[全体] 持続するエンチャントハッキング原因と予防法は何か?

エンチャントハッキング被害続出.. 原因は何か?

エンチャントハッキング = リネージュユーザー達のアカウントを盗用, キャラクター内衣装備をエンチャントして蒸発をさせてしまう方法.

エンチャントハッキングの方法はリネージュユーザー達のアカウントを盗用してキャラクター内衣装備をハッキング犯補助キャラクターとアイテム買入現象を演出するために安い値段に越す. ハッキング犯のもう一つの補助キャラクターにあるアイテムをハッキング中のキャラクターで高い値段に購買する現象を演出した後差額を一定量の差額を残してハッキング内訳の跡を無くすために高い値段に購買したアイテム多数をアカウント盗用対象キャラクター内でエンチャントするのだ.

が同じ巧みな手法はゲーム社でアカウント盗用事実有無確認手続きに "ユーザーがアイテムエンチャントを試みたという現象"ウロしか見えない. このような方法でハッキングにあって ゲーム社に問い合わせるようになれば  "お客様のキャラクターでエンチャント試みに失敗したことで確認されてエンチャントに失敗した装備は復旧が不可能なアイテムです." という返事を受けるようになる.


アカウント盗用とアイテムエンチャントに対するゲーム社の調査経路, 判断基準はわからないが, このような方法は周辺でそれぞれ異なる名医になったアカウントを通じて故意的に行われて来ることができるし, アイテムエンチャントはリネージュ文化で長い間席を取って来ていて アカウント盗用とアイテムエンチャントに判断基準設定に困難があることで見える.

去る大規模エンチャントハッキング事態以後最近ユーザー達のハッキング被害事例は絶えず持続して来たが, 最近 7月~9月の間エンチャントハッキング及びアカウント盗用事例が急増する事例を見せている. 

ゲーム賞で自分のお持ちしたアイテムは時間と努力の結実と同時にゲームで使うことができる唯一の道具だ. このようなアイテムをハッキングというのを通じて限り瞬間に失うようになったら倦まず弛まずして来たゲームをプレーすることができないだけでなく  ゲームプレーの意欲喪失を含めたさまざまな副作用が後に従うでしょう.

[台検察庁掲示板に年祭されたハッキング被害事例]

アカウント 盗用を通じるハッキングサリェウで 悔しさを訴えるユーザー達の被害 事例には持続的に伝達しているし, 被害事例が急増するによってリネージュハッキングに対する原因は何でハッキングを予防するためにはどんな方法があるのかハッキング予防法を調べた.

◆◆  ハッキングはどんなに成り立つか?

代なのハッキングに主に使われるファイルはウェブサイト上でダウンしたファイルの実行ファイルの中に楽聖コードを挿入させて配布してファイルの実行と同時にハッキングプログラムは自動で作動する方式だ. この過程で自動的に生成されるファイルは現在まで発見されるの(知られるの) ないプログラムだからウイルスチェックプログラムと 楽聖コードチェック プログラムでも 把握することができない.

ウイルスチェックプログラムと楽聖コードチェックプログラムが設置されている公共場所だとしてもキログハッキングとバックドア(※バックドアは主にシステムが故障した場合システムを直接接続して入って来て点検するように夏期 ために特定アカウントを開いておいた 原理だ.)は専門的な知識を持っていると見つけることができる. キログとバックドアは実行されているファイルたちを逆追跡真書見つける方式でリネージュをプレーする一般ユーザー達が簡単に捜し出すことができない.

ウェブサイトを通じるハッキング方法は方法ハッカーがウェブサイトハッキングしてハッキングしたウェブサイトで楽聖コードを植えておく. (ハッキングファイルをダウンロードするように誘導する楽聖コード) ハッキングファイルはウィンドウ実行時自動で実行されている途中 " リネージュ " などのゲームが実行されればキロギングを手始め, アイディーと Passwordが入力された内容をキログプログラムで保存してあらかじめ設定されたこのメールアドレスに保存されたアカウント情報を発送することで成り立つ.

ハッキングに対する例で 9月 5日には国内の指止めり数える音楽サイトの中にひとつのバックスがハッキングにあってこのサイトに接続すれば楽聖コードであるトロイに感染されて接続したユーザーのすべてのゲームアイディーとパスワードが流出された事件があった. ユーザー達の個人情報が流出されながらゲームマネーの商変身的価値が高いNCsoftのリネージュと NHNゲイムスの R2 日付使用者たちのアカウントが盗用される被害が発生された.

アイディーとパスワードが送信された所は IP 追跡結果中国に明かされたと言って, 専門的な中国人ハッカーたちの所作で見当がつくによって, 一部リネージュユーザー達は中国側にリネージュ作業場が盛んそうに "リネージュ, R2 ゲームマネーの商変身的価値を利用してこのようなハッキングを通じてリネージュ エンチャントハッキングのみを 専門的に施行する作業場も盛んであること"とハッキングに対する技術と経路が緻密になって行くと憂慮したりした.


現在インターネット上で存在するウェブサイトたち 中でも楽聖コードに感染されたサイトがあり得るのに ハッキングに対する予防法などが強調されなければならない実情だ.

◆◆  アカウント盗用事態に対するゲーム社の対処.. アイテム復旧可否不透明だ?

■ NCsoft, 2006年 9月 20日から保安パッチ強制適用

ゲーム社は 9月 20日から某音楽ポータルで楽聖コードが流布した事件と持続するアカウント盗用事態に 被害事例が上昇することを憂慮して NCsoftの既存保安システムと新設される保安システムの積極的活用を頼んだ. 適用されるNCsoft保安パッチは MS社の 最新ウィンドウ保安アップデートを気難しい設置手続きなしに一度のクリックで各個人の PCにアップデートが成り立つ方式で, ゲーム接続時あらゆる ユーザー達に 強制適用される予定だ.

この以外にも, その間リネージュ I で活用した 'リーンOTP' システムをリネージュ IIで拡大することと同時に各ゲーム別に復讐のアカウントにも 適用, 本人認証 システムなどの追加で 效用性が大幅に強化された 'NC OTP' システムを取り入れた. しかしアカウント盗用被害を被ったユーザー達はアカウント盗用の調査及びアイテム復旧可否などの措置が不透明だと ゲーム社の安逸な対処に不満を申し立てている.

◆ リーン OTP サービス, NC OTP 開発の中でサービス中断問題申し立て.

最近有名音楽サービス変身社サイトなど一部保安が脆弱な外部サイトを通じてオンラインゲームのアイディーとパスワードが漏出された事件に対してNCsoftは既存の 'リーン OTP' システムを強化して NC OTP サービスを開発したと明らかにした. しかしサービスするまでの開発過程の中で OTP サービスは中断になった.

◆ アカウント盗用事例は キャラクターで雨正常なアイテムの移動 内訳が判断の基準?

エンチャントハッキングはその間持続して来たにもかかわらず被害を被るようになればユーザー達はゲーム社にハッキング申告及びお問い合わせをするようになる. しかしゲーム社での返事は "顧客の申告内容を調査して見た結果届けたアイテムは顧客のキャラクターがエンチャント失敗して損失されたことで確認された." という固定的な返事を固守して来た.

アカウント盗用の調査過程は雨正常に移動されたアイテムを追跡して関連アカウントはサービス利用を制限して回収可能なアイテムに対しては申告者に返してやることを意味するのだ. ハッキングは雨正常な方法でアカウント接続を試みて成り立つことの ?門にハッキングお問い合わせ時調査過程で接続経路及び緻密な構成ではないアイテム追跡と復旧可否にだけ重点を置くというのだ. これはハッキングにあったユーザー達に説得力がない根拠としてゲーム社のネーム・バリューに影響を及ぼす部分だから見える.

◆ OTP サービス利用不可能だったら封印スクロール 代替使用時  クエストアイテム露出.

クエストアイテムは封印にならなくて, ハッカーのハッキングアイテムで 露出になっている. このクエストアイテムはただ一度しか受けることができないことにも蒸発して, 多くのユーザー達の心を痛くしている. 勿論, 上の内容も ゲーム社でもう認知しているブブンイムで関連 問題点は去る 05年 10月頃プレーフォーラムの報道を通じて指摘したが全然アップデートしなかった.

◆◆  リネージュハッキング防止法にはどんなものなどがあるか..?  

1. 現在配布されるリネージュ不法プログラム  及び  "スキン" を受けて設置することを 絶対的に禁止する.
2. OTPがなければ 家でも ハッキングに安全ではない. 封印スクロールを利用したくなければ(できるだけ必須使用勧奨) NC OTPでも必須で使う.
3. ゲーム実行の前に安全のためにウイルスワクチンプログラム及び楽聖コードチェックプログラムを行う.
4. 携帯電話のない利用者は封印スクロールをすべてのアイテムに 必須で使う.
5. 公共場所及び PC部屋でゲームプレー時アカウント管理 (安全な場所で Password 変更)をする.
6. 銀行保安システムを行った後リネージュに接続すれば安全だと思ってゲーム社で提供する保安サービス利用をそっぽを向かない.

一般的にハッキングは 100% 根絶が不可能な要素だと認識されている. リネージュをプレーするユーザー達中 "私は家でのみゲームするから 封印注文で米使用と OTP システムを使わない." ということは自分のアカウント情報を誰よりも大事にして管理する姿勢だと見られない.

リネージュを含めて広範囲なサイバー空間は いつもハッキングに露出になっているという事実を認識して, ハッキングに予防することができるシステムを積極活用することをお勧めして, 現在施行中のリネージュゲーム内の封印スクロールをアイテムに必須に使用を勧奨して, システム上クエストアイテムは封印されることができないから リネージュユーザー達は NC OTP システムの活用をお勧めする.


(※ 他人のアカウントも本人名義になった携帯電話で OTP サービス利用が可能だ. NC OTP既存リーン OTP システムで安全性のために "本人認証システム" この追加されたこと.)

ハッキングを通じる被害が持続するによってゲーム社は NC OTP使用を積極お勧めしている. NC OTP システムの利用に先立って NC OTP システムの機能を詳らかに知らせようとNCsoft OTP 開発チームとインタビューを進行した.

Q. NC OTPは何なのか一般的に説明してくれ.

NCソフト保安チーム : OTP 増えた ‘One Time Password’ の弱者だ. 一度使って廃棄する ‘パスワード’ という意味だ.

パスワードは露出してはいけない情報と思ったから, パスワードは入力過程からネットワークに送信される過程まで誰か見られないようにするのが認証技術と連関された人々において第一の目標だった. 認証に使うすべての値段たちはいつも不変な構造になっていて, その不変な値段たちはいつも再使用が可能なので見えないようにするのが保安の目標だったことだ. しかしそれに対する技術的限界状況がずっと発生するようになったし, それに対する解決のために一種の ‘発想の転換’ が起きるようになる.

不変な情報を見せないようにすることに対する焦点で, 見られても可変的な情報をログインに使うことができないかと思う. 一種のパラダイムの変化と見られる.

認証に使う現在のログインシステムはパスワードの大部分が使用者自分の身の上情報を基盤として作られる ‘不変な情報’ を基盤で生成するから, パスワードを狙う攻撃者が敢えてコンピューター技術を持っていないとしても, オフライン上で確保することができる個人情報だけでも一個人が使うパスワードに対して一部類推ができる. (これを ‘ソーシャルテクノロジー的ハッキング’ というのに伝説的なハッカー ‘キャビンミトニック’ は一番效果的なハッキング技術だから話す.)

そしてその類推されられた情報はいつも再使用が可能だ. 現在までパスワードハッキング等に対する問題の本質が ‘再使用が可能な不変な情報’ 万をログイン手段に使うということで見たら, 可変する情報’ をログインに使うことだけが解決策になることができるという状況的論理を思うことができるようになるのだ. それに対する実践が OTP と思えば良い.

Q. NC OTPの認証方式はどんなに成り立つか?

NCソフト保安チーム : 使用者携帯電話ローカル上で NC OTP をプログラムを行うようになれば現在時間に使うことができる OTP 値段 8桁を生成してくれる. 携帯電話上で OTP 生成過程で通信(油/無線) 銀絶対成り立たない. 使用者はプログラムで確認した 8席の OTP 値段をリネージュログインページの NC OTP 入力欄に入力するようになる.

使用者から入力受けた OTP 価格はサーバーに伝達すればサーバーは該当の使用者の現在 OTP 値段を生成するようになって入力受けた値段と比較をするようになる. 使用者が入力した OTP 値段とサーバーが演算した OTP 値段が等しければログインになることができるようにしている.

Q. NC OTP システムを取り入れて他の企変身 / 公共機関など利用している例を入ってくれ.

NCソフト保安チーム : OTP という言葉が少し疎くはあるが, その概念は私たちが暮して来ながら一回(番)ほどは接して見られた概念だ.

軍隊に行って来た人々は軍で毎日毎日変えて使う ‘アムグオ’ が OTP と同日韓概念なら簡単に理解ができるでしょう. ‘アムグオ’ が毎日 12時を前後に伝達することに比べて, OTP 増えたその生成与えるのがもうちょっと複雑な構造を持っていると思えば良い.

OTP(One Time Password) 技術はそのパターン生成において数学的な暗号化理論を基盤で作られる. 高次元的な数学理論を通じてその安全性を保障しているから認証ペロダなので最適な技術者のだ. 国内インターネットバンキング振込み時使っている ‘保安カード’ が原始的な OTP と思えば良い.

.

35個位のランダムした数字があるカードを使用者に発給して, 振込みの時使用者に特定番号の数字を入力するようにする保安カードはパスワードを 35個の中でがランダに使うという点で OTP と言える.

しかし去る 2003年にあった銀行現金カードパスワード流出事件やホンベンキング引き出し事件を含めて 2005年 6月にあったインターネットバンキング預金引き出し事件まで電子金融取り引きの本人確認装置に対する問題が発生するによって OTPを利用したもっと強化された保安に対する必要性が増加されたし, 去る 9月金融監督院, 情報通信省でも電子金融取り引き安全性強化対策を通じて長期的に OTP 導入を進行している. 現在企変身バンキングではハードウェアトークン形式の OTP 媒体を基盤とする OTP 認証システムが導入している.

一部海外銀行(citi bank, HSBC, Bank of America など)で特定顧客に保安強化のために OTP プログラムが搭載されたハードウェアを普及してからはあるが, 現在まで OTP 認証システムはイントラネット(男認証システム) を中心に適用になったと見られる.

NCsoftがお目見えした NC OTP システムはモバイルを基盤としているし, 不特定顧客を対象で使い捨てパスワード認証システムを運営するという点でその間全世界どの所でもお目見えしないシステムを取り入れたのだ. 最高保安水準を取り揃えている国内銀行よりも 1年以上を先立って取り入れたのだ.

Q. NC OTPを利用しながら気を付けなければならない点は何か?

NCソフト保安チーム : NC OTP 増えた加入後 OTP(パスワード) 生成過程ではどんな通信もしない. また既存携帯電話決栽等に使う SMS 認証のように別途の SMS を発送しない. SMS 増えたプログラムダウンロードを簡単にするための手段で提供されるのだ.

一部使用者たちの場合ダウンロードするために発送した SMS を実行させて OTP を行っているのに, NC OTPは移動通信社の携帯電話プルレポム (SKVM,BREW, KVM, WIPI) にアプリケーションで設置されることなので各携帯電話のコンテンツ行う所を通じて NC OTP を行わなければならない.
 

Q. NC OTPはどんな主旨で導入したか?

NCソフト保安チーム : nProtectとウィンドウパッチサービス, エムコントロールを通じて保安に万全を期しているが顧客たちがより一層安心してリネージュを楽しむように多様な保安システムの導入を検討している.

OTPは 100% 身近にハッキングが不可能なことに検証されたシステムだ. 実際に OTP使用者の被害事例はほとんどないと見ても構わない位だ. なるべくリネージュすべての顧客たちが OTP を使ってアフターケアだけではなく辞書予防にも万般の防御体系を構築したらと思う

Q. NC OTPの開発過程に対して手短に言って違う. (原理)

OTP 値段生成に使われる技術は '数学' を基本にする. ハッシュ関数(イルバングヒャング関数) 演算が基本的に使用になるのに, ハッシュ関数と言う(のは)?  逆演算が不可能な修飾を言う.

もうちょっと説明しようとすると, ハッシュ関数と言う(のは)任意の永遠にビートストリーム(Pre-Image)を固定された長さの出力値段で含む関数を  イルバングヒャングハッシュ関数または簡単にハッシュ関数と言う. 誰でもイルバングヒャングに対するハッシュ値は計算することができるが, そのハッシュ値に対する元々内容を類推するとか等しいハッシュ値を作ることは computation infeasibleという数学的命題を基盤とするという話だ.

イルバングヒャングハッシュ関数は入力ビートストリームでただハンビトだけ変わってもハッシュ値の全然違った結果が発生する. また役方向計算がとても難しくて等しいハッシュ値を持つようにメッセージの上, 変造がとても難しいから collision free (二つの pre-imageが同じハッシュ値段を生成するというの)が現実的にほとんど不可能だ. 使用者が入力する 8席の OTP 値段を 100個, 200個獲得しても次に発生する 8席の OTP 増えた ‘わからない’と言うのだ. 

NC OTP に使われるハッシュ関数は全世界の数学者, 科学者たちがもう検証を一 SHA-1(アメリカ国家標準ハッシュアルゴリズム) イランアルゴリズムを採択使っている. NC OTPは OTP 値段を生成する過程でハッシュ演算過程が多くの段階で複雑に使っているのに, ハッシュ関数の性質を  理解する人なら暗号解読が ‘不可能だ’ ということは正しく理解することができる事実だ.

使用者携帯電話ごとにそれぞれ異なるようにセッティングなる Identifier 生成する段階からハッシュ演算は使われる. またログインする度に生成する OTP 価格は  プログラム実行時特定領域の値段を参照で多様な変数たちの  組み合わせた結果をハッシュ演算を n回(番)遂行した後得られるようになる. 修飾で表現しようとすると, 次のようだ.

Random N = [特定領域値段 | 現在時間補正値 | 生成要請回収] OTP = Random N で 8個の数字を抽出した値段 '12344321' であるという OTP 値段と現在時間が分かっていても特定時間に使うことができる OTP 価格は複雑なそして駅演算が不可能な数学演算遂行しなければならないので ‘分かることができない’という結論を下すことができるでしょう..

8桁の数字だから, ‘Brute Force’ 攻撃にならないか? 結論から言わば ‘NO’ である. NC OTPの有效時間は 1分を基本にしている. 理論的に 1分以内に 00000000~99999999 回(番)の値段を代入することができると Brute Force 攻撃が成功することができる.

高性能のシステムを利用して高速で 1分以内に攻撃者が数字を順次に大学入学試験して見ようとする場合が発生することができる. しかし現在の OTP システムは 1分間最大 90,000回(番)認証要請に対してだけ受けてくれている. 

数学的に考えをすると言った時, 1分という時間的制約状況で ‘Brute Force’ 攻撃を通じて 8席のパスワードを合わせるということは 9,000/100,000,000 = 0.0009 % 確率しか出ない.  

1分が経つようになればすべての状況は初めに動く. 攻撃者は変更された時点に生成される OTP を捜すためにはまた 00000000~99999999を入力しなければならない. 累積演算は無意味だ. 

もちろんこれは攻撃者が最適の攻撃環境を取り揃えた状況での確率であるだけだ.現実はそれよりもっと確率が低くなるので, 攻撃成功確率は 0% にほとんど近接するようになる.

コンピューターにインストールしたプログラムはリネージュしかないが.. 大丈夫なの?

アカウント盗用被害事例発生時 ゲーム社とユーザー間の主張が行き違ってユーザーとゲーム社の間も谷は深いだけ深くてアカウント盗用のためのキャンペーンとサービス導入時ゲーム社の主旨に不満をガッヌンユーザー達もかなり多い数存在する. これは, アカウント盗用被害事例はおよそずいぶん前から存在して来たがゲーム社の返事はいつも等しい主旨でユーザー達に通報されて来たから始まったことだから見える.

エンチャントハッキングはかつてから持続して来たがその過程はますます緻密になっている. ここにゲーム社ではアカウント盗用被害予防 目的に封印スクロール導入, エムコントロールサービス, OTP サービスを取り入れたが切なくもリネージュ利用者全体ではない一部ユーザー達だけがアカウント盗用被害予防を好んでいることに推測される.
 

持続している アカウント盗用被害事態は最近オンライン文化の急浮上による保安性にも問題が存在しているからユーザー達もゲームをプレーするための環境の点検と徹底的なアカウント管理でハッキングを通じる不利益発生に備えを しなければならないでしょう.  

ゲーム社では持続するハッキング事態に関してユーザー達が信頼し得る水準の情報を提供して持続的な公知を通じてユーザー達が信頼し得るようにゾツィしなければならないでしょう. また大部分のユーザー達はずいぶん前から "リネージュスキン"を使っているので, アイテム大きさ等ユーザー達が不満足する大衆的要素に対しては改善案を検討して見る必要があると見える.

終りにオンライン賞のすべての使用者たちはいつもヌグドンジハッキングに露出することができるということを認識してユーザー達は徹底的なアカウント管理を通じる不利益発生に備えることをもう一度強調して, リネージュプレーフォーラムはエンチャントハッキングで運営上被害者たちに適用されるNCsoftの対策を見守る予定だ.