misc.log

日常茶飯事とお仕事と

League of Legendsでパスワード再設定の依頼が

海外のオンライン対戦ゲーム「League of Legends(リーグ・オブ・ジェレンズ)」に関して、パスワード再設定の依頼がメールで届きました。なんでも、最近アカウント情報に不正アクセスがあったそうです*1。パスワードの情報が漏れた訳では無いそうなのですが、ユーザー名、メールアドレス、ソルトをつけたパスワードハッシュ文字列*2、そして個人名(名字と名前それぞれ)が漏れたそうで。

そうすると、ユーザーIDは漏れた情報に入っていることから、あとはパスワードを適当に試せば、もしかしたらアカウントを乗っ取れるかもしれないわけです。特にパスワードに名字や自分の名前などを使っている人ならば、漏れた情報にそのままの情報が入っているので、簡単に不正ログインされてしまいます。

というわけで、パスワードの再設定依頼が来たわけですね。怖い怖い。

6月にPCを新調してから、というよりはLeague of Legends自体ここ2年ほど遊んでいなかったので、まずはインストールから。インストールが終わったら現在のアカウントでログインしてみると、こんなメッセージが表示されてパスワードの変更を促してきました。

f:id:frontline:20130822003702j:plain

Security Warning

In order to protect your account we're rolling out new password requirements.
You must change your League of Legends password immediately before you may
login to play.

パスワード自体はゲームの中では無く、Webから変更するようになっているので、メッセージに添えられたリンクをクリックしてブラウザを開き、ゲームアカウントでログイン後、パスワードを変更しました。

なんでゲーム内から変更できないのか?とふと思ったのですが、これは、今回のように「久しくプレイしていない」とか「手元にゲームを起動できるPCが無い」といった状況でも、アカウント情報の管理が行えるように、Webでの変更を主体にしているのですね。たぶん。

なにはともあれ、とりあえず自分のアカウントは不正アクセスされていないようで、無事でした。このゲームは基本無料なのですが、プレイするキャラクターや、キャラクターの外観設定は有料で販売されるようになっています。キャラクター自体はゲーム内のポイントでも入手できるのですが、時間がかかるため、クレジットカードなどで専用のポイントを購入し、そのポイントで時間の問題を解決できるようになっています。

こうした有料の仕組みが入っているので、アカウント情報は慎重に管理し、定期的に確認する必要があります。気をつけないといけませんね。

新版暗号技術入門 秘密の国のアリス

新版暗号技術入門 秘密の国のアリス

今後の対応

本件に関しては公式サイトに情報が出ていました。

Important Security Update and Password Reset
http://beta.na.leagueoflegends.com/en/news/riot-games/announcements/important-security-update-and-password-reset

なんでも、今後のアップデートで「アカウント作成/変更時のメール認証」や「SMSを使った2ファクター認証」が導入されるようです。身近なところだと、GmailやSteamを新しいPCで利用しようとした場合に、携帯のメールアドレスにパスコードが送られ、その入力が無いと利用できない、といったアレですね。

セキュリティと利便性はトレードオフの関係にあります。たかがゲーム、ではあるけれど、こうやってどんどん面倒な方向に進んでいくと、なんかもうちょっとなんとかならなかったのか、とか思ってしまいますね。

*1:不正があったことに関する英文で使われていた単語は「compromised」でした。具体的には「account information was recently compromised.」と書かれていました。これ、そのまま訳すと「妥協する、示談する」といった意味ですが、別の意味で「名誉や名声を傷つける、汚す」という意味があります。転じて、セキュリティ関連の話題では「セキュリティの観点から何かを危険に晒す」という意味で使うようです。知りませんでした。

*2:ソルト(Salt):文字通り、塩です。といっても料理に使う塩ではなくて、パスワード文字列などをシステムに保管する際に、ハッシュという処理でめちゃくちゃ風な文字列に変換するのですが、その変換を解除しづらくするように、パスワード文字列に付け足す文字を指します。パスワード文字列に塩を振りかけるように文字を追加してから料理するので、塩という名前がついたのでしょうか…。