- Bernie_Mince
- 12223
- 0
- 0
- 0
【ハンゲーム垢ハック検証】 前提知識:1.ハンゲームにはワンタイムパスワード制が導入されており、ユーザ設定により有効化されている場合ID・パスワード入力後にワンタイムパスワード認証画面に遷移します。
2012-07-22 09:29:40【ハンゲーム垢ハック検証】 2.ハンゲームのユーザページにはアクセス解析の為アクセスIPとログイン成功・不成功を表示するログ画面が存在し、ログイン状態で見ることが可能です。
2012-07-22 09:31:13【ハンゲーム垢ハック検証】 3.ワンタイムパスワード発行は携帯電話にて行います。ケータイトークンを利用して発行するため、機種変更する際は一度ワンタイムパスワード設定を解除して変更後携帯電話にて再登録が必要となります。
2012-07-22 09:33:30【ハンゲーム垢ハック検証】発生事象:1.友人Aは機種変更のためPCにてユーザ画面からワンタイムパスワードを解除し、8時間後変更後携帯にてログインを試みた。しかしパスワードが正しくないというエラーが発生しログインすることができない。
2012-07-22 09:36:48【ハンゲーム垢ハック検証】2.ID・メールアドレスからパスワードを再発行し、なんとかログインに成功。通常パスワードを変更し、ワンタイムパスワードを有効にする。
2012-07-22 09:38:04【ハンゲーム垢ハック検証】3.直近10日間のログイン履歴を参照すると、ワンタイムパスワード解除後30分に一度アクセスがあり、一発でログイン成功となっている。それ以前のアタックの形跡は見受けられない。
2012-07-22 09:40:04【ハンゲーム垢ハック検証】4.8時間中のアタックは計4回。どれもログイン成功している。現状確認できる被害はパスワード変更のみ。ハンコインはほとんど無かったため、ほかの被害は不明。警察経由でハンゲーム・プロバイダにログ提出を待つ
2012-07-22 09:43:41【ハンゲーム垢ハック検証】疑問:1.パスワードは漏えいしていたのか、攻撃により解析されたのか 2.なぜ攻撃者はワンタイムパスワード解除の瞬間を知ることができたのか 3.アカウントハックされた場合どこまで被害が出るのか
2012-07-22 09:46:56【ハンゲーム垢ハック検証】検証:1-1.ログインページ分析 ハンゲームではログイン時にログインID・パスワードを入力後、ワンタイムパスワード(以下OTP)画面に遷移し、OTPを入力しログイン結果画面(ユーザページorログイン失敗ページ)に遷移。
2012-07-22 09:55:18【ハンゲーム垢ハック検証】1-2. ログインページ分析OTPは発行後30秒有効。OTP設定を解除するとログインページから直接結果画面に遷移する。
2012-07-22 09:57:06【ハンゲーム垢ハック検証】1-3.OTP設定済の場合一度OTP入力画面を通るが、OTP入力画面が出た時点でコネクションを切断した場合、ログイン履歴にログイン失敗の情報は残らない。
2012-07-22 10:19:44【ハンゲーム垢ハック検証】1-4.これはたとえパスワードが間違っていても残らないため、前画面からのID・パスワードは持ち回り項目で、最終的なログイン処理の結果により、ログイン履歴が作成されている。
2012-07-22 10:20:21【ハンゲーム垢ハック検証】2.検証1よる分析で、以下の仮定を提起する。 仮定:攻撃者は以前より友人Aのパスワードを取得していた。しかしOTPが設定されているためログインできない。 定期的にID:パスワードで認証を行い、OTP入力画面が表示されたら諦める。
2012-07-22 10:24:48【ハンゲーム垢ハック検証】OTP設定が解除されたXデー、ID・パスワードで認証するとダイレクトにユーザページにアクセスできたため、とりあえずパスワードを変更した。帰宅した友人Aが異常に気づき、OTPを再度有効化
2012-07-22 10:44:58【ハンゲーム垢ハック検証】パスワードが漏えいした原因は不明である。数年にわたり使用しているうえ、ネットカフェ等でも接続しており、キーロガーの餌食になった可能性もある。
2012-07-22 10:47:35【ハンゲーム垢ハック検証】暫定対策: ワンタイムパスワードを解除する際はセキュアなPC・ネットワークでパスワードを一時変更し、OTP再有効後元に戻す等の対応を推奨します。
2012-07-22 10:49:11