ハンゲーム垢ハック検証

友人がハンゲームでアカウントハックを受けたので情報をポストします。携帯機種変するときは気を付けてください。
0
@Bernie_Mince

【ハンゲーム垢ハック検証】 友人が垢ハックされた原理がおぼろげにわかったので公開します。連投ご容赦下さい。

2012-07-22 09:27:24
@Bernie_Mince

【ハンゲーム垢ハック検証】 前提知識:1.ハンゲームにはワンタイムパスワード制が導入されており、ユーザ設定により有効化されている場合ID・パスワード入力後にワンタイムパスワード認証画面に遷移します。

2012-07-22 09:29:40
@Bernie_Mince

【ハンゲーム垢ハック検証】 2.ハンゲームのユーザページにはアクセス解析の為アクセスIPとログイン成功・不成功を表示するログ画面が存在し、ログイン状態で見ることが可能です。

2012-07-22 09:31:13
@Bernie_Mince

【ハンゲーム垢ハック検証】 3.ワンタイムパスワード発行は携帯電話にて行います。ケータイトークンを利用して発行するため、機種変更する際は一度ワンタイムパスワード設定を解除して変更後携帯電話にて再登録が必要となります。

2012-07-22 09:33:30
@Bernie_Mince

【ハンゲーム垢ハック検証】発生事象:1.友人Aは機種変更のためPCにてユーザ画面からワンタイムパスワードを解除し、8時間後変更後携帯にてログインを試みた。しかしパスワードが正しくないというエラーが発生しログインすることができない。

2012-07-22 09:36:48
@Bernie_Mince

【ハンゲーム垢ハック検証】2.ID・メールアドレスからパスワードを再発行し、なんとかログインに成功。通常パスワードを変更し、ワンタイムパスワードを有効にする。

2012-07-22 09:38:04
@Bernie_Mince

【ハンゲーム垢ハック検証】3.直近10日間のログイン履歴を参照すると、ワンタイムパスワード解除後30分に一度アクセスがあり、一発でログイン成功となっている。それ以前のアタックの形跡は見受けられない。

2012-07-22 09:40:04
@Bernie_Mince

【ハンゲーム垢ハック検証】4.8時間中のアタックは計4回。どれもログイン成功している。現状確認できる被害はパスワード変更のみ。ハンコインはほとんど無かったため、ほかの被害は不明。警察経由でハンゲーム・プロバイダにログ提出を待つ

2012-07-22 09:43:41
@Bernie_Mince

【ハンゲーム垢ハック検証】 以上が今回発生した事件の概要となる。

2012-07-22 09:44:41
@Bernie_Mince

【ハンゲーム垢ハック検証】疑問:1.パスワードは漏えいしていたのか、攻撃により解析されたのか 2.なぜ攻撃者はワンタイムパスワード解除の瞬間を知ることができたのか 3.アカウントハックされた場合どこまで被害が出るのか

2012-07-22 09:46:56
@Bernie_Mince

【ハンゲーム垢ハック検証】検証:1-1.ログインページ分析 ハンゲームではログイン時にログインID・パスワードを入力後、ワンタイムパスワード(以下OTP)画面に遷移し、OTPを入力しログイン結果画面(ユーザページorログイン失敗ページ)に遷移。

2012-07-22 09:55:18
@Bernie_Mince

【ハンゲーム垢ハック検証】1-2. ログインページ分析OTPは発行後30秒有効。OTP設定を解除するとログインページから直接結果画面に遷移する。

2012-07-22 09:57:06
@Bernie_Mince

【ハンゲーム垢ハック検証】1-3.OTP設定済の場合一度OTP入力画面を通るが、OTP入力画面が出た時点でコネクションを切断した場合、ログイン履歴にログイン失敗の情報は残らない。

2012-07-22 10:19:44
@Bernie_Mince

【ハンゲーム垢ハック検証】1-4.これはたとえパスワードが間違っていても残らないため、前画面からのID・パスワードは持ち回り項目で、最終的なログイン処理の結果により、ログイン履歴が作成されている。

2012-07-22 10:20:21
@Bernie_Mince

【ハンゲーム垢ハック検証】2.検証1よる分析で、以下の仮定を提起する。 仮定:攻撃者は以前より友人Aのパスワードを取得していた。しかしOTPが設定されているためログインできない。 定期的にID:パスワードで認証を行い、OTP入力画面が表示されたら諦める。

2012-07-22 10:24:48
@Bernie_Mince

【ハンゲーム垢ハック検証】OTP設定が解除されたXデー、ID・パスワードで認証するとダイレクトにユーザページにアクセスできたため、とりあえずパスワードを変更した。帰宅した友人Aが異常に気づき、OTPを再度有効化

2012-07-22 10:44:58
@Bernie_Mince

【ハンゲーム垢ハック検証】パスワードが漏えいした原因は不明である。数年にわたり使用しているうえ、ネットカフェ等でも接続しており、キーロガーの餌食になった可能性もある。

2012-07-22 10:47:35
@Bernie_Mince

【ハンゲーム垢ハック検証】暫定対策: ワンタイムパスワードを解除する際はセキュアなPC・ネットワークでパスワードを一時変更し、OTP再有効後元に戻す等の対応を推奨します。

2012-07-22 10:49:11
@Bernie_Mince

【ハンゲーム垢ハック検証】仮説の断定は情報不足なのでできないが、ハンゲームからログが届いたら続報しまん。

2012-07-22 10:52:27

いま話題のタグ

離婚364 登山875 虎に翼15 光る君へ64 バニーガーデン5 青山剛昌62 同人1992 ファンタジー1657 ねこ2433 初見感想からしか取れない栄養素がある25 岸辺露伴は動かない86 孤独死65 マクドナルド570 竹田くん5 承認要求4