にはなかったであろう問題だけど、ちゃんと対処していこうという姿勢がわかるテキストだと思う。ユーザの側にもちゃんとした意識がないとダメってことまで含めて。で、実はこれには続きがあるのだけどそれはまた後日。
お約束:しつこく例によって無許可海賊版のため、以下の記述は前触れなしに削除される可能性があります。また、文中に誤りや矛盾があった場合は十中八九訳者の責によるものと思われます。正しい文章は原文を参照してください。
原文はこちら:Account Security and Theft Policy - READ THIS。
Account Security and Theft Policy - READ THIS
商用のオンラインゲームにおいて、ゲーム内アイテムには価値があります。これらアイテムは、よく外部のリアルマネートレーディングサイトで取引されていますが、われわれは、Path of Exileに影響をあたえるそのような行為を止めるためにやれることを行っています。われわれは彼らのSPAMや、アイテムを売るやり方に対抗しています。
残念なことに、そのようなショップがアイテムを得る方法のひとつに、Path of Exileのプレイヤーから盗む、というものがあります。われわれは、アイテムを失ったプレイヤーからのレポートをいくつか受けとり、RMTサイトへアイテムを供給するのに使われているアカウント(ほとんどは中国のIPアドレスです)をログで確認しました。
この件について、数日にわたり慎重に調査した結果、われわれはプレイヤーがパスワードを抜かれるかなり多くの方法を確認しました。わたしは、ここでその一つ一つについてお話し、みなさんがどうすればアカウントの安全を守れるのか、さらにわれわれがこのような攻撃をより困難にするため何を行えるのかを説明しようと思います。
これらの問題はほとんどのオンラインゲームにおいて共通の問題であり、プレイヤーがネットセキュリティのよい習慣を持つことで防ぎうる問題である、ということを強調しておきます。
フィッシングリンク/PM
フィッシングサイトとは、本物のサイト(ここではpathofexile.com)にそっくりですが、入力されたパスワードを攻撃者に送るようなサイトです。このようなサイトのURLをPMで送ったり、フォーラムにポストする例が見られています(URLも本物のサイトのふりをしていることがよくあります)。われわれはそれらを発見次第削除していますが、今後外部へのリンクには強い警告を表示するか、リンク自体が機能しないようにフォーラムおよびPMの仕組みを変更しようと考えています。それまでの間、このようなフィッシングリンクから身を守るためには、自分のe-mail/パスワードを公式のwww.pathofexile.comでだけ入力することです! 公式のログインページへ行くと、ブラウザにロックアイコンが表示され、それをクリックすると「Grinding Gear Games Limited」と表示されます(つまり、SSL接続され、そのサイトがわたしたちのものであるという証明書がある)。(訳注:この表示方式はブラウザによって異なります。Google Chromeならアドレスバーに表示されるetc.)
チートプログラムのマルウェア
もしあなたがマップハックツール(やその他のチートプログラム)を使っているのなら、われわれはあなたをBANします。現時点でBANされていないとしても、あなたのアカウントは、チートツールに組み込まれたキーロガーによって盗まれている可能性があります。 現時点でわれわれが調査した全てのマップハックツールにはキーロガーが仕込まれています。もし安全にしておきたければ、チートを試さないようにしてください。
コンフィグファイルの投稿
あなたのパスワードはPath of Exileのコンフィグファイルにストアされています(平文ではなくハッシュ化されています)。このファイルをオンラインにポストしたり、他の人がアクセスできる場所に置かないでください。ごく近い将来、われわれはこの情報を利用して他人がログインできないようにするつもりです。もし、完全な安全を望んでいるのなら、ゲームクライアントがパスワードを保持するチェックボックスをチェックしないでください。
ユニークでないパスワード
他サービスと同じパスワードを用いないようにしてください。信頼できないファンサイトがユーザのe-mail/パスワードリストをリークする、というのは極めてありふれた話です。パスワードは使い回されるもので、リストに載っているものの多くはPath of Exileへのログインに使用できてしまいます。新しいパスワードを選びましょう! それも長いものを!
既に信頼のおけないPCやメールアカウント
プレイヤーのPCやメールアドレスが既に汚染されており、botnetの一部になっていることが少なくありません。このような場合、われわれにできることはありません。自分のコンピュータをクリーンに保ち、安全なインターネットセキュリティを実践しましょう。
パワーレベリングサービス
もし、あなたがキャラクターのレベル上げを依頼するために自分のアカウント詳細を他人に伝えていたら、彼らはあなたのアイテムを盗んでいるかもしれません。また、われわれは、Path of Exileのアイテムやサービスのためにリアルマネーを受けとるプレイヤーをBANします。そのため、もし彼らがアクセスした場合あなたのアカウントもBANされる可能性があります。チートは止めましょう!
上記に加えて、われわれは妙なIPからアカウントへのアクセスがあった場合に、メールもしくは携帯電話での確認を必要とすることを計画しています。これにより、パスワードが盗まれたとしても、攻撃者がログインするにはあなたの電話かメールアカウントが必要となります(そうなることを願っています)。
残念ながら、われわれはロストしたり盗まれたりしたアイテムのリストアは行えません。Path of Exileで最も重要なことの一つはそのゲーム内経済であり、もし要求にこたえてリストアを実行すると、ゲーム内経済は複製されたアイテムで溢れることになりかねません。われわれはこのような例を他のゲームで見てきています(運営会社が疑わしいアイテムをリストアすることで、大規模な経済問題を引き起こした)。
もし、他人があなたのアカウントでログインしキャラクターを削除した場合、現時点ではキャラクターのリストアはできません。われわれは、キャラクター消去を「ハード」な削除から「ソフト」な削除に変更する作業を行っています(訳注:実際にデータ領域を消すのではなく、削除フラグによる論理削除へ切り替え中、なのでしょう)。これにより、削除されたキャラクターのリストアが簡単に行えるようになります。しかし、もしそのアイテムが盗まれていた場合は、キャラクターの持ち物がないかもしれません。削除キャラクターのリストアというフィーチャーは将来的には利用可能となりますが、まだ準備中です!
われわれのポリシーが、アイテムを失くしたりキャラクターを失ったプレイヤーへの助けとならないことは、大変申し訳なく思っています。あなたのためにリストアできたらよかったのにと心から思っていますが、実際にそれを行うと、このゲームのもっとも重要な側面の一つを台無しにしてしまうかもしれないのです。もしあなたが被害にあった場合、わたしは以下のことを強くお勧めします:
- まずはじめに、あなたのPCにマルウェアが感染していないことを確認します。再フォーマットが一番よい方法でしょう。以下のステップに従ってもマルウェアが存在すれば、攻撃者が再びあなたのパスワードを入手するのは容易です。
- メールアカウントがセキュアなことを確認します。パスワードを変更しましょう! メールプロバイダに2ファクタ(携帯電話など)認証を設定してください。もしメールアカウントがセキュアでないのなら、攻撃者は再びあなたのアカウントを盗むことができます。(訳注:そんなサービス提供しているISPがあるのか知りませんが…)
- Path of Exileのパスワードを、これまでに使ったことのあるどのパスワードとも重複しないものにしましょう。長く、複雑なものにしましょう。(訳注:keepassなどのツールを使うと比較的簡単に管理できます)
- パスワードを公式サイトおよびゲームクライアント以外では決して入力しない。そのサイトが「Grinding Gear Gaames Limited」のものだという表示を確認する。
- 信頼できないソフトウェアをダウンロードしたり、信頼できないリンクを踏まない。
われわれはセキュリティを大変深刻な問題として受け止めています。このWebサイトやゲームクライアントは、どちらもログイン時にセキュアな暗号化セッションを利用しています。われわれはクレジットカード情報を自身のサーバに保管していません。パスワードはソルト化ハッシュとして保存しています。プレイヤーデータのバックアップも暗号化することで、もしバックアップデータが盗まれた場合でも、犯人がそこから何も得られないようにしています。
あなた自身のアカウントの安全を確認するステップを取ってください。アイテムを失ったという文章を読むたび、心が痛みます。われわれの側で前述した変更点についての開発が終了し、一方でユーザの側によいセキュリティがあれば、あなたのアカウントはずっとセキュアなものとなり、アイテム販売サイトが売り物を入手するためにアイテムを盗むこともできなくなるでしょう。
