まさかやられるとは思わなかったでござる
どうもこんにちは。これはある愚か者が原神のアカウント(とEpic Gamesのアカウント)を乗っ取られたときの話。割と自分用の備忘録なので適当(ゴメンチャイ)
時系列
・原神用FPS Unlockerを導入
たしかこんなのだったかな
このときウイルス対策ソフトが警告していたがqUnlockToolだったり太鼓シミュだったりでいつものパターンかとか思ってガン無視してた。原神に限らずこの手のmodツール使うときはサブ垢を使うとか本垢でやるにしても使ったあとはパスワード変えるとか何かしらすべきだったのだがこのアホ一切そういった対策をせずに使ったもんだから後々泣きを見るはめに。一つ言い訳をさせてもらうとDL先がgithubだった上にソースコードも公開されていたのでまさかウイルスとは思わなかった。まあオープンソースでマルウェア配るやつがいるなんて普通思わないよね(こういうところが乗っ取られる原因である)
・この日までは間違いなくログインできていた。14時ぐらいにログインしてデイリー消化等を行っていた。エピック垢もこの日フォートナイトの世界を救えモードのログイン報酬を受け取ったためこの時間までは間違いなくログインできていた。
・多分この間に原神のアカウントが乗っ取られたんだと思う。怖いのは
この時通常ならメールアドレスやパスワード変更時に来るはずのメールが来なかったのだ。んで原神とエピックの垢のパスワードは使いまわしていたのでそれでエピックの方もログインされてしまったのだと思われる。使い回しが良くないのは知っていたがエピックは2FAがあるから大丈夫だろとタカをくくって使いまわしてたのをそのままにしていたところ
2FAを貫通されてしまい結果エピック垢まで乗っ取られる結果となった。ここまでやられた原因はFPSUnlocker説が濃厚だがこいつが盗んだのはおそらく原神の垢のみだと思われる。というのもパスワードを使いまわしてなかったSteamやOrigin、Uplay等は乗っ取られていなかったためおそらく今回の攻撃者は2FAを貫通する力はあったもののFPSUnlocker自体は原神のアカウントのみしか盗めないようである。ただし他プラットフォームでもIDとパスワードを使いまわしていたら間違いなく乗っ取られていたであろう。mihoyoのメール認証やエピックの2FA貫通なんてやってくる相手なのだからおそらく他プラットフォームの2FAも貫通してくるはずだ。特にSteamなんて乗っ取られてたらマジの自殺案件だったのでこれが乗っ取られてなかったのは不幸中の幸いだった。。。
・いつものように原神にログインしようとしたところIDとパスワード入力画面が表示される。たまにあるログアウトされるバグかと思いきや何度メアドとパスワードを入れてもログインできない。んでTwitter連携してたことを思い出しTwitterでログインしてみるもなんと新垢扱いになっていた(つまり連携が外されてしまっていた)。パスワードリセットしようとメールアドレスを入力してもアカウントが存在しないと言われる。完全に焦って原神のフレンドにプロフィール変わったりフレンド消されてないか確認したところ原神にログインはまだされてなかったようだ。速攻で運営に問い合わせた。この時の問い合わせ先は混乱するかもしれないがgenshin@mihoyo.co.jpもしくはaccount@mihoyo.co.jpのどちらかにアカウントが乗っ取られた旨とUIDを送っておこう。今思えば追加で購入履歴も送っておけばよかったなどと。
・他のプラットフォームも被害にあってないか確認したところエピック垢も同様にログインできず、連携してたプラットフォームすべてでログインしようとしても新垢扱いになってしまうことを確認。この時メールボックスをすぐチェックしたが2FA認証のメールなど来てなかった。まさかと思いGoogleアカウントのログイン履歴を調べるもこちらは特にログインされた様子はなかった。これが乗っ取られてたらAndroid使いなのもあってSteamより余裕で死ねるので生命線は守れて安堵した。自分のエピック垢には元々PSID、Xbox、Nintendoアカウントの3つを連携させていたがサブ垢から自分のエピック垢を確認したところ見事に全部連携が外されていた。ここらへんで2FAしてれば安全というのは完全に崩れた。今どきのハッカーは2FA貫通してくるのだとはっきり認識した。ちなみにこちらもメールアドレスまで変えられてしまっていたので速攻で問い合わせた。自分はフォトナの問い合わせフォーラムから送信した。
・ここでmihoyoから問い合わせに対して返信が来ていたもののこの時返信が来ていたのが普段使っていないメール(Outlook)で全く気づかず2週間も放置するという沼プレイをしてしまった。敗因はgmailの設定。メールアカウントまとめる設定は事故るね。気をつけよう。
ちなみに要求される項目がかなり多く
・アカウントの盗難に至った要因及びそう判断した理由
・miHoYo通行証のユーザー名
・miHoYo通行証と紐付けしたアカウント
・miHoYo通行証の作成日時
・ゲーム内のニックネーム
・ゲーム内のサーバー
・冒険ランク、世界ランク、神像のレベル(風と岩)
・所持している原石数
・有償購入の履歴
・プレイをする際に使用した端末
PC版の場合は使ってるPCのスペックも聞かれる
OS:
CPU:
RAM:
ビデオカード:
・上記以外で過去にログインをしたことのあるすべての端末
・最終ログイン日時
・問い合わせしたゲーム(今回は原神)に初めてログインした年月日
・ゲーム内で入力した誕生日
・所持しているキャラクター
・所持している武器、聖遺物
・その他
などなどそんなもん覚えてねえって内容まで要求された。特に所持してる所持石や神像のレベル、武器や聖遺物なんて覚えてるプレイヤーがどれほどいるのか...
まあ購入履歴があるならある程度は不明でも問題ない。俺の場合眠気に負けて乗っ取られたと判断した理由まで不明にしてしまった(
ちなみにPayPalで課金した場合はPayPalのスクショでも問題ない。4割ぐらい不明でも本人確認できちゃったので購入履歴最強。
・ここでエピックから問い合わせに対して返信が。迅速なサポートのためアカウントに登録していたメールアドレス、ディスプレイネーム、アカウントに登録してる氏名、連携していたアカウント、アカウントID(30桁ぐらいのランダムなID、フォートナイトであれば設定画面の右端で見れるやつ)を要求された。アカウントIDがわからんかったのだが過去のインスタントリプレイに奇跡的に写り込んでいたためなんとかなってしまった。昔の俺マジで有能。
・エピックより返信。自分が持っている中で一番古い購入履歴を要求されたので間違いなく最古の購入履歴であるものを送りつけておいた。日時は省くがその後再設定用のメールアドレスを教えろと言われたので追加で返信。これで大丈夫だと思っていたのだが...
・エピック垢は順調に取り返せると思っていたのだがここで急展開を迎える。なんとCSから問い合わせ時のメアドと再設定先のメアドが違うと言われる。そんな馬鹿なと思い確認してみると返信先のメールがOutlookになっていた。おそらく前述の通りgmailの複数アカウントをまとめる設定で事故ったのだと思われる。事情を説明し返信。そしてこのタイミングでその普段使っていないOutlookにmihoyoから返信が来ていたことに気づいた。よくよく見ると問い合わせ時も返信先がoutlookの方になっておりそりゃgmailの方に来ないわなって納得。
というわけで設定変更して返信。原神の方はそのままOutlookで続行。
・原神の方は無事本人確認ができたらしく再設定先のメールアドレスとmihoyo通行証のユーザー名の希望IDを教えろと言われた。多分ユーザー名設定済みなら聞かれないはず。ついでにエピックからもメールアドレスの再設定完了との通知が。パスワード変更で無事取り返すことに成功。後は復旧作業とやらを待つのみの状態。
・原神の方はパスワードも再設定された上で帰ってきた。当然パスワードは改めて変更して無事完結。多分メール見逃してなけりゃもっと早かったと思う。アホだな俺。
エピックの方は一応いつでもアカウントにログインできる状況になったものの完全に復旧完了とは言えない状態だ(10/3時点)。とはいえ今回は原神のアカウントを取り返すことがメインだったのでこの先は多分書かないと思う。
改めて敗因をまとめると
- わけのわからんツールを実行したこと
- その後パスワードを変えるという対策を取らなかったこと
- その上パスワードを使いまわしていたこと
改めて書き起こすと間抜けすぎて笑える。ネット初心者かな?今回は購入履歴があったおかげで助かったがこれがなかったら多分詰んでたと思う。あぶねえ。今回の一件をきっかけにmodツール類にはかなり警戒するようになった。そう考えるとチーターたちは凄まじいメンタルしてるなと。UEFI上から実行するチートツールなんてやろうと思えばいくらでも情報抜き放題なわけだがよく入れれるなと思う。多分サブPC使ってるとかそういうオチだろうが。
話がそれたがまじでパスワード使い回さないようにしよう。この一件がきっかけでセキュリティについて考え直すことができたのはある意味よかったのかもしれない。今回やらかしてなくても近い将来確実に同じやらかしをしてそうだもん。
というわけでみなさんもアカウントを乗っ取られないよう最低でもパスワードを使い回すのだけはやめましょう。オチがクソですがこれにて。
面白かったぜ
返信削除原神で全く同じことなったけど課金履歴見せても本人確認承認されなくて泣いた
返信削除課金履歴だけではだめなんですかね...
削除進行状況についてもある程度詳しく書いておかないとだめかもしれませんね...
自分も数日前に不正アクセスされました
返信削除ですが自分はAmazon・原神・Epic・steam全部行かれましたよ
ですがすべてパスワードは使いまわしではないんですよね
Epicは2日くらいで戻ってきましたが
原神は1週間たってもまだ本人確認調査中らしい
(現在進行形)
でも調査フォームの内容が変わっていましたよ
聖遺物と神像レベルがなくなっていました
流石に聖遺物は覚えてる人少ないですよねぇ...
削除使いまわしてないのに全部とは...何かしらのスパイウェア(それこそこの記事のFPS Unlockerの類)が入ってたのかもしれないですね...
私も先程原神のアカウントを乗っ取られたらしく問い合わせてる最中です(;ω;)
返信削除私も28日頃乗っ取り被害に…問い合わせしてる最中です。
削除意外と被害に遭ってる人多いんですね...
削除ちなみにリア友に協力してもらって私のアカウントを見ると名前や聖遺物も変わっていて、フレンドも削除されてるとのこと...
削除全ての詳細を送りホヨバさんからの対応待ちです、私は友人と遊んでいる動画やスクリーンショットも一応送りました
削除今日メールボックスを確認すると「本人確認ができたので再設定用のメルアドを教えて」と来てました!皆さんのアカウントも無事に返ってくる事を祈っています!
削除おぉ!良かったです!おめでとうございます!良き原神ライフをお送り下さい!因みに私はまだ返信なしでございます…w
削除課金履歴、動画、スクショ、一部以外はほぼ確定で正確な情報も送ったのに本人確認されないんだけど😐
返信削除