Originアカウントがハックされる



昨日のことです。寝る前のメールチェックをしていると、なにやら英語の耳慣れないタイトルのメールが届いています。なんでも、EAアカウントのメールアドレスが変更されましたとの事。といっても覚えがありません。本文を見るとEAアカウントにリンクされた メールアドレスが削除され、次のアドレスに変更をされたと記載されており、そこには見慣れないアドレスがあります。

とりあえず、わけが分からず、アドレスを元に戻すにはここをクリックしてくださいとあるので、指示に従いましたが、半分寝ぼけていたのでそのまま放置していました。

すると、すぐにメールが届き、なんでも次の商品をオーダーありがとうございますと見慣れないメールが再度届きます。ここで、ようやく事の重大さに気づき、Originクライアントを起動して認証を行い、とりあえずパスワードを変更しないといけないと思いましたが、
まごついているうちに、すでに秘密の質問を変更されておりそれも出来ない有様。

そのうち、アカウントをロックされてしまいました。このときにこれがアカウントハックかと思ったのですが、土日はEAサポートが休みだったこともありますが、すでに夜の12時近かったこともありそれ以上何も出来ませんでした。

日付は変わり記事を書いている当日に、EAサポートに電話して幾つかの本人確認を経てアカウントの本来の所有者であると、
確認が出来たので、無事にアカウント情報をリセットすることが出来事なきを得ました。

今回は、不幸中の幸いというかアカウント情報にクレジット情報を登録していなかったので、ゲームを買われて二次被害が出るということはなかったので、その点は助かりました。購入されたというのはDLCの無料コンテンツのようです。

しかし疑問なのが、今回パスワードに8桁の英数字の羅列を設定していたわけですが、「PassWord」等安易なものであれば分かりますが、それこそ、その組み合わせの数はアルファベッド26文字と数字10文字の8乗?膨大な数だと思うのですがどうやってパスワードを破ったのか?謎といえば謎です。

パスワードを解析するクラックツールを使えば時間をかければ破れるのでしょうか。いづれにしても一度パスワードが破られてしまうと、EAのサポートに連絡して、秘密の質問も本人確認の末に変更できてしまうようです。

でもどうやって第三者が本人確認を突破できたのか。EAのサポートに電話で聞いたのは、Originクライアントの中でゲームのシリアルキーを確認できてしまうそうです。購入したゲームのシリアルキーというのはEAのサポートで本人確認をする際に必要となるものですが、これをしっているのは基本的には購入者本人であるため、IDとパスワードとセットでシリアルキーを第三者に知られた場合、アカウントハックは簡単にできてしまうようです。

それを防ぐために通常使用するホストPC以外のPCからログイン認証をする場合、メールで認証キーを送信してそれを入力しなければログインが完了できないように二段階認証でセキュリティを強化できるのですが、Steamでは行っていたものの、Originは使用頻度が非常に少なくてというか、ほとんど最近使用してなかったので、今回設定されていなかったようです。

パスワードは英数字の組み合わせても大文字と小文字を組み合わせても桁数が多くても、おそらく時間をかければクラックツールを使えば破られてしまうことが分かったので、パスワード以外の、二段階認証の設定は必須といえそうです。

今回は正直イージーミスというしかないです。二段階認証は普段使用しているPCとは異なるPCからログインを試みた場合手元の携帯にメールでキーが送信されてきて、それを入力しなければログイン出来ない仕組みです。手元に指定した携帯が無ければ実質認証できないため、単純な仕組みですがセキュリティの向上には効果は高いと思われます。

実害はなかったものの、少なくともID、メールアドレス、パスワードは割られてしまったので、同じものは今後使用できないため、現在運用しているID、メールアドレス、パスワードは、近日中に変更する必要に迫られそうです。正直、これが地味に面倒な作業といえそうです。メールアドレスを使用しているサービスは何十個あるかわかりませんので。

なお、OriginではEAのカスタマーサポートを電話で行っているため、アカウントハックされた形跡、例えばメールアドレスが変更された、知らないゲームを購入された等の履歴がある場合EAのサポートに連絡して、対処を依頼したほうが良いです。

問い合わせ先:
エレクトロニック・アーツ カスタマーサポート
電話番号: 0570-081800
受付時間: 11:00 - 19:00 (土/日/祝祭日/年末年始を除く)

問い合わせの際、本人確認の一環として購入したソフトのシリアルキーの提示を求められますので、手元のパッケージのシリアルキーを用意しておいたほうが良いです。仮にダウンロード販売でシリアルキーはメールのみですでにメールは破棄してしまったということだと、本人確認できないわけではないかもしれませんが少々面倒なことになりそうですけど。

今回の件でわかったのは俗に言う鍵屋さんで購入したゲームがしばらくした後で、ゲームがアカウント情報から消えたという事例が散見されますけど、その理由は主に不正に取得したクレジットカード情報を使用されたためと見たことがありますが、その不正に取得したクレジットカード情報というのはおそらくアカウントハックされた後に、ゲームを購入され転売されたものと思われます。

被害者がカード会社に連絡すれば、もちろん商品の売買は無効となりますので、必然的にゲームの該当シリアルキーも無効になる、よってアカウント情報からゲームが削除されるという現象が起こるようです。ただ疑問なのはこの手のアカウントハックしてアカウントのクレジットカード情報を使用してゲームを購入され転売する輩というのは何がしたいのでしょう。

結局のところ、被害者が不正購入の被害を把握してクレジットカード会社に連絡すれば売買取引は無効となりアカウント情報も本人確認が取れれば復旧されます。このプロセスが分からないでやっているのはおそらく一握りだと思われます。パスワードをクラックするのも相当な時間と労力がかかると思われますので、自己顕示欲を満たすもしくはその過程が面白いからやっている愉快犯と行ったところでしょうか。いずれにしても迷惑な話です。

この手の不正に取得したクレジットカード情報でゲームを購入し転売するケースというのは主に鍵屋で流通しているようですが、主に発売されたばかりの旬の人気タイトルが狙われやすい傾向があり、購入したゲームがアカウント情報から消えたという事例が散見されます。

やはりこれらのことを考慮すると鍵屋さんで発売されたばかりの旬の人気ゲームのシリアルキーを購入するのは少しばかりリスクが高いと、言うしかなさそうです。旬の人気ゲームがこの手の標的となるようですので。不正に取得したシリアルかどうかを購入時に判別することは難しく、なるべく評価の高い出品者から購入すると行った形でしか購入する側は対策するすべがありません。

この手のアカウントハックは二段階認証を設定していれば概ね防ぐことは可能だと思いますが、念のためにアカウント情報にはクレジット情報を保存せずゲームを購入する場合は面倒でもその都度カード情報を入力するといった一手間かけるだけでも転売の二次被害は防ぐことも出来ますし、被害者側もクレジットカード会社に連絡して無駄な手続きをする労力もなくなります。

いずれにしても仮に記事を読まれている方で二段階認証を現時点でされていない場合で、Steam、origin等のサービスを利用されている方は早急に設定を行ったほうが良いです。originはEAのサポートが電話で受けることができるので迅速な対処が可能でしたがSteamはそのようなサポートはなかった気がします。サービスによってはアカウントも復旧できずに泣き寝入りとなりそうです。


関連記事
スポンサーサイト
/* ▼ ページトップへ戻るボタン ▼ */ .pagetop { display: none; position: fixed; bottom: 30px; /* ボタン表示位置(下の余白) */ right: 55px; /* ボタン表示位置(右の余白) */ } .pagetop a { display: block; width: 50px; height: 50px; background-color: #333; /* 背景色 */ border-radius: 50px; text-align: center; color: #fff; /* 文字色 */ font-size: 24px; text-decoration: none; line-height: 50px; } /* ▲ ページトップへ戻るボタン ▲ */