ギフト交換時の「なりすまし」にご注意
長文にて失礼いたします。
運営事務局にはセキュリティホールとして報告しましたが即時対応できる内容ではなく、実際に被害が起ってからでは遅いので投稿します。
(既知の問題で解決済みでしたら削除します)
※はじめに伝たいのは、この問題自体が提供サービスに甚大な被害を与えるものではない事です。
パケットギフトで初めてのお相手にいきなり自分からギフトを贈らなければ、ほぼ大丈夫です。
また贈ってしまっても、受け取り前なら運営事務局に相談もできます。
そしてフリータンクという正規のパケット救済サービスも、先月(2015年12月)より稼働してます。
今回発見した問題点と、どういう場合に注意が必要なのかをご説明します。
問題点 <アイコンもハンドルネームも他人と同じにできてしまう>
メッセージ管理画面には、相手のレベルが表示されますが、メッセージのやり取り画面ではアイコンしか表示されません。
・初めてメッセージをやり取りする方とギフト交換をする場合
初めて届いたメッセージのお相手を、ハンドルネームとアイコンだけで判断してギフト交換するのは危険です。
ギフト交換所などで知り合ったお相手との交換時には、必ず投稿内のコメントのアイコンをクリックして、リンク先のプロフィール画面で確認してから、メッセージをやり取りしてください。
・最悪のケース
こういうケースが考えられます。
1. 質問や広場の投稿で初めて知り合った相手とギフト交換する事になった
2. 相手からメッセージが届いた
3. 「先ほどのxxです、5000GBギフト交換でしたよね。これから外出するので5分以内でしたら対応可能です」
4. さっき投稿内で見たアイコンのxxさんだったのでギフトを発行して贈った
5. 実はxxさんではなく、wwさんがxxさんになりすましていた
この場合、メールのやり取りで追う事は出来ますが、eoID連携をしていない捨てアカウントだとどうしようもありません(二重アカウントは試していませんので、実際には何かの手がかりで追えるかもしれません)。
オークションなどで販売したとしても数百円程度ですが、金額ではなくコミュニティに与える不安はそれ以上です。
※ギフトコードは、受け取り処理されなければ実害も発生しませんし、発行したコードを運営事務局などに連絡して、無効にする事も可能だと思いますので、このケースでは実害もほぼ発しないと思われます。
ですが今後、現状の仕様を悪用してもっとすごい事を考える人が出ないとは言えません。
※お気に入りに登録しているメンバーや、過去にメッセージをやり取りしている方とは、こういった問題は起きにくいと思います。
※どんなシステムにもセキュリティの抜け穴はあります。また、短所は長所にもなりえます。
個人的な意見ですがハンドルネームやアイコンの融通がコミュニティの面白さにも繋がっています(もちろん、それを快く思わない方や、快く思っていなかった方がいる事も存じています)。
運営事務局の方には、今回の限定条件下における問題点については、報告をしています。
ただ対策を立てるにも急すぎますし、そもそもハンドルネームとは別にIDでメンバーと記事は紐付けられているので、事前に想定されている問題のない範囲なのかもしれません。
この問題に深夜気がつき、実験的にハンドルネームとアイコンを変更したため、驚かれた方もいました。
ご迷惑をおかけして、申し訳ございません。
この場をお借りしてお詫び申し上げます。
もともとはパケットギフトのグループを組んだ際に、何が危ないかを考えたところから始まりました。
その際、王国内で「似たハンドルネームや偶然の同一ハンドルネーム」を見かけた事、王国広場の「パスワードが危ない!!」と言ったタイトルを見た事などが頭の中で繋がり、この問題に気づきました。
他人のハンドルネームに意図的に似せる事は、似せられたご本人には愉快ではないので褒められる行為ではありませんが、この問題に限り気づきのきっかけとなった事を記載いたします。
1月27日追記
なりすましではありませんが、パケット交換でのトラブルも発生しているようです。
パケット交換は相互扶助の良心的なやり取りです。
ただし非公式な利用方法ですので、自己責任となります。
実施の際は慎重に行ってください。
https://king.mineo.jp/helps/guide/304
まず気付けないですよね。
事後承諾で申し訳ございません。
もともとはパケットギフトのグループで、何が怖いかをいろいろ考えていた時に、メッセージでいきなりパケット贈るのは危ないなという事に至り、以前から心配していた事、その日目にした投稿やコメントが結びついたのです。
投稿ありとうございます。
私も時々パケット交換所に書き込みして
多くの方とやり取りしていますので気を付けます!
悪用する方が増えてくると「ギフト交換」という
マイネオのすばらしいサービスがなくなりかねないので、
私達も気をつけて守っていきたいですね。(*^_^*)
紹介文まで真似して、称号すらコッソリと上げられれば、完全な本人なりすましは可能ですよね、きっと。
そうそう、うっかりではももこさんの件が実は心配でした(笑)。
冗談です。
実害が無くても、心のダメージは残るので起こる前にと思い投稿しました。
でも投稿すべきだったのかどうかは、未だに悩んでいます。
擬似ハンドルネームの件は、今回の件に直接関係はありませんが、怪我の功名と言って良いかどうか分かりませんが、今回気がつくキッカケとなりました。
真似られた方は、心中穏やかならぬものと察しますので、ここではこれ以上この話題に触れるつもりはありません。
申し訳ありません。
称号(レベル)については、ユーザー手動での変更は難しいと思います。
唯一可能であるとすれば、メッセージ内にいる時に、称号ごと画像アイコンにしてしまう方法です。
ただこれは比率的に不自然なので、気がつきやすいと思います。
僕としてはメッセージ内でも称号表示されるよう、仕様変更を望みます。
とりあえずマイネ王内でのパケットギフトには、こういったリスクもあるということが確認できたので、投稿すべき内容だったと思いますよ!
色々なサイトでの登録時
「このネームは、既に使われています」
とのエラーメッセージが出ることがありますね。
マイネ王開設当初は、パケットの交換等が無かった為
あまり必要性も無かったのでしょうが
mineoの進化にあわせてマイネ王のセキュリティも上げないと。
事前に予防策が必要になりますね。
ハンドルネームの重複不可(mineo側)
mineo連係以外の人とは、ギフト交換しない(個人)等
また、メッセージに関してある程度のブロックがあれば嬉しいです。
(一度、ギフト交換されて何らかの不都合があった相手とか)
アカウント自体、削除・新規登録されちゃえば仕方無いですが
同メールアドレスからの新規登録は、新規では無く全データが引き継がれる等・・・(これは、難しいなぁ)
以前、マイネ王を数回退会させられた方が居たので管理されているのかも知れません。(マイネ王運営側が悪質と感じたアカウントを管理してるのか?退会させられた方と関わった人がコメントして居ただけなのか?)想像でのお話ですが。
すみません。私の投稿内におかしな記述あったら削除お願いしますmU_Um
ももこさんの様に善意で交換していただいていて
普段より感謝しながら見ています。
ももこさんの予防法としては、
「ももこさんからギフトを先に送らない!!」を徹底されれば良いと思います。
うっかり(ゴメン)ももこさん♪でも大丈夫かも^■^
ももこさんと交換される方は、
ももこさんのページでアカウント確認後にギフトされれば大丈夫ですし。
実績がありますもんね~信用枠が~
やはりギフトの交換は直接の知り合いがベストのようですね。悪い言い方かもしれませんが、所詮匿名掲示板なんで、偽ろうと思えば一から十まで偽れますし、本気でパケットを貰い逃げしようと思ったらいくらでも法の抜け穴があります。
おそらく運営も、大規模・大人数の被害がない限り、個人間トラブルとしか処理出来ず、システムの変更はしないと思われますので、今のところは自衛するしかないですね。
画像がアッカンベテランじゃなく、アッカンGマスターでは意味わかりませんが。
メッセージだとレベルが付いていないので、ますますなりすましに気付かないですね。
初めてなのにどこかで会ったような気がする、というのは実生活でも稀にありますね。
僕は転生と呼んでいます。
セキュリティに関しては、会員数の増加に応じて徐々に対応が必須になると思いました。
驚かせてしまい、申し訳ありませんでした。
実地検証で影響の少ない時間帯を選んだのですが、ちょっと思慮が足りなかったようです。
ご覧になった方は分かるように、ある程度コメント履歴があると、一斉に変わるためどこかで違和感を出してしまいます。
でも
加入当初だと、判別が難しくなります。
パケットに関しては、実被害は今のところ出ていません。
また、防止策も事前に準備していればユーザー側でもある程度対処できます。
システム的にどこまで、というのが今後の課題です。
怖いのは見えた穴よりも、まだ見えない穴の方ですね。