ガンホーへのメールを自分から晒すスレ

[169:(^ー^*)ノ〜さん (03/04/15 17:01 ID:dsmNjYGr)]
いいなBOTer釣れて

[170:(^ー^*)ノ〜さん (03/04/15 17:05 ID:8Pfa9QbC)]
漏れも>162=167とほぼ同じ質問を 癌呆に出してみたな。

MXのときにﾀｲｰﾎ者出たときも ﾈﾄﾗﾝはｱﾚだったが。
MX本体の掲載はしなくなった程度。どうせ記事載せなくするだけで終りそうな話だがな。
つーかあの雑誌あると便利なUGツール潰されそうで目障りだ。

[171:(^ー^*)ノ〜さん (03/04/15 17:12 ID:4R8zWVCS)]
>>169
釣りじゃないって。規約に基づいた原則（？）を語ってんの。
とある会社が顧客に同意させた規約、それに反する行為を同系列の別会社が
促す真似をする。

企業体質的におかしいとは思わんか？

[172:(^ー^*)ノ〜さん (03/04/15 17:16 ID:4R8zWVCS)]
追記
あ〜…俺の真意は全然関係ないから。。

[173:(^ー^*)ノ〜さん (03/04/15 18:32 ID:TzUspWdr)]
● お問い合わせ内容（お問い合わせ業務）[--返答あり--]
□(2003/03/22 3:57:06)
ご意見対象：
詳細内容：2003.3.20-3:50の重要情報No.034にあります通り外部からの不正アクセスによるアナウンスが流れました. RO関係の掲示板等を見ますと,ID,パスワード,クレジットカード番号等の個人情報が流出したとも言われています.そこで質問がございます.
1)前述の告知では「個人情報の流出は無い」との事ですが,その根拠は?
2)今回の件で多くの顧客からの貴社に対する信頼は揺らいでいます.貴社は顧客の信頼を取り戻す為に,今後どの様な事を行うか具体的に教えて下さい.
以上の2点について日本時間西暦2003年4月5迄に何らかの返答をして下さい.
私は支払にクレジットカードを使用していましたが,今度の事件でカード会社へ連絡し,カードの停止と再発行をお願いしました. 個人情報漏洩の疑いがあるのでは,安心してROも出来ません. チケットは3月末迄有りますが,この質問に納得の行く返答が無い限り,怖くてRO出来ませんしチケットの更新をするつもりもありません。「ガンホー頑張ってます。努力してます」の口先だけの言葉では無く、具体的な対策が盛り込まれた実のある返答を期待しております。

■ ご回答
RO運営サイド(2003/03/24 15:58:34)
3月20日、1：25分頃から1：33頃にかけまして、ラグナロクオンラインのゲーム内において、不正なアナウンスが流れました。こちらの事象につきましては、公式サイト内インフォメーションにても、ご案内させて頂いております。 本事象に関しましては、タイ、アメリカでのサービスにおいても同様に発生していることが確認されており、悪意のある第3者によるラグナロクオンライン運営に関する妨害として現在調査を進めさせて頂いております。 ファンサイトや掲示板などに書き込まれております「個人情報」の漏洩に関しましての事実は一切ございません。ユーザー様の個人情報を管理させて頂いているサーバーは、ゲームシステムとは別のシステムとなっており、クラッカーによる攻撃を許しておらず、ご安心頂ける状況となっております。 ユーザーの皆様には、ご迷惑をおかけしております事をお詫び申し上げます。

お問い合わせ内容（お問い合わせ業務）(2003/04/10 22:39:48)

(2003/03/24 15:58:34)の返答について,再度質問があります.
[1]「個人情報を管理しているサーバーはゲームシステムとは別のシステム」とありますが「ガンホーIDとパスワード,アトラクションIDとパスワード」の4つについても別システムですか?
特に「アトラクションIDとパスワード」についてはゲーム起動時に入力を求められるのでゲームサーバーの方で管理していると推測されますが.
[2]もしゲームサーバー側で「アトラクションIDとパスワード」を管理しているとすれば,この2つは現在外部からハッキングされてしまう状態ですか? それとも何らかの対策は既に取られていますか?
[3][2]が未対策の場合,第3者が私のキャラクターを勝手に使う事も起こりえます.キャラクターの所持品等を勝手に捨てられたり,ゲーム内で違法行為をされ,その結果として貴社にIDを削除されるかもしれません.その場合,何らかの救済もしくは補償はなされるのでしょうか?
[4](2003/03/22 3:57:06)の質問の(2)について回答がありません.回答をお願い致します.

[174:173 (03/04/15 18:37 ID:TzUspWdr)]
今の所、返答なしです。チケットは３月末で切れましたが更新してません。
アトラクションIDとパスワードが第3者に筒抜けだとしたら、安心してゲーム出来ません。
第三者に自分のキャラクターを勝手に使われても、おそらく何の救済も無いでしょうが、聞くだけ聞いて見ました。

[175:(^ー^*)ノ〜さん (03/04/15 19:34 ID:5leRsCuP)]
>>173-174

内部の人ではないが
・ＤＢへ外部からの直アクセスは不可能

・（垢ＢＡＮするときの）ＧＭツールでの特定個人パス抜き
　ＩＰアドレス制限してるはずだが正確に設定して無ければ隣のＩＰから入られる（どうせ８個のＩＰ貰ってるだろうかな）
・リモートで管理してる以上ＰＣのTerminalServiceから入られたら終わり（踏み台にされてＤＢの外部へのコピー）

[176:173-174 (03/04/16 16:58 ID:aWpeqilj)]
>>175 さん。解説ありがとうございます。
でも当方コンピュータについて詳しく無いので意味がさっぱり分かりません（＞＜）
出来ればもう少し噛み砕いて解説していただけ無いでしょうか？

要約すれば
「ガンホーID、アトラクションID、双方のパスワード。
四ついずれもガンホー社の外部から社外へ洩れる可能性がある」
という事なのでしょうけど。

>（垢ＢＡＮするときの）ＧＭツールでの特定個人パス抜き
>ＩＰアドレス制限してるはずだが正確に設定して無ければ隣のＩＰから入られる（どうせ８個のＩＰ貰ってるだろうかな）

「ガンホー社社外の人間が、件のGM専用ツールをなんらかの方法で入手した場合、
　社外からガンホー社のサーバーに侵入し、そのツールを使って特定顧客のパスワードを抜き取れる」
という解釈で正しいでしょうか？
ただ「IPアドレス制限〜8個のIP貰ってるだろうかな)」の行は解らないのです。

>リモートで管理してる以上ＰＣのTerminalServiceから入られたら終わり（踏み台にされてＤＢの外部へのコピー）

Google等で調べてました。
「リモート管理」とは「サーバーなどを現地では無く、遠隔地から操作管理する事」
「Win2000やWinXP_Proにはその為にTerminalServiceというソフトが用意されている」
つまり
「ガンホーのサーバーがリモート管理されているならば、当然TerminalServiceも導入されている。
　このTerminalServiceの設定に穴等が有った場合、外部からサーバーに侵入され、
　特定個人では無く、全ての顧客の個人情報を(IDやパスワード以外も)ごっそり社外へ持っていかれる危険がある」
と、こういう解釈でよろしいでしょうか？

恐ろしい事です・・・
前者はともかく後者に対しては個人で出来る対策は無いのでは？
パスワードを頻繁にかえたとしても、丸ごと持って行かれてしまうのでは意味が無いだろうし・・・

[177:(^ー^*)ノ〜さん (03/04/16 17:29 ID:M9UKeDeb)]
>>176
>「ガンホー社社外の人間が、件のGM専用ツールをなんらかの方法で入手した場合、
>　社外からガンホー社のサーバーに侵入し、そのツールを使って特定顧客のパスワードを抜き取れる」
他にもあるだろうけど
ＧＭツールと言ってるのはＨＰの事です（ＧＭ（補助）ツールは鯖側とクライアント側の２つある）

垢ＢＡＮの作業はＨＰのＡＳＰ使って行ってます（掲示板とかと同じと考えれば・・・）
　ハローワークの検索が分かりやすいかな？
８個のＩＰに関してはＨＰへのアクセス制限です
昔のftpパッチ鯖(fpatch.ragnarokonline.jp)がその設定になってますけど

>「ガンホーのサーバーがリモート管理されているならば、当然TerminalServiceも導入されている。
>　このTerminalServiceの設定に穴等が有った場合、外部からサーバーに侵入され、
>　特定個人では無く、全ての顧客の個人情報を(IDやパスワード以外も)ごっそり社外へ持っていかれる危険がある」
穴と言うより設定されてるMSTCの（admin等のWindowsアカウント）パスワードが問題

台湾の流出時は鯖パッチ鯖（の中身）にWindowsのadminパスワードが載ってたから
プログラム自体が流出・・・（と想像できる）

後者の方も頻繁にパスワード変えれば問題ない
現在、中国はパスワード変更できない（台湾の方もβ期間中はパスワード変更できなかった）
台湾のテスト鯖アカウントＤＢが流出したとしてもバルクメールが来るぐらいだよ（実際に広告メール来てた）

[178:(^ー^*)ノ〜さん (03/04/16 18:31 ID:QOI9/mF7)]
>>176
>>175じゃないけど。
なお、以下はあくまで常識的な運用管理体制からの想像であり、実際どーなってるかは
癌に聞いてみないとわからんので念のため。某A鯖とかも見てないので完全に推測な。

まず、ROのサーバが必要とする情報は、アトラクションIDとそのパスワードのみ。
だから、ログインサーバはその情報しか持っていない。
クレジット番号、webマネー番号や個人情報を格納しているDB（データベース）は、
ROのDBとは完全に別。
こちらはチケットセンタからしかアクセスできないようになっているはず。
これが「ゲームシステムとは別のシステムとなっており」ってやつね。
チケットセンタでアトラクションIDに関する変更が行われた場合、チケットセンタの
webアプリケーションがログインサーバのDBにアクセスして変更を反映する。
逆に、ログインサーバからDBへアクセスする必要は全くないので、
そういった機能そのものが存在しないと思われる。
そのため、万一ログインサーバの情報が抜かれたとしても、漏れるのは最悪でも
アトラクションIDとパスワードのみということになる。
（GMがパスワードを見る必要は全くないので、GMツールにそもそもそういう機能は
ないと思うが…）

と言うわけで、個人情報が抜かれるとしたらチケットセンタDBへの直接侵入しかないが、
さすがにこれは厳重に守られていると思う。
このへんで問題起こすとクレジット会社から縁切られかねないし…
パスワード抜かれたら一発でアウト、というようなヌルいセキュリティじゃないはず。
まぁ、ASPとか引っくるめて管理も外注だろうけど。

この手のアプリケーションを設計する時に一番安全な手法は、不要な機能をそもそも
実装しないことに尽きる。
加えて、癌はROのシステムに直接手を入れられない（らしい）ので、ROのシステムに
癌独自のチケットシステムが乗っかっているような設計になってる。（要するにwrapper）
両者を繋ぐのはアトラクションIDのみ、という理解でおおむね正しいと思う。
と言うわけで、今回のクラック騒ぎから個人情報漏洩に進展する可能性は低い。
ただし、これは癌のシステムが安全という証明ではなく、全く別個の問題ということ。
まぁ、アトラクションIDと癌IDのパスワードを同じにしてる人とかは注意かも知れん。

read.cgi ver5.26 + n2 (02/10/01)