ドラゴンクエスト10 ログイン制限でパスワードリセットを強制される
2012年10月3日(水曜日)
ドラゴンクエスト10 ログイン制限でパスワードリセットを強制される
公開: 2012年12月10日14時5分頃
ドラクエ10 (www.amazon.co.jp)
実は昨日にこういう案内が出ています。
なお、不正アクセス被害の防止策として、不審なアクセスを検知した場合にログインを制限する仕組みを、2012年10月2日(火)に導入いたしました。※セキュリティ上、アクセス検知方法の詳細は説明を控えさせていただきます。
このシステムの導入により、お客様のログインが制限されてしまう場合がございます。もし突然ゲームへのログインができなくなった場合、以下の通りパスワードの再設定をお試しいただくことで再度ログインできるようになります。
以上、[重要]不正アクセス対策に関わるご協力のお願い より
Wii本体が変更されたり、アクセス元のIPアドレスが変わったりすると「不審なアクセス」とみなすのでしょう。私は会社からのゲストログインを利用していますので、力強く制限されたわけですね。
で、メールをチェックするとこういうメールが来ていました。
[スクウェア・エニックス アカウント]ログイン制限のお知らせ
スクウェア・エニックス アカウント管理システム
http://account.square-enix.com/
-------------------------------------------------------
本メールにお心当たりのない場合は、お手数ですが本メールの破棄をお願いいたします。
スクウェア・エニックス アカウント管理システムをご利用いただきまして、ありがとうございます。
お客様がログインされたスクウェア・エニックス アカウントの接続環境が変化した、もしくは不審なアクセスを検知したため、ログインが制限されました。
ログイン制限を解除するには、以下の手順に沿ってセキュリティ対策とパスワード再設定を行ってください。
1)下記のFAQを参照しセキュリティ対策を行ってください。
http://support.jp.square-enix.com/j/kb56818
2)下記のURLをクリックしてパスワードの再設定を行ってください。
https://secure.square-enix.com/account/app/svc/rsmreminder?id=***e***a***b********fa**ec*****d
※URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください。
※パスワード再設定のURLは一度設定が完了すると無効となります。
ログイン制限についてご不明な点は以下のURLをご参照ください。
http://support.jp.square-enix.com/j/lb
そしてこのURLをクリックすると、パスワードの再設定ができます。旧パスワードを入力させられるでもなく、追加の情報を入力させられるでもなく、その場であっさり変更できます。
つまりこういうことです。
- ユーザーがパスワードリセットの意思を持っていないにもかかわらず、知らないうちにパスワードリセットメールが送信される
- パスワードリセットメールは平文で送信される
- メール中のURLをクリックすると、追加情報の入力無しでパスワードリセットが実行される
メールには「本メールにお心当たりのない場合は、お手数ですが本メールの破棄をお願いいたします」と書いてありますが、破棄せずにURLをクリックされたら、あっさりと任意のパスワード設定できてしまうわけですね。
本来、このようなアクセス制限をする場合にパスワードをリセットさせる必要はないはずです。追加のトークンを発行して認証するなど、もっと良い方法があるでしょう。ただ、何らかの理由でそういう準備ができなかったために、今の仕組みのまま最小限の対応をしたというところなのだと思います。
現状のこの仕組みは望ましいとは言えないと思いますので、早期の改善に期待したいところです。
- 「ドラゴンクエスト10 ログイン制限でパスワードリセットを強制される」にコメントを書く
- 前(古い): ドラゴンクエスト10 その28
- 次(新しい): ドラゴンクエスト10 その29
