経緯としては、10月6日にスマートフォン版Mobageにおいて、登録しているユーザー以外の第三者によって不正ログインの試行が行われていた事象を検知。調査の結果、同日に不正ログインを確認した。

１．スマートフォン版Mobage以外では被害を受けてない

２．不正ログインに利用された特定のIPアドレスからのアクセスを制限して対応

３．、同社は他社サービスから流出したと思われるID・パスワードを使用した不正アクセスと推測した


信用できるのか？

◆スマートフォン版Mobage以外では被害を受けてない？

モバゲーは、「Yahoo!モバゲー」「携帯版モバゲー」も存在する。アカウントの連携処理をしていればそれらにも影響は及びます。

◆不正ログインに利用された特定のIPアドレスからのアクセスを制限して対応？

スマホでは移動すれば、接続先の基地局が変わります。無線LANスポットでも当然アクセススポットが切り替わればIPは変わります。おまけに携帯と違いスマホには個体識別番号がありません。

IPは移動するたびにころころ変わっていくことになります。

またモバゲーではユーザーエージェントをスマホのものに偽装することでスマホアクセスをすることが可能です。すなわちパソコンからスマホを偽ってアクセスできますし、自IPを隠ぺいする仕組みを使えばIP制約は無意味になります

Torは2ちゃんねる情報流出事件や、パソコン遠隔操作事件でも用いられています

◆他社サービスから流出したと思われるID・パスワードを使用した不正アクセスと推測される？

会員制のサイトでユーザのログイン情報を奪取する手法はわりとよく使われます。
パスワード管理がめんどくさいことから大抵の人は他のサービスでも同じIP/Passwordを利用しがちです。



しかし本当にそうでしょうか？モバゲーのCommを思い出してください。
あのように安易にユーザの電話帳をモバゲーのサーバーに転送するように設定していたDeNAが、ユーザーの個人情報を厳密に管理していたとは思えません。

◆閲覧された可能性のある顧客情報はニックネーム、生年月日、性別、地域（都道府県）などの登録プロ フィール、マイゲームリスト（お気に入りゲーム）など。なお個人情報、クレジットカード情報の閲覧はなく？


不正ログインされた時点で登録メールアドレス、登録電話番号や氏名はモバゲーサーバー側で登録情報として管理されてますよね？
プロフィールで見れる情報だけが漏洩したとでも？

◆モバゲーにハマる危険性

ついにクレジットカードまで出してきたＤｅＮＡ。
重課金している人なら理解いただけるでしょうが、「クレジットカードや携帯利用料金でインスタントに引き落とす」のと、「Ｗｅｂマネーを購入する」の・・・どちらが課金意欲をコントロールできるか・・


わかりますね？


ブラックカード