撲殺日記メイプルストーリーでIDとパスを抜き取ることができてしまう脆弱性が確認される

メイプルストーリーでIDとパスを抜き取ることができてしまう脆弱性が確認される

メイプルストーリーのゲーム内でIDとパスを抜き取ることができてしまうセキュリティ上の脆弱性が確認されたようです。

●要注意（ぃずたん様）

まとめると、
ショップ画面やトレード画面から通常画面に戻ってきたキャラクターの“NEXON ID”と“NEXON IDのパスワード”を収集することができてしまう
そうです。

すべてのパスワードの源＝“NEXON ID”がゲーム画面で丸見えになるという点が新しく、最悪のパス抜き登場の予感です。

とりあえず現在、僕が思いつく対策は以下。
（6/3　リンク1件追加しました）
（6/12 リンク2件追加しました）

ネクソンジャポンが提供するコンテンツを愛するすべての人にとって、“NEXON ID”（ネクソンID）は命。　これが他人に渡ると、ゲームのIDのパスワードを勝手に作られてしまう可能性があるからです。
メイプルストーリーの入場に必要な“EntryID”（エントリーID）が一応カベとなりますが、その「EntryID／パス」を「NEXON ID／パス」と同じID・あるいは似ているIDにしてしまっている方も多いのではないのでしょうか。　そのような方は、より用心する必要がありそうです。

とにかく、丸はだかで歩いてしまわないために、とりあえず以下に気をつければ良いと思います。

レベル０（ブリーフレベル）
○NEXON IDのパスワードを長くしろ！○
NEXONパスワードは４～２０文字にすることができるので、長くしまくりで正解。　貴様も男なら当然２０文字。　巨乳のアナタも２０文字。　好きな言葉や自分で作った言葉を何個か組み合わせて、あとは２０文字になるまで数字をブレンドすると、最強のパスワードが手軽につくれるんだぜ。
パスワードは暗号化されて表示されるらしいので、最強のパスワードなら手間取るかもしれないんだぜ。
めったに使わないNEXONパスワードだけど、このパスワードが一番大事。　いますぐ強化だ！

レベル１（Ｔシャツレベル）
○潜伏しろ！○
ヤツラはショップやトレード画面から出てきた人間をカモにするらしい。　つまり、どうしてもネクソンに金をアレしたい買い物マニヤどもは、人の少ない所でご利用くださるといいと思うんだ。

レベル２（普段着レベル）
○足あとを消せ！○
ショップやトレード画面から通常画面にもどるときは、通常画面左上のレーダーをガン見しる。
万一、他のキャラクターの存在をしめす赤点を確認したら、ぜったいすぐにログアウトしちゃだめだ。
しずかにメイプルを最小化して、パスワード変更画面に直行！　ログアウトする前にパスワードを変更だ！　これでパスの秘密は守られる！　水にぬれたカビっ面を捨て、新しい顔につけなおせ！
ショップを使った日は毎回ログアウト前にパスを変更してもいいぞ！
《追記》ショップ・トレード画面に入ったら、通常画面に戻らず、そのまま[Alt]+[F4]を押してゲームクライアントを終了してしまうのもアリかもしれませんね。　僕はそうすることにします。
《さらに追記》
すれ違っただけでもパスを抜かれる、との情報もあります。
もし本当だとすると、毎回のログアウト直前にパスを変更しかなさそうです。

レベル３（アルマーニレベル）
○オンラインゲーム？　ハァ？○
ショップなんか逝かない。　むしろメイプルって何？　そんな金やヒマがあるなら、服買って街にでろ！

関連
●EntryID／パスワードについて（メイプルストーリーFAQ）
NEXON IDを変えるには、ゲームキャラクター（EntryID）を作り直さなければならないようですね。　すでにNEXON ID と EntryID を同一にしてしまった方は、くれぐれも気をつけてください。
●Entryパスワード変更のページ
変更にはNEXON IDが必要です。　つまり、NEXON ID とパスワードがばれてしまうととっても危険！

●NEXON ID／パスワードについて（NEXONよくある質問）
NEXONのコンテンツに1年間ログインしないと、NEXONポイントから２００円が徴収されるようですね。　払えない場合、ID削除の対象になるようです。。
●NEXONパスワード変更のページ
NEXON IDまたはパスワードを忘れた場合、登録した名前と登録した生年月日が必要なようです。
僕？　オンラインゲームやオンラインショップでの登録のときは、いつもネット専用の偽名とネット専用の偽生年月日を使っているぽ。

●パス抜きされないために・もしされてしまったら（HUR様）
実際に被害に遭われたかたによるNEXON社との戦いの記録。

《続報》
●今回のパス抜き被害について（ミニコアラ様）
●史上最悪のパス抜き犯？今回はただ事ではない…（財前ゴウ様）

ネクソンIDのパスを変えられてしまったひとは、パスを『　NEXON　』に変えればログインできることがある。

被害に遭われた方は、ぜひ試してください。

パス抜きされないためには、メイプルにログインしつづけるしかない。どうしてもログアウトしなければならない時は、最後にネクソンIDのパスワードを変更してから落ちましょう。

MTSの出品を取り消す。買わない。（←MTSがどうも怪しい様子）

対策としては、もうこれしかないのかも。
毎回のパス変更は面倒です。　自分のキャラクターのレベル、もっているアイテムと相談ですね。
あまりにも高価なアイテムを持っているひとは、しばらくログインしないことも検討したほうがいいのかもしれません。
強いアレをもってる方は、強力なパソコンを常時接続していそうだから、ログアウトしなければいいだけかもしれないけど。
加えて、未確認ですがｐアイテムの『エルフ商人』を使用していると、エルフ露店からIDとパスが抜かれる？という情報もあります。　もうなんでもありです。

さらにパス抜きとは別に、切手増殖ワザが流行しています。
どうやらこれもＭＴＳを利用するようですが、詳細はわかりません。
もみじサーバーでも書が狂騰するなど、猛威をふるっていますね。
切手を増殖させているヒトが増殖していないのが救いです。

さあ皆様ご一緒に。
オンラインゲームはネクチョン！

明日も更新してくれボタン→　ぽ。　（一日一回まで投票できるRankingです☆）

>犯人の発言によると、
>目の前でトレードやSHOPに入ったキャラは
>戻ってきたときに、頭の上にNEXONID・PWが表示されると・・・
>NEXON IDはそのまま。
>NEXON PWは暗号化されて表示されるようです。
>そこから、エントリーIDを探りあて、キャラクターを抜く。

エントリーID探り当てる所が飛躍してますね。
抜かれる場合はnexonID=エントリーIDの時の場合がほとんど？
それであれば抜かれた人調べれば話は早そう。
抜くのであれば高額装備なりPもってる人がターゲットになりやすい。
たとえば幸運なんたらさんとか調べればわかりますよね。

次に
犯人がエントリーIDまで分かる事を隠しているならば誰彼構わず抜けて
もっと大沙汰になってる気がする。
仮にランカーなりRM主義者抜くのが早い。そうなれば大事になってそう。

最後にもう一つ。犯人があらかじめ知っての上で仕立て上げた。PW知ってる身内だったりね。こうすれば、他人に抜かれたと濡れ衣着せやすくなりますよね。
自演はする意味が浮かばないのでスルー

maplestory・MTS介してPW・IDが分かるならばと仮定した話ですけどね。
時間があるならば調べてみては？

2007/06/03(日) 00:59:17 |
URL |
#QMnOeBKU
[ 編集 ]

もっと怖い話

一説によると、ショップやトレードからでてきたキャラクターは、ログアウトするまでずっとNEXON-ＩＤ・パス　丸見え状態のままかもしれないんだ。
そうなると上記のレベル１～２は役に立たない！
変更しても変更したパスを見られているかもしれないからだ。
パスだって、本当に暗号化された状態で見えているのかわからない。　素通しかもしれない。　暗号化されていても、文字数すらばれるタコな暗号かもしれない。
だからもうショップには入らないことにするか、ログアウト直後にすぐパスを変えるとかするしかないかもね。。

2007/06/03(日) 01:01:24 |
URL |
きのこ #2njavCVw
[ 編集 ]

買いますリストに入れてた物で取引すると
バグでnexonID左上に表示されたままだよね。
そのまま動いてても何にも言われなかったけど。

きのこって撲殺さん？しゃべり方違うから別人っかｗ

2007/06/03(日) 01:06:14 |
URL |
#QMnOeBKU #QMnOeBKU
[ 編集 ]

#QMnOeBKU 様
コメントありがとうございます。
いつも思うんだけど、なんで運営会社はこんなにいい加減なんだろう。
トレードやショップの脆弱性なんて、今になって言われはじめたことじゃないのに。
もうメイプルのプログラム自体が古いのかもしれないけれどね。
メイプルよりもっと優秀な集金装置ができたのかもしれないけどね。
とにかく、もっと安心して遊べるようにして欲しいものです。

2007/06/03(日) 01:07:46 |
URL |
きのこ #2njavCVw
[ 編集 ]

俺はPW誰彼抜けるなんて話は信じにくいと思ってる派。
あらかじめ対策講じておく事は正解だけどね。

maple通じてID/PWが他人に行くかはそれなりの知識ないとダメだから俺には分からない。あと過去のTSチトから脆弱性は分かるけど、今回の出来事は本当かどうかまだ分からない事だからいい加減かはおいておく。
怒る前に頭冷やして
ネクソン説得するために証拠集めなきゃｗ

過去記事読めば同一人物かは分かったね

ああ。。
それといずって子の知り合いあたるのも良いカモね。nexonPWばれて、どのくらいの期間で抜かれたかとか。それで、どのくらいでエントリーID探り当てたか分かるかもね。ぶ○○○○あ○○くとかでね。

2007/06/03(日) 01:23:28 |
URL |
#QMnOeBKU #QMnOeBKU
[ 編集 ]

ぽ！これ撲殺さんの日記でしょ?ｗ
メイポと話し方が違うからびっくりしたｗおもろいっす！！

2007/06/03(日) 15:08:23 |
URL |
おひおひ #-
[ 編集 ]

ねえちょっと！一般人が襲われて
なんでこっちは完全スルーな訳?!
もう4日目よ（ﾟдﾟ）

あー　お初ですー(*´益｀)

今日も…何の成果も…得られなかったさ…

2007/06/04(月) 23:16:06 |
URL |
汁吐 #VcYUwmhs
[ 編集 ]

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

2007/06/05(火) 00:33:55 |
|
#
[ 編集 ]

このページリンクさせていただきました。

お疲れ様です。
パス抜き対策ではいつも参考にさせていただいてます。
今回の情報はとても重大な話でしたので、
私のサイトにこのページをリンクさせていただきます。
（URL:http://hurimade.ojaru.jp/）

これからもがんばってください。

2007/06/05(火) 07:51:59 |
URL |
ちぃず #-
[ 編集 ]

♪#QMnOeBKU様
NEXON ID／パスワードさえ確定すれば、あとはEntryIDにぶ。。。。たっくをかければパス抜き終了。
「NEXON ID と NEXONパスワードが同じ」というヒトなら、カンタンに抜かれてしまうでしょうね。
もちろんNEXON IDが確定すれば、NEXONパスだってアタックすれば破れるでしょう。
インタビューしても「気をつけていた」とのお答えでしたが、やはりNEXONパスワードの強化こそがキモという気がします。

♪おひおひさま
いらっしゃいませ☆
いろいろ過去記事ではアレなアレをいっぱいアレしておきましたので、どうぞアレしてアレ！
18禁コンテンツもあったりしてアレなのでアレしてくださいね。

♪汁吐さま
ほんとうにご苦労さまです。
毎日パス抜きerを挑発しているのに、完全にスルーされるというのも不自然ですね。　気の弱いクラッカーなのでしょうか。
僕なんか『ある人が韓国にいったら５０００円でクラッキングツールが販売されていて、それを買って持ち帰って、ネット上にばらまいたらしい』なんていう話まで聞かされました。　みんな不安なので、もう何がなにやら。
何人もの人が「抜かれた」という今回の「新しいパス抜き」ですが、実際のところ本当に新しい手法が登場したのか、ただの都市伝説なのかわかりません。
でも、どんなプログラムにもセキュリティーの穴は必ずあるはず。
IDを厳重に管理し、パスワードは工夫してつくり、こまめに変更すると、ひどい目にあう確率が減る。　それだけはたしかぽ。

♪ちぃず様
リンクありがとうございます。
お役立ちサイトのようですね。　がんばってください☆

2007/06/05(火) 12:15:27 |
URL |
きのこ #2njavCVw
[ 編集 ]

|柱|ω･)むかーし一度だけ対ビサスに一緒に行ったものです（覚えてないだろうけどね
今回の騒動でギルドが崩壊、、、
きのこさんの言うとおり全部含めてがめいぽなんですよねぇ…
いち早くこの騒動が鎮静化するのを望んでいます(;-ω-)
情報提供など、頑張ってくださいーﾉｼ

2007/06/13(水) 02:55:53 |
URL |
兎 #mQop/nM.
[ 編集 ]

なんかアレﾀﾞﾅ
ｹｲ(ﾟ∀ﾟ)ｵｽも行き着くトコまで行った感じﾀﾞﾅ､ﾒｲﾎﾟ
いつの日にか復活するかも、と思って残してあるｷｬﾗ･装備達ももぅ一思いに消しちゃおうかな、と思わされるね。
ＰＡＳＳ抜かれて金儲けや詐欺に使われるよりはマシだゎ･･･orz

2007/06/13(水) 19:55:16 |
URL |
舞弧 #-
[ 編集 ]

鎮静化はいつ？

♪兎ま様
ぅひひ　事態が鎮静化って、ネクソン側からのきっかけは無いとおもうー。
僕は、今回の騒動は
『ゲーム内で狙ったキャラクターの NEXON ID が見えてしまう』
というセキュリテイホールのせいだと思っています。
つまり、パスワードは見えない。
つまり、パスさえ長ければ大丈夫。
ケヤキや杏サーバーのランカーが全滅だー！なんて言っても、それはたまたま　パス抜き犯がそのサーバーにいただけ。
抜かれたヒトは、みんなNEXONパスワードがテキトーだっただけ。
すれちがっただけで、とか、エルフ露店を覗いただけでパスが抜かれるなんてありえない。
そう思ってる。

事実、今日もみじにインしていたランカーの友みんなに聞いたら、エントリーパスとNEXONパスの区別がついてなくて、「パスはいつも変えているよ！」といいながら、じつは気をつかっているのは『エントリーパス』のみで、『NEXONパス』が４文字だったりするようなヒトばかり。
４文字のパスなんて、ヒントがなくても総当り攻撃しかければ数分で破られます！
。。。まぁ、４文字なんていうパスワードを許可するネクソンが悪いのですが。

そんなわけで、みんながNEXONパスワードをしっかり管理するようになれば、自然と収まると思っています。
NEXON社が抜かれたヒトへのメールの返信で、「パスワードの管理は自己責任･･･」と繰り返すのも、ある意味当然なのかもしれません。
ただし、NEXON社は、
『７文字以下のパスワードを許可しないようにする』
とか、
『パスワードの作成・管理方法をやさしく説明する』
とかをするべきだと思います。
もちろん、IDを完全に隠せるように対策してほしい。
すこし前まで、NEXON IDが丸見えのメールサービスを堂々とやったりしていた体質は、そうそう治らないかもしれませんが。

ただし。　ここまでアレしといてアレですが。
「パス抜き犯にはIDしか見られていない」と言うのは僕の勝手な見解で、実は本当にパスが丸見えなのかもしれません。　　
そして、こんなにプレイヤーが少なければ、ネクソンも気休めアップデートをしてくれるかもしれません。
たとえアップデートが気休めでも、プレイヤーが帰って来るきっかけにはなるでしょう。
そして、鎮静化は、プレイヤーが帰って来るまでありえません。
僕は、はやくみんなが帰って来ることを願って、今日も本キャラでログインします♪

♪舞弧はーん
カオスもカオス。超カオス。　こんだけプレイヤーに信頼されてない大規模MMOってなんだろうね。
せっかくだから、カオスワールドをのぞきに来て下さいネ☆

2007/06/13(水) 22:39:51 |
URL |
きのこ #2njavCVw
[ 編集 ]

敢えて名前は出さないでレス付けてみますね。

入ってくる情報情報すべてが面白いですね、ネクソンは。
今回のパス抜き騒動云々ではなく、色々ひっくるめて。
あの結果の対応がまさかあんだけの対応とは終わりましたね、いい気味です。
～～～～～～～～～～～～～～～～～～～～～～～～～～
見えるのは確かかと思いますよ、推測ですが(矛盾

専らGMがIDを見るために穴を作っておいたんでしょう。
それを上手く気づいて抜いてるのでしょう。

そもそも既に取られた私には関係ｎｸﾞﾌｯ・・