不正アクセスによりオンラインゲーム「777town.net」のアカウント情報が流出

不正アクセスによりオンラインゲーム「777town.net」のアカウント情報が流出 33

ストーリー by kazekiri 2010年11月14日 13時52分
大量流出部門より

セガサミーホールディングスの子会社でオンラインゲームサイト「777town.net」を運営する
サミーネットワークスが、不正アクセスによる1,735,841名分の会員情報の流出を公表し、サービスを緊急停止した。(プレスリリース)
有料サイトであること、流出規模の大きさを考えると、今後の展開が注目される。

10月23日から不正アクセス攻撃がはじまり、11月4日からサービスを停止する11月10日までの間に不正アクセスがあった模様である。クレジットカードおよび決済情報は流出はしていないとのことだが、ゲーム会員のログインID、パスワード、メールアドレスが流出したとのことで、他サイトで同じアカウント名、パスワードのセットを使っている方は要注意だろう。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索33コメント Log In/Create an Account

Tomcat 4.x (スコア:5, 興味深い)

by Anonymous Coward on 2010年11月15日 0時48分 (#1858807)

２ちゃんサミータウンスレより
名前：(　´∀｀)ノ７７７７さん[sage] 投稿日：2010/11/10(水) 23:39:42 ID:IdFgpd9H0
徹夜くらいじゃ作業終わらんでしょ。本気で対策をとるなら長期間必要だろうさ。

ウェブサイト（JSP系CMS）が時々ぬるぽ吐く事あったけど、その時に表示される
Tomcatのバージョンが、たしか4.1.x系のままだった記憶があるんだよなぁ。
4.1系だよ、4.1系。わかる人はどれだけ古い・ヤバイかわかるでしょ。

数ヶ月前に「セキュリティ的にヤバイのでサーバをOSごとアップデートした方がいいですよ。」
ってフォームから送ったら、もう削除zumiなのでコピペできないけど、たしか
「万全の体制をとってますので・・・」(`・ω・´)ｷﾘｯ
なんて返信が戻ってきてたよ。どう思う？このセキュリティの意識。

つまり、ウェブサーバからアクセスできる情報はいつ情報漏えいが起こってもおかしくなかったさ。
でも本スレに書いてもみんなにスルーされたけどね(´･ω･`)
とのこと。
サーバー管理は株式会社エルテックス [eltex.co.jp]だそうです。
リンク先に詳しい構成がありますのでご参考まで
# 個人情報抜かれた方なのでAC
なんでパスワードまで流出するの (スコア:2, 興味深い)

by Anonymous Coward on 2010年11月14日 14時22分 (#1858633)

パスワードは平文で保存してたってこと？？
- Re:なんでパスワードまで流出するの (スコア:2, 興味深い)
  
  by messier42 (36151) on 2010年11月14日 17時13分 (#1858682) ホームページ日記
  
  ゲーム会社でなく、プロバイダやフリーメールの話ですが、メール送信時の認証で、SMTP AUTHで(plain/login)以外の認証が出来るところは全て、平文もしくは容易に平文に復元出来る形式でパスワード保存してますよ。
  
  シェア
  
  親コメント
  - Re:なんでパスワードまで流出するの (スコア:1)
    
    by Alternating Current (39820) on 2010年11月15日 18時02分 (#1859169)
    
    > (plain/login)以外の認証が出来るところは全て、
    というのは言い過ぎではないでしょうか。
    Challenge-Response 方式が平文鍵を前提としているとは言えるかもしれませんが，
    ハッシュ関数がデータに対して逐次的に適用される場合（HMAC-MD5 等）は，途中まで
    ハッシュ値を求めておくことができます。この場合，平文を保存する必要はありません
    し，こうした実装も存在します。
    複数のハッシュ関数を使えるようにするには，それぞれにハッシュ値を求めて保存する
    か，やはり平文を使うことが多いと思いますが。
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  聞くまでもないな。
  - Re:なんでパスワードまで流出するの (スコア:1)
    
    by osxx (41164) on 2010年11月14日 15時48分 (#1858650)
    
    とすると、そのIDとパスで入って自分で確認できる情報も流出したと考えた方がよいみたいだね。
    クレジットカードとか一部見せないでいるとか処理しているかもしれないけどね。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      どーなんでしょ。
      告知メールには
      　なお、クレジットカードおよび決済情報は、決済代行業者が保有しており、
      　本サービスのサーバーにて保有していなかったため、
      　流出はいたしておりません。
      なんて書いてありました。ログインして見れちゃう、という部分は念頭に置いてないっぽいので駄目なんじゃないかなぁ、と思うんですけどねぇ。
      ＃流出されたっぽいのでＡＣ
      - Re:なんでパスワードまで流出するの (スコア:1)
        
        by osxx (41164) on 2010年11月15日 2時51分 (#1858834)
        
        >ログインして見れちゃう、という部分は念頭に置いてないっぽいので駄目なんじゃないかなぁ
        つまり、IDとパスが漏洩して、IDとパスがあれば得られる情報については漏洩していないという馬鹿なことを言っている可能性ですね。
        あのサービスを使っていないし、今回の騒ぎで使う予定もないので、調べようがない。
        >流出されたっぽいのでＡＣ
        ということは、使っていたのかな？
        そうでしたら、IDとパスで見られる情報の範囲とか教えてくれませんか？
        そうしたら、あのサイトが嘘を言っているかどうか、すぐにわかりますから。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ということは、使っていたのかな？そうでしたら、IDとパスで見られる情報の範囲とか教えてくれませんか？そうしたら、あのサイトが嘘を言っているかどうか、すぐにわかりますから。
        使ってたんですが、現状サイト閉鎖されてるので「どこまで見れたか」って見れないし、さすがにサイト構成まで覚えてないんですよ・・・
- Re: (スコア:0)
  
  by Anonymous Coward
  
  パスワードのハッシュなら保存していてもかまわないけど、
  平文かどうかに関係なくパスワードそのものを保存していたことが問題だろう。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    パスワードそのものを保存すると何が問題なの？
    ハッシュを保存していたとしても、ハッシュが流出すれば、プロトコルを合わせれば認証を通せるわけでしょ。
    ハッシュが流出しても一緒。流出したこと自体が問題。
    - Re:なんでパスワードまで流出するの (スコア:2, すばらしい洞察)
      
      by Anonymous Coward on 2010年11月14日 21時45分 (#1858746)
      
      >プロトコルを合わせれば認証を通せるわけでしょ。
      通せませんよｗ
      正確にはハッシュから元のパスワードを推測するのは困難です。
      たとえハッシュ値とハッシュ関数が明らかでも、
      そのハッシュ値にするための平文を見つけるのが大変なように
      ハッシュ関数は設計されているはずだからです。
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        じゃあ、ハッシュが漏れた時でも、「安全ですのでパスワードはリセットせずにサービス再開します」って言うの？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        何か勘違いしてると思うんだけど...
        
        y=f(x)という関数fがあるとして、yからx(と、同じyの値が得られるx')が実質推測不可能なfがハッシュ関数。
        別のコメントでも書かれてるけど、ハッシュ関数使った認証ってのは、
        大雑把に言ってパスワードをxとして入れたとき得られるyの値と、手元に保存してあるyの値を比較して行う。
        そういうfを使うから、yが漏れても認証通すにはxを入れないといけないわけで、元コメが言うようにまず通せない。
        
        ハッシュ値が漏れるってのは、このyが漏れることで、生パスワードxが漏れるのとは影響の度合が全然違うよね？
        
        まぁ、fが分かっているなら手元で総当りでyになるxを探せるわけで、変更した方が無難といえば無難。
        でも、普通はfの方もsaltとかで強化するから、ある程度の強度を持つパスワードならバレる可能性はほぼないけど。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        セキュリティには、あまり詳しくないですが、
        >正確にはハッシュから元のパスワードを推測するのは困難です。
        それは困難ですが、ハッシュ値とハッシュ関数が明らなら、パスワードが正しいかどうかは判定できるはずなので
        それらが手にはいるとパスワードの判定を多少速くできるようになると思います。
        それはパスワード辞書や総あたりで見つける為の時間が多少短くなっただけで
        もともとパスワードという方法をとっている限りあなたの希望する安全ではないと思います。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      31e3ed8cb9d4c670c272107f68cb67510d13bfef
      これsha1なんだが、元のテキスト何かわかる？あなたのパソコンでブルートフォースでもしてどれくらい時間かかるか試してみて！
      - Re:なんでパスワードまで流出するの (スコア:3, 参考になる)
        
        by Anonymous Coward on 2010年11月14日 23時49分 (#1858786)
        
        元ACは何か他の認証方式と混同してるような気がする。
        99%の人には「いまさら」だろうけど誤解が減るのは良いことなので書いておくと、Webサイトでの認証は
        
        クライアント（ブラウザ）が生パスワードを送信する
        サーバは必要に応じ、生パスワードの先頭or末尾に特定の文字列（通称salt, これは固定）を付加する
        サーバはそのパスワードのハッシュ値を計算する
        DB上に保存しておいた値と比較する
        のように行われます。
        このような手順を踏めば、
        
        万一ハッシュ値が流出しても元のパスワードを推測することは非常に困難
        
        ハッシュ値だけが分かっても認証を突破することはできない
        
        ので安全です。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        現実には元のパスワードが123456とかabcdefな場合がよくあるので、ハッシュが1件でなく全部流出した場合、へぼパスワードのアカウントは全部抜かれるんですけどね。
        
        へぼパスワードが問題になるのはへぼ実装だけ (スコア:2, 参考になる)
        
        by Anonymous Coward on 2010年11月15日 0時49分 (#1858809)
        
        現実には元のパスワードが123456とかabcdefな場合がよくあるので、ハッシュが1件でなく全部流出した場合、へぼパスワードのアカウントは全部抜かれるんですけどね。
        それは、にわか知識で作られたへぼ実装の場合だけです。
        ちゃんとした実装では、saltもその都度変更するので、同じパスワードでも異なるハッシュ値となります。
        この辺 [unixuser.org]とか参照で。
        ＃と偉そうに言いつつ、自分も先週知ったばかりなのでAC（汗
        
        シェア
        
        親コメント
        
        Re:へぼパスワードが問題になるのはへぼ実装だけ (スコア:2, 参考になる)
        
        by Anonymous Coward on 2010年11月15日 7時13分 (#1858849)
        
        いいえ、ソルトはアルゴリズムの一部と見なせるので、どの実装でも同じです。
        アルゴリズムとハッシュの組があればブルートフォースや辞書攻撃が可能です。
        # ユーザごとに異なるアルゴリズムとして解いていく。
        
        まぁこれにはアルゴリズムが判明しているって前提があるんで、この前提の保護を強化する事は可能です。
        ソルトorハッシュに情報量の減らない追加演算(第二ソルトをハードコーディングしたり、ビットシャッフルやビット反転を掛ける)を加えることでアルゴリズムに改変を加えてしまえば、ユーザ情報DBに含まれるソルトやハッシュだけでは解けなくなります。
        
        しかしこの場合も、ソースコード(や追加演算情報を格納した別DB)が抜き取られればやはり辞書攻撃が可能になります。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        (狭義の)アルゴリズムを秘匿するより、アルゴリズムは既知でも暗号鍵やsaltを秘匿するほうが一般には簡単なことが多いからそういう方式が定着したわけで、すべてが流出したならどんな暗号化方式だって(少なくとも辞書攻撃から)安全なわけはありませんよね。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        あなたの示された参照先にも書いてあると思いますが、salt をランダムにしても，
        その値をどこかに保存しておかないといけません。もしそれがハッシュ値と同じ
        ファイルの同じ行とかに保存されていたら、「ハッシュ値だけが流出」ということ
        はまずないと思います。
        ランダムな salt を付加することで、へぼパスワードが少し（場合によってはかなり）
        マシなものになりますが、それは salt が知られていないことが前提にあります。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        失礼しました。「へぼパスワードが問題になるのはへぼ実装だけ」というのはちょっと過激な見出しでした。
        元の全部抜かれる [srad.jp]というコメントの問題については大幅に解決しますが、全く問題が無くなるわけではなく、総当たりでいずれ突破されうるというのは皆様のおっしゃる通りです。
        ＃たぶんいろんな方から突っ込みを受けているのは、そういう理由ですよねorz
        ＃ saltが漏れても容易には解析できなくなるので、はるかにマシとは思いたいのですが・・・とはいえ、昨今のマシンパワーを考えると安心はできないようですね。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ハッシュとsaltの両方が流出した場合は？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        　パスワード → 原料
        　Salt → 調味料
        　アルゴリズム → 調理方法
        　ハッシュ → 初めて見る料理の見本写真
        
        見本写真と塩だけで原料を推測できるかい？
        
        # 料理なら見ればわかりますよねってのは無しね。
        # 原料は原型をとどめていないので。
        
        冷や奴好きな私に抜け目はないな。 (スコア:0)
        
        by Anonymous Coward
        
        > 料理なら見ればわかりますよねってのは無しね。
        えっ？何のための例？分かりにくくするためですか？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    パスワード忘れたので教えて下さいと言われたときどうするの？
    - Re:なんでパスワードまで流出するの (スコア:2)
      
      by deleted user (37441) on 2010年11月15日 12時28分 (#1858985) ホームページ
      
      もしかして：再発行
      
      シェア
      
      親コメント
問題な。。。くないー (スコア:2, 興味深い)

by Anonymous Coward on 2010年11月14日 17時12分 (#1858681)

一体何日ログ見ないのが標準対応なんだろ？
アラートメールも基本無視だったのかなぁ。
個人鯖でさえアラートチェックしてる人からすると理解に苦しむ。
個人情報の扱いも許認可制が必要なのかね。
天下り先増やすのは嫌だが
規制効果でるなら税金の使い道として妥協できるかも。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  >アラートメールも基本無視だったのかなぁ
  
  そもそも、Logwatchが走っていなかったとか・・・
  
  それ以前に、FWでブルートフォース弾いていなかったのかと小一時間・・・
  
  ＃元、某S社の人なのでAC
11日の朝にアクセスした時の状況 (スコア:1, 参考になる)

by Anonymous Coward on 2010年11月14日 14時57分 (#1858640)

ちなみにその時点では今回の事件を知りませんでしたorz

・ゲームクライアントを立ち上げた時点では何のメッセージもなし。
・自動アップデート後、ログイン画面でも何のメッセージもなし。
・ログイン後に「緊急メンテ」(だったかな?)みたいなメッセージあり。
　アカウント流出とかの表示は・・・あまり記憶にないです。

ただのメンテナンスだと思ってたらこういう事だったんですね。

しかしログイン画面の時点でメッセージを表示するべきじゃないかと…
777 (スコア:1)

by rin_penguin (9144) on 2010年11月15日 0時42分 (#1858803)

777なんて盗んでくださいと言わんばかりの設定じゃないか(違

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

不正アクセスによりオンラインゲーム「777town.net」のアカウント情報が流出 33

不正アクセスによりオンラインゲーム「777town.net」のアカウント情報が流出 More ログイン

Tomcat 4.x (スコア:5, 興味深い)

なんでパスワードまで流出するの (スコア:2, 興味深い)

Re:なんでパスワードまで流出するの (スコア:2, 興味深い)

Re:なんでパスワードまで流出するの (スコア:1)

Re: (スコア:0)

Re:なんでパスワードまで流出するの (スコア:1)

Re: (スコア:0)

Re:なんでパスワードまで流出するの (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:なんでパスワードまで流出するの (スコア:2, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:なんでパスワードまで流出するの (スコア:3, 参考になる)

Re: (スコア:0)

へぼパスワードが問題になるのはへぼ実装だけ (スコア:2, 参考になる)

Re:へぼパスワードが問題になるのはへぼ実装だけ (スコア:2, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

冷や奴好きな私に抜け目はないな。 (スコア:0)

Re: (スコア:0)

Re:なんでパスワードまで流出するの (スコア:2)

問題な。。。くないー (スコア:2, 興味深い)

Re: (スコア:0)

11日の朝にアクセスした時の状況 (スコア:1, 参考になる)

777 (スコア:1)

スラド