りせっとさん
「何故あなたは都合よく過去を忘れるのか」「そこにリセットボタンがあるからさ」-ジョージ・マロリー(仮)-
マビノギ 不正アクセス関連
ラブカの事を調べていたら、いつのまにかヘリコプリオンにまで行き着いていた罠。

今はラブカの泳いでる映像まで見られるんだなあ。
あわしま水族館に保護された検体が泳ぐ(というよりよたよた漂う)のは見たことがあったんですが
ラブカってのは、生きている化石とも呼ばれる、原始的なさめの特徴をよく残したサメでして、そのウナギみたいな形から、ずっと印象に残ってます。
よく、シーラカンスのことを生きている化石、と呼びますが、結構いっぱいいるんですよ、生きている化石(笑)
ほら。夏場になると、そろそろそのあたりを這い回る、黒くてひらべったい…


そして黄金ジェット!

人魚(ジェニー・ハニバー)の正体とも言います。
ごめんなさいうそつきました。これはギンザメで、ハニバーはガンギエイです。

最近、アカウントハック関連で、ゲームそのものが危機的状況にあるマビノギですが、それに関して(私が飽きるまで)つらつらと、だらだらと、書いてみようかと思います。

とりあえず、不正アクセスに関してですが、結構定義を正しく理解していない方も多いようなので。

不正アクセス禁止法において、犯罪とされるのは以下の行為です。

a・他人のID・パスワードを奪取・盗用して、その者になりすましてアクセス認証を越える行為は犯罪になる
b・なりすまし以外の攻撃手法を用いて、認証サーバをだまし、それに従属する目標の端末を利用可能にする行為は犯罪になる
c・目標の端末を利用可能にするために、その端末の属するネットワークのゲートウェイ端末のアクセス認証をだまして、その内部ネットワークの目標を達する(目的端末を利用可能にしてしまう)ことは犯罪になる


セキュリティ用語辞典より)

条文は、大変難しい表現で書いてあるため、被害者の多くにお子さんが多いことから、こちらのほうを引用しました。

罰則は1年以下の懲役または50万円以下の罰金を科せられます。

50万以下って安いな。
ただしこれは「犯罪行為」に対する罰則で、民事訴訟の場合は、被害総額の賠償請求を受ける可能性があります。
マビノギの場合、よくいわれるように、原告(訴える人)はネクソン、ということになります。

順に説明しますと

aの場合、問題とされるのは「なりすまし」ですので、たとえば家族が、あなたのIDを用いてログインした場合も「なりすまし」に相当するため、厳密には犯罪行為になります。
たまたま知りえた、他人のID、PASSを使用してログインした場合も、犯罪になります。
今問題になっているのは、この部分ですね。

b、cは、近頃さかんにに言われている、ネクソンのサーバ側に脆弱性があったり、ほかの手段でアクセスしている場合ですね。厳密には違いますが、そういうものと考えて差し支えないと思います。ユーザーにはできることはありません。この方法でハッキングが行われているのなら、お手上げです。

では、被害にあったらどうするか。


自由板では「ネクソンに報告するな、したらBANされるぞ」といわれてますよね。
でもこれ、実は正確な表現ではありません
アカウント停止を食らった人も多いかと思いますが、報告して、停止されていない知人を、私は知っています。

なぜこのような差が出てきてしまうのか、推測になってしまいますが、考えてみましょう。

まず第1に、停止されてしまったアカウントは、一時的に業者に悪用されていた可能性がある、ということです。
ベースキャンプにいますよね。ギルマスのBOT。
ネクソンは、ユーザーに対してアカウントを保護する義務を負っていますが、一方で、正規の方法でログインした場合、その結果の不正行為に対しては、処罰する権限を持っています。
現在のところ、マビノギはIPによる接続規制を行っていないため、ID、パスワードを入力し、ログインした場合は「正規のログイン」とみなされます。
その結果としてBOTになってしまったのなら、不正行為をしたとみなされてしまうのです。
また、BOTとして長期運用されるためには、ユーザーが長期間にわたって、アカウントを放置していたことになります。
ネクソンの義務にばかり目がいきますが、ユーザーは、自己のIDを管理する責任もあります。
ここでは、ネクソンへのサーバー進入で、パスワードが漏れたかどうかの議論は置いておいて、自己のPCや、ネットカフェの接続からパスワードが漏れた場合のこととして、話を進めます。
(ネクソンへの進入で被害が発生した場合、ユーザーに対してネクソンはどのような義務を負うのか、まだ、明快な結論は見つけ出せていません。ごめんなさい)
自分の管理不足でパスワードが漏れた、ないし、ネクソンの告知を無視して、安易なパスワードで放置していた場合、不正アクセスされた責任の所在は、ネクソンにはありません。
ネクソンが公知している、全ての対策をクリアしている状態で不正アクセスを受けたときのみ、ネクソンを非難してもいい、ということですね。
自由掲示板への報告内容は、適宜目を通していますが、あそこに報告するユーザーは、結局最後は言い逃げする形で情報提供をやめてしまいます。
まあ、「誰か慰めて」程度の気持ちで書き込むことは、誰にもとめられないし、それはそれでよいのですが、結局細かい状況を突っ込まれてしまうと、自分に手落ちがあったので逃げた、ということなのでしょう。推測にしかなりませんが。

ネクソンがIP規制を導入してくれれば、すくなくとも自宅からのアクセスだけでプレイしている人は、被害がなくなるのですが、現状では、どういう方法であれ、正規のID、正規のパスワードを使ってログインされてしまえば、その結果のデータはネクソンによって保護され、処罰の対象にもなる、ということです。
どういうことかというと、アイテムを捨て、誰かに小切手を渡しても「そのデータは保護され」、業者にBOT化されてしまえば「処罰の対象になる」ということです。
おかしいと感じるかもしれませんが、ネクソンの側からすれば、筋は通っているのです。一応は。
仮にアクセス解析を行ったとしても、真っ黒なIPが存在したとして、それを黒だと断定することは、なかなかできないんですね。正規のルートでログインしているので、ネクソンのセキュリティ側からすれば、それは不正アクセスではなく、正規のアクセスになってしまうので。

つまり、アカウント停止処分を受けた人は

・長期間ログインを行っていなかった(プレイを放棄していた)
・IDの管理を怠っていた
・その上で、不正にIDを利用された



このように推測しています。
もちろん違うかもしれませんが、毎日ログインしていてハッキングを受けた人は、即ネクソンへ報告しても、アカウント停止処分を受けにくい、と想像はできます。
但し、これはマビノギIDに限った話で、これがネクソンIDだと、そのネクソンIDに枝付けされた新規アカウントを作成され、不正を行われてしまえば、やはり処罰の対象となります。
規約の中に、ID関連の不正連鎖BANが含まれているのは、このような形で入手した「ネクソンID」を悪用されて、被害を拡大させないためです。
ちょっとわかりにくいですか。
業者の視点で考えましょう。
FLCを三ヶ月先まで購入し、新規ペットがでれば即購入、2週転生でプレカード購入、こんな優良PLはBANできねえよな? こいつのネクIDつかってBOT量産すればBANできねえうは俺天才wwww
てことです。
そんな優良プレイヤーに対してもアカウント停止という強硬な措置をとるのは、一応「業者とは妥協しない」という姿勢…なんだろうなあ(笑)
ですので、ネクIDが漏れている人は、手間がかかりますが、全マビノギIDを検索してみないと、BANされない、とはいえないかもしれません。

その上で、不正利用されていると思しきマビノギIDを発見したら、そのことも含めてネクソンに報告したほうがよい、と、個人的には思います。それだと、そのマビノギIDを停止してもらえばすむことですし、プレイヤーの誠意は、わりとちゃんとみてます。何回かメールのやり取りをした感触では。私の運がよかっただけなのかもしれませんが。

私個人の考えとしては、「ネクソンに不正アクセスされたことを報告する、もしくは引退する」
この二択だと思います。
ほったらかしてプレイをしていれば、また業者に悪用されて、今度は普通にBAN食らうと思うので、やめといたほうが傷が浅くてすむのではないか、と思います。

では、被害届けは警察へ、は、無駄なのか、それとも、ネクソンなどがいうように、やはり提出しないとだめなのか?



このことについて考えてみます。

よく自由板でいわれるように、不正アクセスをうけたのはネクソンだから、被害届けはネクソンが出さないとだめ、ユーザーは泣き寝入りするしかない
といいます。本当でしょうか。
私は法律の専門家ではないので、解釈が間違っているかもしれませんが、私の調べた範囲では、それは正しくありません
順を追って説明します。

ある犯罪を犯罪である、と警察に届けると、捜査されますよね。これにはいくつかのパターンがあります。
ちょっと法律用語も出てきますが、勘弁してください。
「被害者はネクソン」という立場でものをいう場合、これは報告罪である、という前提で述べられています。
報告罪とは何か。
これは「○○の罪は、告訴がなければ提起することができない」ということです。
告訴というのは、加害者に刑事罰を要求することです。
噛み砕いていうと、ネクソンが、不正アクセスを受けたとして、業者を告訴することではじめて犯罪として成立する、というものです。
この報告罪というのは、一般的に、名誉毀損、強姦、といった「被害者の心情に配慮しなければならないもの」に適用されています。
一覧を見てみると、プライバシー関連の犯罪が多いとわかります。
明らかな犯罪行為であっても、被害者がそれを公にしたくないなどの理由がある場合は、告訴がなければいけない、ということですね。ドラマなんかでも、こういう場面を見たことがある人もいるかもしれません。映画だと、ジョディ・フォスターの「告発の行方」なんかで、こうしたケースの難しさを取り扱っています。
えーとですね。結論から言いますと、ネクソンの心情に配慮してやる必要、ありますか? このケース。
もちろん、社会的信用の観点から「なかったこと」にしたいというのはあるとおもいますが、現実にこれだけ被害があり、その声が大きくなっている現状、黙ってなかったことにしていても、ネクソンにいいことはないですよね(笑)
例によって、裏でなんかしてるんだろうとはおもいますが。

不正アクセス禁止法の規定をあたってみましたが、私の調べた限り、報告罪であるという、明確な確証は得られませんでした。
つまり、そもそもネクソンによる被害届けなどは必要がない可能性があります。
暇な方は裏を取ってみてください。法学部の現役学生の方、判例集なんかもひっくりかえしてみてください。いい卒論の題材になるかもしれません(笑)

次に、「なりすまし」によって、不正アクセスを受けた場合、被害者は誰か、という話です。
この点はやはり、ネクソンなのではないかとおもいます。ユーザーが実質的な被害をこうむっているのですが、このあたりはポイント制度とも絡んでくるので、被害者は誰か、というのはちょっと素人では手に負えませんでした。しかし、データはネクソンが握っていて、「なりすます」ことで不正に進入されているのですから、やはり被害者はネクソンなのでしょう。

では、やはり警察に行くのは意味がない?



犯罪の場合、もうひとつ現行犯、というのがありますね。痴漢など、物的証拠が残りにくいものは、現行犯逮捕でないと逮捕することができません。
銀行内で抜かれている現場を見た人もいるかと思いますが、あそこに警官がいれば一発なんですけどね(笑)
できないことをいっていてもしょうがない。

一方、制度としては告発、というものがあります。
これは被害者でない第三者が、犯罪事実を指摘して、処罰を求める、という制度です。
マビノギの場合に置き換えると
被害者(ネクソン)でない第三者(プレイヤー)が、犯罪事実(なりすまし行為)を指摘して、処罰を求める
となります。
よく、賠償額のどうのという話をする人がいますが、それは民事のお話です。
告発は、刑事訴訟法に明確に規定されている制度です。

この場合の被害者は「ネクソン」であり、実際に不正アクセスを受けたプレイヤーは、情報提供者でしかありません。
つまり、仮に業者が逮捕され、ネクソンが民事訴訟をおこして賠償金を獲得しても、プレイヤーには一銭の金も入ってきません。
これは善意の第三者として、犯罪行為を告発しているため、プレイヤーにはなんの利益もありません。まして、保障もありません。

アカハクをうけたら、もう何もかえってはこないのです。



事前のID管理がいかにに重要か、わかっていただければと思います。

それでも義憤を感じ、警察に届けを出すのもよいかとおもいます。
この場合、自分が被害者であるという思考はきっぱりと捨てることが重要ですが。

この告発という制度には、ちゃんと落とし穴もありまして
警察が受理してくれなければ、効力は発揮しません。
本来なら、そこに犯罪性が認められれば、受理する義務があるのですが、現実的な問題として、警察もお金で動いていますから、小額の被害では、なかなか動いてくれません。
金の話かよ、といわれそうですが、そのお金は私たちの懐(税金)からでてます。
基本的にやんわりと流されてしまうので、本気なら、無料弁護士相談などで一筆書いてもらわないとどうしようもないでしょう。

告発を受理した場合は、捜査して、捜査書類を検察へ送致しなければならない義務がありますから、誰か一人でも受理されれば、捜査は始まります(現実的には難しいと思いますが)。
告訴状は、3万くらいから代筆してもらえるようですので、告発もそんなものでしょう。
(調べてませんすみません)
但し、書式さえ整っていれば、自分で入力してプリントアウトしたものでもいいようです。
告発や告訴をした側に、故意、または過失があった場合、訴訟費用の負担を請求されたり、刑事責任を問われることもありますので、自分の利益のために「アカウントハックを受けた」などと、虚偽の告発をしたら、大変なことになりますね。
手軽な方法にインターネット告発がありますが、この場合、やはり被害者はネクソンですから、賠償請求やなんかの要求は引っ込める必要が出てくるかと思います。あくまでも「告発」ですので「ネクソンがこれだけの被害を受けていますよ」というデータを積み重ね、警察に告発を受理するよう働きかけるだけです。

で、本音を言ってしまうと、被害者はこんなことやらないと思ってます。
「大切な思い出」であるとか「絆」なんてことを気安く口にされると、そんなに大切なものなのに、どうしてもっとしっかり鍵をかけておかなかったの、という言葉がのどから出掛かります。そんな人たちが、自分の利益にならないことに、これだけの労力を払うとは、私にはちょっと考えられないですね。ここまで書いてきたことは、全て机上論だと思ってます。
小中学生はやむをえないとはいえ、ある程度の年齢なら、最低限やらなければならないことは、ネクソンのサイトに書いてあるのだから、わかっていたはずですしね。それを「面倒だ」で切って捨てていたのなら、(ネクソンのサーバに脆弱性があった、という話ではない限りにおいては)結果は甘んじて受けなければならない、と思っています。
本気で取り組むなら、告発サイトを立ち上げ、報告テンプレを用意し、それをまとめて警察へ提出して、告発を受理するよう働きかけでもしないと、無理でしょう。正直、使いきりでポイントチャージしてるような私にとっては、そんな労力を支払うかといわれると、たぶんやらないとおもいます(笑)

そろそろ飽きた(笑)

結論としては、「警察に届けを出すのは無意味ではないが、自分が被害者であるという意識は捨てること。また、無駄な努力になることも覚悟しておくこと」でしょうか。
気が向いたら、次は、どういう対策をしようか、ってな話でも書きましょうか。
運がいいらしく、一応ベータのころからプレイしていて、一度も被害にはあってません。有効アカウントは両手で足りないくらいあるんですけどね。





なお、黄色についてですが。
私サイトみたことないでしりませんが、もしもIDを流しているのだとすると

 また特定のアクセス制御を有する端末に関しての、認証情報(ID・パスワードなど)をその端末利用者や管理者以外の人間に漏らしたり流布してはいけない、ということも規定されており、これは「不正アクセスを助長する行為」として犯罪とされ、本法により罰せられる。 この場合の刑は30万円以下の罰金刑である。


セキュリティ用語辞典

立派に刑事罰の対象となる可能性があります。
ネクソンが、以前はID=ハンドルとしてたものを、最近になって隠し始めたのは、おそらくこのあたりにあるのじゃないかなと、個人的には思ってます。
しかし、テイルズのベータのとき、キャラの下にIDでたのはびっくりしたよなぁ(笑)あわてて消したけど。
(ベータ中に非表示になりました、その件については)
昔から、ネクソンはID管理というのは「しない」ところなんですよ。
今、その付けが回ってきているともいう。

てことは、私のIDって、もう6,7年前から業者の手に渡ってるはずなんだよなあ。

あくまでも素人が書いていることなんで「ここはちがうよ!」とおもったら、自分のブログででも訂正しといてください。
コメント返すとかはしないんで。この件に関しては。

テーマ:マビノギ - ジャンル:オンラインゲーム

コメント
この記事へのコメント
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
http://roboko.blog41.fc2.com/tb.php/861-e9bdba2a
この記事にトラックバックする(FC2ブログユーザー)
この記事へのトラックバック