COGサーバーアタック事件

2013/01/10 19時半頃に発生した謎のログイン障害
その原因はなんと 外部からCOGへの大規模パスワードクラッキングだった

カプコンオンラインゲームズ認証一時停止のお知らせ 2013-01-10

平素より『モンスターハンター フロンティア オンライン(MHF)』を
ご利用くださいまして、誠にありがとうございます。

現在、カプコンオンラインゲームズ(COG)のサーバーにおいて、
外部からのアタックを検知いたしました。
その対策といたしまして、カプコンオンラインゲームズ(COG)の
サーバーを一時停止しております。

この影響により、停止期間中はMHFの新規ログインを行なうことができません。

ちなみにCOGの全サービス(MHF以外のゲーム)にも影響が出ていた。
攻撃を受けているのはCOGだけなのでハンゲ・箱は問題ない。
またMHFサーバー自体が攻撃を受けているわけではないので、インしていれば影響はない。
ちなみにチャット画面には1時間ごとのログイン時間表示やイベントなどの告知がシステムメッセージとして表示されるが、全ユーザーへの告知メッセージは全ての接続形態で共通となっている(COG民と同じ場所を共有するハンゲ民はともかく、全くの別世界とも言える4鯖でさえ今回のCOGアタックに関する告知は出る)。

外部からのアタックという見慣れない用語、実際ログインできないトラブル、
そして年明けからの一件もあり住民のボルテージは最高潮に。
運営のミスだという主張や天嵐ヴォル同様補償を求める声、補償がインしている人とインしていない人で格差があるのでは
という話題で盛り上がっていたが、事態は思わぬ方向に・・・

調査結果

23:00に明らかになった調査結果によると
「他社のサーバーから漏えいしたリスト型パスワードクラッキングに該当するアタック」とのこと。
つまりF5アタックでもない ガチのクラッキング立派な犯罪 であることが明らかとなった。

■リスト型パスワードクラッキング

色々なサイトから盗まれたアカウントやパスワードをデータベース化したもので
パスワードアタックする行為のことです。

複数のサイトで同じIDとパスワードの組み合わせを使用している場合、
他サイトでIDとパスワードが盗まれてしまった際に、
二次被害に遭いやすくなります。

COGのサーバーへ複数のIDとパスワードの組み合わせでのパスワードアタックが50万回以上行われたうえ、
実際にアカウントハックされて、勝手にログインさせられたアカウントもあるという前代未聞の大事件だったことが判明。
ネ実ではアカウントハックの恐怖に慄く者が多数発生。補償補償と騒いでいた連中でさえ黙り込む状態に。
幸いCOGから新たに流出したアカウント情報はなく、MHF認証部分でのパスワードアタックではなかったのと速攻で認証を停止したことにより、仮にCOGにログインされたとしてもMHFのキャラクターに影響(勝手にキャラデリされたりアイテムを売られたり)は無いことが明らかになる。

そして1/11 5:00に運営の対抗策として全COGユーザーのパスワードリセットが実施された(当初は3時予定だったが2回延期されて3時→4時→5時と変更された)。
リセットされているのでパスワードを各自で変更しないとログインはできない。
パスワード変更のやり方はWEB上で登録したメールアドレスにキーを送信してもらう方法、
COG問い合わせフォームから必要事項を記入して送信する方法がある。
公式にデカデカと表示されているが、詳しくはこちらを参考にされたし。
http://cog-members.mh-frontier.jp/information/news/info/6371.html

これで事態は解決を迎えるかに思われたが、「登録メールアドレスを紛失した」「登録した氏名や生年月日を忘れた(偽名を使ってる人も多いかもしれない)」等の書き込みが多発し、やはりスレは阿鼻叫喚に。
メールアドレスの変更と登録情報控えはキチンとやっとけ。

言うまでも無いが、偽名を使っての会員登録は
COG利用規約第5条 会員登録の成立
2.会員登録にあたっては、実際に本サービスを利用する本人が本人の名義で登録しなければならないものとします。
およびMHF利用規約の禁止事項
(12) 登録情報の詐称または不正な本サービス利用資格の取得。
に抵触しているため、単純なメールアドレス忘れ等とは異なりサポートを受けられない可能性が高い。
しかしながら自分の住所氏名生年月日を忘れちゃううっかりさんのために、自キャラ名やIDや旧パスやら自キャラの情報を送れば対応してくれるとの報告もある
報告によればパッケいくつ買ったとかの課金状況やチャットログなんかでも特定して変更出来たって報告もあるから、メアド逝ったからって諦めるのは早いぞ
ネガキャンしてる暇あれば動いた方が万倍マシだぞ。ただし何通もメール送りまくると邪魔にしかならないからよく考えて1通だけ送ってシミュでも回して待っとけ。

1/12 23:00 パスワード再設定に際し「氏名」「生年月日」の入力が不要になった。
メールアドレスさえ有効なら再設定可能ということになる。

1/13 19:40 パスワード再設定の変更点によって多くの人が復帰することに成功したが、注意文を読んでいないのか「認証キーが届いていない」と苦情を飛ばす人が多数。
告知ページにはしっかりと「もしかしたら迷惑メールの欄に振り分けられている可能性がある」と書かれているので、ちゃんと確認した上で届いていなかったらメール出そうな。
あと迷惑メールは一定以上放置すると消える仕様のサービスもある。
またCOGのパスワード再設定は認証キー入力画面のウィンドウを閉じると認証キーそのものが無効になってしまうので、特にWeb経由でメール読んでるヤツは注意しろよ

1/14 21:30 今度は「勝手にアカウント変更されている」、「ゲーム内データ変わってる」という苦情殺到。
これについては公式は「他のIDでログインされた可能性がある」とのことだが・・・

1/15 この件でログインできない人等を考慮し、正月限定イベント&開運福袋の期間延長を発表。
緊急依頼シリーズも後日再配信決定。行けなかった人は安心して次の配信を待とう
COG以外の人にも再配信されるから結局損してる気がするのは秘密

当件について、かなり長く混乱が続き、多くの人に迷惑をかけてしまったとのことで補償が用意された。
大きく分けると、事件発生~ログインが物理的にできなかった期間(2013年1月10日(木) 16:00 ~ 1月11日(金) 5:00)に各種コースが有効だった人へのコース補償と、2013年1月10日(木) 19:30時点でMHFをプレイしている(おそらくキャラクターが存在している)すべてのCOG会員へのアイテム(根性札グレートなど)補償、アイテムは結構豪華である
(1月11日(金) 5:00以降にパスワード変更ですぐIN出来てた人も同じ補償貰えるからありがたく貰っとけ)。

詳しくはココ!を参照されたし。

2013/3月時点で事態は沈静化の方向を迎えているが、休止してた人は公式を今一度チェックしたほうがよいかもしれない

今回の件は外部からの攻撃が原因であるため、運営には基本的には落ち度はない。
パスリセ後の混乱もちゃんと登録情報更新してた人にとっては無縁である(もちろんフレがインできないとかそういう事態はあったかもしれないが)。
年明けから続くトラブルもあって批難したくなるのはわからなくもないが、前回と同じ運営のミスと主張するのはお門違いである。

パスワードリセットの意味

COG側の対応として「パスリセ自体がそもそも……気になる人はパス変更を案内するぐらいでよかったのでは?」という意見もある。
ただこれに関しては、MHFとは無関係だが3月にもとあるWEBサービスが不正アクセス攻撃を受け、その結果漏洩等は無かったものの、万全を期すため全ユーザーのパスワードをリセットするという、今回の件に似たケースが発生、
更にかなり後の2014年3月にこのWikiのサービス元アットウィキで登録ユーザー情報が流出、緊急措置としてこちらもパスワードリセットが行われている。
つまりアタック時のパスリセに関しては、COGが異例中の異例の対応をしたわけではないということだろう。
ちなみに、PS3版オープンβ開始直後の11/22にPSNでも同様の事態が発生している(こちらは当該アカウントのみ)

その後、動画サイトで有名なニコニコにおいてもリスト型攻撃が行われ、その対策としてパスワードの変更が呼びかけられたのだが、積極的に変更が行われなかったためか、攻撃とその後でパスワード変更をしておらず、なおかつ攻撃対象に含まれていた(つまり現在でも乗っ取られる可能性のある)アカウントを強制ロックして、変更するまで利用できないという対処が取られている。
つまり、ユーザー側がパスワードに対して意識していることが少ないのが現状であり、
変更を呼びかけるだけでは正直不十分。確実に保護するためにもパスワードリセットという強行手段を取らざるを得ない、
といえる時代になってきているのだろう。
COGはいきなり(不正にログインされた可能性のあるアカウントを通り越して)全アカウントを強制ロックしたという見方も可能だが、
被害軽減という意味では悪い選択とは言えない。
事実、ニコニコ側は告知と強制ロックに間が空いたためか、中間集計実施日とロック実施日の集計データを比較して被害を受けたアカウントの数が増加していること、
更に有料コンテンツ不正利用による被害金額も出ていることが判明している。
これらのことからわかるのは、パスワード云々の知識が疎かなユーザー達が思っている以上にパスワードなんて簡単に破れてしまうということだろう。

何が言いたいかというと、 自分のアカウント情報はちゃんと管理しておきましょう ということですね
これらの事件からまず真っ先に言いたいのは 他サービスと同じパスワードにしない ということ
引っ越しだなんだでメールアドレスが変わったという人はちゃんと変更しておくんだぞ
特典目当てにネカフェ行った時は、帰る時にちゃんとログアウトするんだぞ
定期的にパスワードを変えるのもセキュリティ保持に効果的だぞ。勿論、変更後のパスワードは忘れないようにな。

ハンゲームから遊んでいる人はワンタイムパスワード(OTP)も導入しておくといい。
ハンゲームのアカウントは色々なゲームが遊べたりアバターなどがある為、MHFではなく他の物狙いでハックされてログインできなくなった、という事があってもおかしくはない。
これはハンゲームに限った話ではなく、同じ会社の同じアカウントなら全てのゲームにありえる話。
ワンタイムパスワードの他には、キャラ用パスワードとか倉庫の2次ロックとかゲームによって色々あるので、もしそういう保護機能があるゲームをやるなら是非活用して欲しい。
早い話ができる限りの事はやっておこうって事だ、もしもの時に泣くのは自分だからな。