記事作成・公開(約20時間) 2023/01/27
URL部分の画像化 2023/01/30
最近(2022-2023年)多発する「アカウント乗っ取り」フィッシングサイト誘導TELLについて
手段は「TELL」で届くURL
[重要!!] 絶対にURLにはアクセスしないでください。サイト自体にウィルスも仕掛けられている可能性が高く、非常に危険です!!
実際に届いたTELL例
内容としては「***m 抽選」+「URL」のTELLが届きます。「m」はミリオンの100万の意味で、おもにギル単位として使われるので中身としては『4億9千万ギル 抽選してますよ。URLはこちら』という意味合いで引っ掛けようとしています。繰り返しますが絶対にURLにはアクセスしないでください!
※TELLのプレイヤーネームは伏せています。このTELLを送ってきているのは「アカウントハック」に合われた被害者であることがほとんどです
フィッシングサイトは、公式サイトそっくりの「偽ページ」に繋がります
画像は正しい公式サイトのものですが、偽のサイトは公式のデータをそのままそっくり真似ている――というか本物のサイトから抽出したデータを利用していると思われるので、見た目からでは「公式サイト」との区別は付きません!
偽サイトでは「ログイン」を促される
偽サイトにアクセスすると「ログイン」を促され『あぁログインが必要なのね』と公式サイト見た目そっくりであるために疑わずに入力してしまうと、その瞬間アカウントが乗っ取られます!※偽サイトの作りも常に変化しますし、画像は公式サイトのものです。見た目は異なると思いますので、とにかく「ログイン」が求められたら警戒してください。
ちなみに偽サイトでログインすると「ページがありません」「ページは削除されました。」などの画面になるとのお話を見聞きしていますが、今は「その作り」であるだけで、本当の公式サイトに移動させたり、はたまた関係のないサイトや、それこそセキュリティが弱い方を狙ってウィルス満載のページに飛ばしたりすることもできますので「どんなもんかな?」という気持ちでアクセスして何らかの被害にあわれても何の責任も負えませんのでアクセスしないようにお願いします。
対策方法
方法1:うまい話はない(心構え)
今回は「◯◯m 抽選」という内容から(引退プレイヤーのバラマキかな?)(公式フォーラムっぽいし見に行くか)といった本人に都合のいい解釈を想像させるような内容で攻めてきていますので、そういった気持ちが少しでも湧いた方は注意しておきましょう。
方法2:URLは直接アクセスしない
もっとも『ギルもらえるぜ!ヒャッハー!』なんて考えてアクセスする人はまず居ないと思いますので、だいたいは「ただ単純にURL先を見ようと思っただけで…」「そういう乗っ取り方法があるとは知らなくて…」という感じで被害にあわれる方がほとんどだと思います。
URLも非常によく似せているので「ぱっと見」では区別が非常に付きづらくされています。今回のTELLのURLに関しては詳しくは後述しておきますが、単純に「URLに直接アクセスしない」が一番です。
方法3:ログインを促された時は、警戒度を最大にあげる!
気をつけていてもフィッシングサイトにアクセスしてしまうことが稀にはあると思います。なので「気がついていない時」にも気をつけたいので、ログインを促されたら【本当にここは公式サイトか】【直前にどこか別のページから誰かが書いたURLを経由して偽サイトに飛ばされていないか】を再確認する習慣を付けておくとよいです。特にURLを踏む時は【偽物かも知れない】ではなく【偽物だろう】ぐらいの気持ちで挑むのがベターです。
方法4:URLを精査する!
URLをよく見れば偽サイトだと分かります。今回で言えば「com」のうしろに「-jp.top」など余計なアルファベットが追加されています。
※記載されているURLには絶対にアクセスしないでください!
今回の例にはありませんが似たような他の方法で「分かりづらく」していたりすることがあるので、確認したと思っても確認が甘い場合もありえます。
例えば「i(アイ)」と「l(エル)」を交換したりしている場合は下記のようになります。
例えば「a(エー)」と「e(イー)」を交換した場合は
ぱっと見わからないですよね(*´ω`*)…なので公式サイトは「お気に入り」登録しておいて、普段はそこからアクセスするようにしておいたほうが良いです。URLを確認するのは非常に良い手ですが、油断すると引っかかることもあるので、確認したから安全!と思わないように( ´ー`)y-~~
「自分は大丈夫」と思っている人こそ引っかかりやすい
今回は「TELLでURLを送りつける」という手法なので、ある程度そういうことを知っている方は警戒できるので自分は大丈夫――と思っている方は更に気をつけておきましょう。今回はたまたま自分が「そういうことがある」と知っているパターンだったので大丈夫なだけで、相手も騙す成功率を上げる為にあの手この手で工夫してきます。
例)フレンドからTELLが届いた場合
知らない人からのTELLは警戒しますが、いつも遊んでいるフレンドからTELLが届いてしかもその文言が『 これ面白いからみて~ [URL] 』なんて自然な感じだったらどうでしょう?警戒出来る人もいるかもしれませんが、警戒レベルは下がるはずです。なのでフレンドからであっても「URL」に対しては警戒したほうがいい、と覚えておきましょう!特に今回のケースもそうですがアカウントを乗っ取られた方はフレンドリストに登録されている方など「繋がりのあるプレイヤー」にTELLを飛ばしている可能性が非常に高いです。そのほうが業者としては成功率が高いと思われますので、フレンドからURLが届いた場合は要注意です。
ただ業者もほぼテンプレート文章を流している状態なので、会話まで真似できるわけじゃないので「突然」URLがフレンドから届いた場合は「会話」をしてみましょう。多分返事をしてこないと思いますし、してきたとしても中身が違う違和感を感じるはずです。少しでも違和感を感じたらURLにはアクセスしないほうがいいでしょう(‘ω’)bグッ 登録しただけの放置しているフレンドさんの場合はスルー推奨です。
例)情や善意を利用する悪質なパターン
『 難病の支援を呼びかけています! [URL] 』こういった文言で伝えてくる可能性もなきにしもあらずです。方法もTELLではなくPT募集だったりするかもしれません。情や善意を利用してアカウントを乗っ取ってくるケースも考えられるので、これまた「URL」がある場合はフィッシングサイかもしれないと、ちらりと考えおくのは大事です。
※もっともPT募集などでこういったことを行うのは「ファイナルファンタジーXIV禁止事項」にある【パーティ募集掲示板の目的から著しく外れた募集を行う行為】に抵触すると思われますので、FF14に関係のないだと分かるもの、特にURLがあった場合はスルーしたほうがよいでしょう。
政治活動/宗教活動/営利活動/宣伝活動
「政治活動/宗教活動/営利活動/宣伝活動」は、ファイナルファンタジーXIVとは関係のない、現実世界での政治/宗教/商売などの勧誘、布教、宣伝といった行為です。たとえ、チャリティーなどの活動に関する内容であったとしても、ゲームプレイとは無関係であるため、禁止されています。
ファイナルファンタジーXIV禁止事項 より引用
例)自然を装うタイプ
『 みんなが集まる一大イベントを開催します! [URL] 』
『 助けてください! [URL] 』
『 FF14アンケートを募集しています! [URL] 』
この場合「一般プレイヤーの募集」なのか「業者のフィッシングサイト誘導」なのか判断がつきません。手っ取り早く簡単な判断方法としては直接TELLで「どんなものですか?」など質問してしまうのが一番です。ちゃんとした返事が返ってきて違和感のない会話でしたら、まず一般プレイヤーでしょう。TELLをするのは躊躇う場合は「LodeStone」などで対象のプレイヤーネームを検索して、その人の日記・LodeStoneのイベント&パーティ募集・Twitterなどで対象のイベントが見つからないかなど判断するのもいいでしょう。
一応補足しておきますが業者が「本気」で対応してきて会話も自然な感じを演出してきたら判断は難しいでしょう。もっとも業者も機械的にやっていると思われるので、そこまでのコストはかけてこないとは思いますが、頭の片隅にそういう可能性があることを考えておくのは大事です。
とはいえ「面倒くさい」「そこまで気にしてられないよ!」というかたは【リスクを承知の上で】URLを踏んでも良い……とは言えませんがまぁ大体の人はそうやってアクセスしちゃいそうかな…。ただその際にFF14アカウントでのログインを求められたら、ログインせずにそっとページを閉じましょう。こういったものは「疑い出すとキリがない」ので自分の中でリスクと利便性を天秤にかけて判断すると良いと思います。ただし自己責任ですよ!本当に!!
ワンタイムパスワードは必ず導入しよう!
『ワンタイムパスワードが突破された!』みたいな話がたま~~に見ますが、ワンタイムパスワード自体は突破されていませんよ!(ヾノ・∀・`)ナイナイ 自分しか分からないはずのその瞬間の一時パスワードを「業者のフィッシングサイトに入力した」ことが問題なのであって、ワンタイムパスワードは依然として強力です。っていうかワンタイムパスワードが突破されるなら金融機関とか狙われて、世界の経済が崩壊する大問題になりますよ( ´ー`)y-~~HAHAHA
2013-2014年の発売当初、ワンタイムパスワードを導入していないプレイヤーが多数、アカウントを乗っ取らて業者BOTと化したことがありました。これは簡単なIDとパスワードを設定している方が総当たり攻撃(ブルートフォース)で乗っ取らっれたケースと、同じIDやパスワードを使いまわしてしまっている方が乗っ取られたケースなどが考えられます。※別のサイトなどから流出したIDとパスワードを業者が入手し、それを元にログインできるアカウントを見つけ出されるなど
自分のワンタイムを教えてしまうフィッシングサイトは防げませんが、総当たり攻撃(ブルートフォース)やID・パスワードの使い回しによるアカウントハックは、ほぼ確実に防げるようになります。大事に育てたキャラクターなどがある日突然乗っ取られ、自分のキャラが業者BOTと化して、自分のキャラはおろかフレンドやFCの共通財産であるギルまで被害にあったり、業者にFCメンバーを全員除名されてFCコミュニティが崩壊することも起きているようです。特にIDやパスワードを使いまわしている方は残念ながら非常に多いのでそういった方はワンタイムパスワードを導入することを強く強く推奨します。
ワンタイムパスワードを導入するには、下記リンク先をご確認下さい。
導入するとテレポが1箇所無料になる!
運営も導入を促進するためにゲーム内特典として「任意のエーテライト1箇所がテレポ無料」に設定できます!ヽ(=´▽`=)ノ もちろん無料エーテライトの変更もゲーム内でいつでも可能です。
ゲーム内で受けられる特典について
ワンタイムパスワードを使用してログインした場合、ゲーム内の任意のエーテライト1つを「お気に入り(無料)」として登録することができます。「お気に入り(無料)」として登録したエーテライトは、テレポ使用時の消費ギルが無料(0ギル)になります。
「ワンタイムパスワード」のトークンに、各種認証アプリを利用可能に! より引用
導入したら「強制解除パスワード」を必ずメモしておこう!(必須)
ワンタイムパスワードが登録されたスマートフォンを紛失したりなど、何らかの理由でワンタイムパスワードが確認できなくなった際は、ワンタイムパスワードを自分で解除する必要がでてきます。その為には「強制解除パスワード」が必要となり、ワンタイムパスワードを使ってログインできる間にその「強制解除パスワード」をメモしておく必要がありますので、登録したら忘れずに「強制解除パスワード」を手帳などにメモしておきましょう!手順は下記の通り
1.スクウェア・エニックス アカウント管理システムにログインする
2.表示されている「強制解除パスワード」をメモする
ちなみにですが、アカウントが乗っ取られて業者側で新たなワンタイムパスワードが設定されていて、どうにもこうにもならない!という場合には「本人確認」が必要となってきます。身分証明証の提出だったりと非常に時間と手間がかかります。さらにまた結婚して姓が変わっているなど、登録された氏名と異なる場合などは更に手間がかかりますので、そういった事情がある方は余裕のある内にサポートに問い合わせて対応を済ませておきましょう。
スマホの紛失など、業者に乗っ取られていない場合は「強制解除パスワード」だけで事足りますので、万一に備えてメモだけは忘れずに!
情報の共有をして業者に「割が合わない」と思わせよう!
こういったお話は把握されている方が増えれば増えるほどより安全となりますので、この記事を見て少しでも参考になったという方は記事の共有をしていただけると助かります。特にコミュニティを運営されている方や、FCのチェストのアクセス権・除名権限を持っている方はFCが崩壊することに繋がりかねません_(:3 」∠)_ 被害にあわれた方も自分だけならまだしも「コミュニティを解散させるに至った」となればそれが原因で引退してしまってもおかしくない話です。
FF14のスペシャルタスクフォース(※1)も可能な限り対策と対応を続けていますが、それもユーザー側のセキュリティ意識が土台となっています。その土台が大きく頑丈であるほど被害が少なくなり、運営も別の対策に時間と割けるようになり、業者も「FF14は割が合わない」と手を出しづらくなりますので、この記事をLodeStone日記・Twitterなどどこでも構いませんので、共有していただければ幸いです。(人∀・)タノムゼ!!
※1:不正行為対策、チート行為の調査・取り締まり、RMT業者の摘発、不正アクセスに遭った被害者救済活動などを行っているチームのこと
一番下にあるコメントも出来れば是非!
↓イイねも忘れずに(/ω・\)チラッ
感想・応援コメント(匿名可)