B氏の気まぐれFF11日記+1

ヴァナ内での金策のみでは十分な利益を獲得できなくなってきた為なのかはわかりませんが、既に皆様もご認識されている通りFFプレイヤーのIDとパスを不正な手段で獲得しそのキャラの高額装備品等を強奪、場合によってはキャラの削除まで行う事例が増加傾向にある模様です。

対応策等については、以下のブログは参考になると思われます。
マイケルのゴブ紀行様

当方でも、追加の対策としてURL欄にhttp://の文字列を書いても受け付けない状態にして事実上機能させないようにしました。
また、コメント本文中もhttp://の文字列を表示させないような対策も行いましたが、更に万が一コメントに載った場合についても、オートリンクは発生しないよう設定しました。

【セキュリティに関する意識について】
今回の被害増加を受けてセキュリティに対する意識をし始めたFFユーザも多いと思います。
しかし、実のところこの手の事例はクレジットカードや、その他諸々のアカウントで発生している至極ありふれたものと言って過言ではありません。
FF11がIDやパスを抜く新たな対象として業者等に認識されただけという事です。
包括的なセキュリティ対策を実施するようにしてください。
最悪でもノートン先生やウィルスバスター等に代表されるセキュリティ対策ソフトの導入は必ず行うようにしてください。
また、PCの利用についてもある程度自主的なルールを定める事をお勧めします。

最も効果的なのはインターネットにアクセスしない事ですが、流石にそうもいかないですね・・・

もう少し緩くするならばWEB巡回するPCを限定し、それ以外では利用しない、もしくはUPDATE等特定の作業を行う信用できるURLのみにアクセスするにとどめるとかね。
これでも利便性は大きく減少するので微妙ですが、被害が限定されるので影響を最小限にとどめられます。
ちなみに、「FFを入れたPCでWEB巡回をしない事」ってのはFF以外のことにPCを利用する人にとってはあんまり良い対策ではないと思います。
他の情報が抜き取られる可能性は残っているからね。

また、家族であってもその利用については十分に注意喚起すべきです。
俺の前の上司が、息子が勝手にPC使ったり、ゲームをインストールしたりするのを非常に危険で困るとかぼやいていたのを思い出します。

他にもファイル共有ソフトを使っている人。
ソフトの是非は兎も角として、事実共有ソフトを利用した情報の漏洩は後を絶ちません。
例えば、IDとパスワードのメモを書いたファイルなどを保存していたとして、そのPCがウィルスに感染してそのファイルを流出させてしまったら・・・

アンダーグラウンドのサイトを巡回する場合も危険だと思います。
自分はあんまその辺は見ないんで殆ど引っかかった事はないですが、初めてブラクラ踏んだ時はかなりびびりました。
もっと危険なものもあるので、注意しましょう。

近寄らないのが一番なんだけどね。

インターネットでのこうした被害は、犯人を見つけ出すのが非常に困難で、尚且つ犯人を特定できても、それは国外の人間だった・・・・
なんてことはザラで、その罪を問う事が事実上不可能に近い状況です。
その為、こうした事例は後を絶たないし、また、被害にあってもそれを補償されないケースもあるため、予防策を施す事が第一です。

【過去の事例】
過去、FF11における国内の事例で、知人のIDとパスを知ってしまった人物が、知人の装備品等を勝手に処分、キャラ削除をしてしまったと言うのがあるようです。
結果は、IDとパスを不正に利用されたのはユーザではなくシステム管理を行う■eが被害者とされ、実際にアカウントを利用していたユーザ(犯人の知人)は被害者とは認定されませんでした。
被害届は被害者が出すものである為、ユーザからの警察への通報では被害届を出せず、事件化が出来ないという事だったようです。
また、■eとしても当該事件については被害者の立場である事、被害者に対する巻き戻し等は行うつもりが無い事を明らかにしているらしいです。
（ちょっとソースは失念したので、その辺見つかれば展開したいと思います。）

サービスの観点として巻き戻しを行わない事の是非については緩くして欲しい気もしますが、何を以ってプレイヤーが被害にあったと証明できるか、と言われるとなかなか難しいでしょう。

接続元が普段のIPアドレスと違うとか、POLのパスワードが変更されたからといって、それが被害に直接つながる訳ではないので、それだけが証拠とは言えないでしょうし・・・
その不正ログイン後のキャラクターの動きを追跡して、高額装備や金銭の流れを特定する事も不可能ではないでしょうが、その動作自体も不正ログインである事を証明する事は困難と思われます。(逐一追えば怪しいと言える可能性はありそうな気はしますが・・・即座に確認はできなさそうな気がする。)

例えば、俺が全く別の住所や名前とかを利用して新アカウントを幾つも作って、元のキャラのPOLのパスワードを変更した後、全く異なる知人等や新アカウントを何度も経由させて高額アイテムを全部移管したとする。
その後、元のキャラに戻って「被害にあいました。」と報告して被害を偽装できるかもしれない。それによって巻き戻しを受ける事ができ、しかも他のアカウントに移管した装備を売るなどしたら・・・
人によっては一気に数億ギルを稼ぐ事になりかねません。

つまり、確実に不正ログインである事の証明が無ければ、巻き戻しサービスを適用する事自体にリスクが生じる為に迂闊に導入できないと言う訳ですね。(システムからみたら正当なログインな訳ですし。)

システム側で証拠が見つけられないとすれば、警察のような公的機関がユーザの被害を認める事が必要ですが、先の前例のようにそれが出来ない(被害者はあくまでも運営会社であり、運営会社はその被害を検知する事が困難)である事からその方面からでのサポートも期待できない、と。

だから、感情論を抜きにして考えれば本問題に対して■eが何も補償しないというのは妥当な措置だと思うのですよ。しないと言うよりは出来ないというべきでしょう。
(逆に、被害証明が出来れば補償するべきと思います。)

【管理責任について】
不正アクセスを行う側が悪いのは間違いないのですが、IDやパスワードの管理については払い出しを受けた本人が管理責任を負います。
よって被害を受けた場合その責任は管理者自身にあり、運営元(今回のケースでは■e)は、管理者側の管理不備により被害を蒙った側と言えます。
恐らく、上述の例で警察が被害者が■ｅとしたのもそういった事由でしょう。
そのような観点から言っても、我々が予防策を意識する事が必要なのですね。