[ 板情報 | ネットゲーム/オンラインゲーム ]
|
[ 板情報 | ネットゲーム/オンラインゲーム ] |
|---|
| 今北な人の為にこちらにスクエニがやらかした個人情報漏洩に関する経緯が箇条書きでまとめられている模様です http://www10.atwiki.jp/ogame_2ch/pages/92.html そしてスクウェアエニックスでの公式HPでの告知はこちら 2010.06.04(金) 22:30 From: プレイオンライン お客様のプレイオンラインIDに関する重要なお知らせ http://www.playonline.com/ff11/polnews/news19198.shtml 2010.06.16(水) 00:00 From: プレイオンライン EV SSL証明書への対応について http://www.playonline.com/ff11/polnews/news19252.shtml プレイオンライン利用規約 ※POLで10年近く商売を展開しているのに「特定商取引に関する法律」(通信販売)に基づく表示がPOLのページには無い http://support.jp.square-enix.com/rule.php?id=11&la=0&tag=polmember スクウェア・エニックス アカウント利用規約 https://secure.square-enix.com/account/app/svc/regist?lng=ja&rgn=jp フリートライアルプレイングマニュアル http://dl.square-enix.co.jp/ff11/2008/FFXI_FREE_MANUAL.pdf プライバシーポリシー ※しかしプライバシーマーク取得を行っていない。義務化されていないとはいえ、世界に50万人の会員がいる と発表しているのにも関わらず取得しない(取得できる要件を満たす品質改善努力をしない)のは異常 http://www.square-enix.com/jp/privacy/ IR情報 | SQUARE ENIX HOLDINGS http://www.square-enix.com/jpn/ir/index.html 業種:情報・通信業 証券コード:9684 EDINETコード:E04859 IR問合せ先: 定時株主総会予定日 2010年6月23日←個人情報漏洩に関する質疑応答や報告は一切ありませんでした 有報提出予定日 2010年6月24日 届出番号(総務省に届け出た届出電気通信事業者であることの証明。何故か公式HPに掲載していない。) A-12-3821(2002年5月に届出。オンラインゲーム事業としてではなく情報通信事業としての自覚があるという事に。) ※その証拠に社団法人コンピューターエンタテーメント協会(会長は和田)には所属しているが日本オンラインゲーム協会には所属していない ※いずれも「免責事項一般」という名目で「厨二病全開の規約で逃げの一辺倒」ですが現実世界では「法律>規約」「消費者保護法第8条1-5>POL規約第27条8項 」であり、スクエニからの個人情報漏洩によって各人が被る被害について、スクエニは顧客に対して民事責任(プライバシー権侵害に基づく損害賠償責任・不正競争防止法に基づく責任・契約責任に基づく賠償責任)が発生しますので、損害賠償請求権や差し止め請求権を我々は無関係に行使出来ます。また刑法犯としてハッカーにやられたとスクエニが証言していますので、経緯はどうあれ形式犯としてスクエニはユーザーに対して加害者となります。スクエニにハックを仕掛けた犯人と不正ログインした犯人は、不正アクセス禁止法違反の犯罪者です。 ※電気通信事業者として登録しているしていないに関わらず総務省のガイドラインに従わなければいけない 個人情報漏洩等が発生した場合は監督官庁(総務省)へ速やかに通達せよとガイドラインで定められている (電気通信事業における個人情報保護に関するガイドライン) http://www.soumu.go.jp/menu_news/s-news/02kiban08_02000042.html ※今回の個人情報漏洩は「通信の秘密を漏洩したこと」に相当し、電気通信事業法違反・個人情報保護法違反・消費者保護法違反・不正競争防止法違反、そしてクレカの不正使用の被害が客側で起きているので預金者保護法違反・特定商取引法違反にも該当。今回スクエニは主に総務省総合通信基盤局や金融庁から、情報の適正な管理と再発防止を文書で指導されたり厳重に注意されます(電気通信事業従事者には特に罰則加重) 今年の2010年2月では同様の事件で、アリコが金融庁から行政処分の制裁を受けています。 総務省からの調査に応じず保留し続けて隠蔽へと姿勢を傾けた場合は、主務大臣(総務大臣、法務大臣、経済産業大臣、金融大臣)により「報告徴収(法律に基づいた書面により総務省が質問状を送付する行為で査察と同等の効力)・立入検査」が行使されます。それにより「助言・勧告・命令・緊急命令」も行われます。しかし報告徴収に背き、情報公開や回答に応じなかったり虚偽の報告をする等の「報告懈怠・虚偽報告、命令違反、検査妨害、忌避」を行うとスクエニ対して国から罰則(1年以下の懲役もしくは300万円以下の罰金または併科など)や業務停止が科されます。 2010年6月第2週の「総務省からの問い合わせ」に対してスクエニは「調査中」と一度だけ回答したまま現在は沈黙を守り続けており、このまま沈黙が続くようであれば報告徴収・立入検査に移るとの意思を総務省は示している 特にクレカ被害・不当請求被害に遭われている人は最寄の警察署にすぐ告訴状を提出して受理してもらって下さい。(告訴状は受理されると捜査義務が発生する為必ず捜査が実施されます)これにより警察⇔総務省で被害状況が蓄積されていきます ※告訴状の出し方については後半に書いています →2010年6月末に総務省からの電話問い合わせで「個人情報の漏洩は完全に無い」と回答し、スクエニはこの件を放置 また内閣府における個人情報保護事業(旧国民生活政策)は現在消費者庁に全て移管済みで、内閣府では消費者委員会を設置して現在運営されています スクエニは現在、法令違反行為が公益通報の対象となっている企業です。 ネ実での過去スレは全てこちらから読めます POL鯖不正アクセスで個人情報流出 http://www.unkar.org/read/live28.2ch.net/ogame/1275651176 【外部?】pol鯖個人情報漏洩【内部?】 http://www.unkar.org/read/live28.2ch.net/ogame/1275733328 【外部?】 pol鯖個人情報漏洩その2 【内部?】 http://www.unkar.org/read/live28.2ch.net/ogame/1275915398 【外部?】 pol鯖個人情報漏洩その3 【内部?】 http://www.unkar.org/read/tsushima.2ch.net/ogame/1276940607 ■アカウントの契約状態のパターン分け ・POLを完全に退会している(狙われたら元契約者が全く気づかない) ・POLを契約していているがコンテンツIDは解約している(狙われたら契約者が気づきにくい) ・POLを契約していてコンテンツIDも契約している ■アカウントのログイン方法の切り分け ・POLIDとパスワードでログインするアカウントである(狙われたら一番難儀する) ・スクエニアカウントと関連付けており、スクエニパスワードとワンタイムパスワードでログインするアカウントである ■POLフォルダへのパスワード保存状況 ・パスワードをアカウントログイン時に保存している(保存を即刻やめましょう) ・コンテンツID操作関連時のパスワードも保存している(保存を即刻やめましょう) ・どちらもPOLフォルダに保存していない ■プレイハードウェアの切り分け ・PS2か ・PS3か ・XBOXか ・PCか ■POL登録住所の是非について ・登録住所は現住所である ・登録住所は現住所ではない(ハッカーが狙う鴨アカウント) ・登録住所は架空住所である(ハッカーが狙う鴨アカウント) ■POL登録名義の是非について ・登録名義人は間違いなく使用者本人で身分証明ができる ・登録名義人は使用者本人の者ではなく、実在する他人の名義である(ハッカーが狙う鴨アカウント) ・登録名義人はこの世に実在しないものであり、使用者本人の身分証明ができない(ハッカーが狙う鴨アカウント) ■POLに登録している支払方法の是非 ・ウェブマネー ・OCNペイオン ・@nifty決済 ・クレジット(信販の審査ありカード)(狙われるとカード情報が危ない) ・クレジット(銀行発行のVISAデビットカード)(狙われるとカード情報が危ない) ・クレジット(インターナショナルデビットカード)(狙われるとカード情報が危ない) ■POLの決済処理について スクエニがオンラインクレジットカード決済業務代行をさせている会社の一覧です http://account.square-enix.com/aboutcrysta/jp/ ■被害者の声(不足があれば追記します) ・勝手にアカウントを復活させられ課金されて請求書が届いた ・個人情報がPOL鯖にPOL退会後も残っている事が信じられない ・加えてウェルカムバックキャンペーンの利用で「どのアカウントでも掘り起こして復活させられる」 ・登録住所が契約者の現住所かどうかの整合性をスクエニ側で確認を行わない ・その上で契約者名義と変更パスワードの入った封書を「契約者に事前確認もせずにアカウントをアクティブにしたまま普通郵便」で送付している ・登録されたクレジットカードを緊急停止したら強制解約された ・封書が送られてくるユーザーが決まっている事に納得できない ・漏洩はアカウント単位ではなく、個人名義単位で漏れている ■スクエニの対応に対する不信点(不足があれば追記します) ・何故今回の個人情報漏洩のせいで行われた「不正アクセス+鯖移転」の代金を補償するのか ・フリートリアルが犯罪者育成の温床となる事態を予測出来ず、現状も認めず撤廃しない事がおかしい ・登録情報が架空や虚偽の情報であってもそれを登録時にスクエニ側が検閲せず、そのまま課金対象の客として全て無条件に受け入れる ・それらがハックされ、元の契約者から犯罪者の手に落ちても「親告罪」と同様「契約者が契約者本人だと証明可能な被害報告」をサポートチャット経由で本人確認書類を用意の上申請しないと、ハック被害をスクエニは受理せず「正常な課金対象アカウント」として扱い続ける。つまりハックされて業者にIDとパスが渡り「鴨アカウントのパス」を暫定の最新のものにされてしまったら、元の契約者はただの泣き寝入り。蓄えてきた人間関係・ギル・装備は全て犯罪者の物になっておしまい、が現状。 ・この「登録の穴」をスクエニは故意に残し「デタラメな登録情報の契約者(課金可能アカウント)」を無作為に増やし続けているとしか思えない ・ハッカーは「何故的確に鴨アカウントを狙えるのか」が非常にあやしい ・被害範囲を正式に公開しない ・株主総会まで沈黙を守るつもりか、もしくは有耶無耶にするつもりか ・漏洩被害によるハック被害への対処と賠償 ・守ろうとしているのはキャラクターデータだけ ・実行犯を過去の不正アクセスやアカハック同様公開しない ・サーバーハック被害者として告訴状をきちんと警察にスクエニは出しているのか ・社内端末を攻撃されて盗まれた・POL鯖にアタックされて盗まれた、など松井のツイッター発言と公式発表が異なる ・アカウントの保護ばかりを優先し個人情報流出の弊害や二次被害に備えた対策を講じない ・過去の他社の個人情報流出の件の様に記者会見を開かずメディアを通じて関係ユーザーに対して積極的な告知しない ・国内に中華業者を初めとする経済犯罪者達が設置するような、中継サーバー等の存在を考えるとかなり深刻なはず ・OCNデータセンターの利用をやめた後、アカマイ日本法人03-6702-0100へ管理委託を移しているはずなのでログの割り出しは容易なはず。アカマイ日本法人は日本オンラインゲーム協会に所属している ・ボナンザをログイン制限で購入できなかったユーザーに対する補償 ・ログイン制限された被害者ユーザーに対する課金均一に関する不満 ・攻撃を受けた期間、というのは公式発表から起算した期間ではなく松井のツイッター公開からである ・事件発覚後にもかかわらず、スクエニ社員のツイッター(りえこむ・弘道・洋一ほか)を見ると完全にスルーしている模様 ・リンクシェルコミュニティやフレンドリストプラスやPOL会員情報確認フォーム(いずれもwww.playonline.comドメイン下のものでwebページ上からアクセス出来るサービス)等のメンテナンス ■チャットサポート(ログイン制限を運営からかけられて問題のある人はすぐ相談に) http://support.jp.square-enix.com/jump/chat2/ 運営統括責任者:西角 浩一 0570-003-399 046-203-1100 (〒243-0498 神奈川県海老名市下今泉3-11-1 スクウェア・エニックス インフォメーションセンター) ■ハックされていたら ログイン後、実際のゲームデータが明らかに改変されていたら間違いなくハックです すぐサポートチャットでログイン制限依頼をかけてもらい、http://www.geocities.jp/ff11warning/link.html やhttp://www.jpcert.or.jp/を読んだ上でリンクケーブルを抜き、環境を改善してから再度ネット接続なりログインなりして下さい ※スクエニ側の漏洩によるハック行為だときちんと切り分けて立証させる為です※ ■POL関連で突然身に覚えの無い請求が来たら ・POLに登録している(していた)クレカの請求 特定商取引法第14条違反(本人が望んでいない・行っていない契約及び決済を課せられた) のオンラインクレジットカード決済です。オンライン決済は非常に便利なシステムですが これがクレジットカードによる場合は特にネット上で完結するという利便性の一方で クレジット会社側は本人確認ができないというリスクを背負います どんな会社や個人でも気軽にオンライン決済を導入できるようになり便利な反面社会的には非常に危険と言えます 賃金決済法(資金決済に関する法律)の施工によってもっとこの手の問題も増えるかと思われます カード会社への連絡もそうですがVISAやMasterCard等のクレジット決済の大元企業へ 「『スクウェア・エニックスの個人情報漏洩によるクレジットカードの不正使用』 によって発生した利用代金を**という決済代行会社が何ら検閲することなく決済し カード会社を通して私の元へ利用代金として請求書を送りつけてきている。 『特定商取引法第14条違反』であり法令に基づく通信販売規制を守られていないが 信用制度に参加しているのは何故だ?調査しろ。」 と強く怒鳴り込むが如く苦情を入れて下さい。そして最寄警察署へ告訴状を提出 ※自分のカード会社に対し「POL利用代金の請求はどこが窓口で決済されているのか」を聞けば 「自分のカードに不当請求したPOL請求金額の件に関わった決済代行会社」の名前をカード会社が教えてくれます ※クレジット決済業務には品質に各社で差があり、その水準を向上させる為に 『オンライン決済でのクレジットカード情報の保護対策を実施している第三者機関』というものが存在しています このPCI DSSにより認定される決済会社は存在しており、認証検査機関はBbsecです ガマニアでさえここまでやってます ・POLにカード以外で支払い登録をしている(していた)場合の請求 同じく特定商取引法第14条違反ですので金融庁に通報と最寄警察署に告訴状提出です 「特定商取引に関する法律」(通信販売)に基づく表示 http://account.square-enix.com/aboutcrysta/jp/ 運営統括責任者:西角 浩一 0570-003-399 046-203-1100 (〒151-0053 東京都渋谷区代々木3-22-7 新宿文化クイントビル) ※POLのページや実際のPOLアプリケーション内での特定商取引に基づく表示は8年間に渡り一切記載無し ■個人情報が企業から漏洩されるとどうなるのか(スクエニはこれを読むべきです) 情報処理推進機構情報セキュリティ:漏れたら大変!個人情報 http://www.ipa.go.jp/security/kojinjoho/index.html 管理者が注意したい.ネットワークの法律の最新動向 http://www.nic.ad.jp/ja/materials/iw/2003/proceedings/T21.pdf ■我々ができる事(不足があれば追記します) ・少額訴訟(個人情報漏洩賠償請求で請求額1万円〜3万円で事件化、1日で判決で決着。用意するものは、メールやサポートチャットの印刷物、届いた封書のコピーなど)、法務省やここを参照 ・クレカ不正使用等の実害がある場合は告訴状(これやこれやこれを参照)を作成し最寄警察署に提出 また金融庁も管轄となるので報告の仕方を読んだ上でこちらからも通報して下さい 金融庁検査局総務課 検査情報受付窓口 03-5251-6811 ※期限があるケースが事件ごとに分かれるので早めに動くと吉です ・どうしても怒りが収まらない人はこちらも見ておくことをお勧めします。各書類の書き方が詳しく書かれています ・プライバシー被害弁護団(もしくは消費者団体訴訟※適格消費者団体情報→全国の適格消費者団体→社団法人全国消費生活相談員協会)の結成(社会的に動きマスコミ等に認知して貰える為には一人弁護士がいればいい) ・電気通信事業に係る個人情報取り扱いのクレーム窓口(民間団体) ※登録通信事業者140社に警告・指導・注意喚起を出来る組織 ・各行政への通達(行政指導に向けて経済産業省・総務省・公正取引委員会(内閣府の「外局行政委員会」)・国民生活センター・消費者庁・内閣府など) ※事業に関するネットワーク構成図等の基本情報は全て総務省が握っているのでここをつつくとスクエニは苦しくなる ※総務省総合通信基盤局電気通信事業部消費者行政課個人情報保護推進係 (通信における個人情報被害報告窓口) 03-5253-5488 FAX03-5253-5948(証拠物はこちらに送ってください) ※総務省総合通信基盤局電気通信事業部消費者行政課電気通信消費者相談センター (一般人からの情報提供窓口) 03-5253-5900 ※総務省総合通信基盤局電気通信事業部電気通信事業紛争処理委員会事務局 (電気通信事業者からの専用窓口) 03-5253-5500 ※総務省総合通信基盤局電気通信事業部データ通信課 (電気通信事業者の届出照会) 03-5253-5852 ※総務省情報通信部電気通信事業課第二事業担当 (回線を持たない電気通信事業者※届出番号の頭にアルファベット等が付く:届出事業者の番号照会・届出内容照会・開示の是非) 03-6238-1675 ※総務省情報通信部電気通信事業課第一事業担当 (回線を設置した電気通信事業者※届出番号の頭にアルファベット等何も付かない:登録事業者の番号照会・届出内容照会・開示の是非) 03-6238-1679 ※総務省情報流通行政局情報流通振興課情報セキュリティ対策室 (情報流出・漏洩に関する技術的通報窓口) 03-5253-5749 ※経済産業省商務情報政策局商取引監督課 (小規模なクレカ情報流出における通報窓口) 03-3501-2302 ※経済産業省商務情報政策局情報政策ユニット情報セキュリティ政策室 (クレカ情報保存行為に関する技術的通報窓口) 03-3501-1253 ※経済産業省商務情報政策局情報経済課 (クレカ情報保存行為に関する法的通報窓口) 03-3501-0397 ※経済産業省サービス産業局(商務情報政策局)文化情報関連産業課(メディア・コンテンツ課) (オンゲーでクレカ不正利用された等の個人情報漏洩被害窓口) 03-3501-9537 FAX03-3501-1599(証拠物はこちらに送ってください) ※消費者庁表示対策課情報管理担当 (サービス関連の実際と表記が異なる場合の通報窓口) g.hyotai-joho@caa.go.jp ※東京最高検察庁 (告訴・告発先) 03-3592-5611 ・各マスメディアへの通達(民放局・新聞社・ネットマスコミ他) ・風化防止の為のネット上での情報保持活動(まとめサイト・wiki・ネ実など) ★スクエニ本社への電話問い合わせ 代表取締役: エグゼクティブ・プロデューサー ソフトウェア開発担当、コーポレート・エグゼクティブ オンライン事業推進担当: コミュニティ&サービス部 グローバルオンラインプロデューサー:臼井敬貴(SageSundi) 第3開発事業部 バトルプランナー/プログラマー:松井聡彦 http://ffx.sakura.ne.jp/ff11.htm http://ffx.sakura.ne.jp/staff.htm http://www13.atwiki.jp/game_staff/pages/57.html 03-5333-1144 03-5333-1555 (〒151-8544 東京都渋谷区代々木3-22-7 新宿文化クイントビル) ★POL鯖担当管理者への問い合わせ(playonline.comドメイン) 法務・知的財産部 丸山英理 emaruyam@square-enix.com emaruyam@square-enix.co.jp 03-5333-0958 http://whois.jprs.jp/?key=EM731JP http://www.networksolutions.com/whois-search/playonline.com ◆付随するDNS1.PLAYONLINE.COMとDNS2.PLAYONLINE.COMについて http://wq.apnic.net/apnic-bin/whois.pl?searchtext=61.195.48.242 http://wq.apnic.net/apnic-bin/whois.pl?searchtext=61.195.58.20 ◆DNS1及びDNS2の担当者 情報システム部 立岡 雅也 tateoka@square-enix.com 03-5333-1890 http://whois.jprs.jp/?key=MT10731JP オンラインビジネスインフラストラクチャーグループ(上の立岡がこれも担当) http://whois.nic.ad.jp/cgi-bin/whois_gw?key=JP00011953 情報システム部 ネットワークサービスグループ シニアエンジニア 森 竜也 mori@square-enix.com http://whois.jprs.jp/?key=TM16287JP ★スクエニ鯖担当(スクエニアカウント等の)管理者への問い合わせ(square-enix.co.jpドメイン) ◆上の丸山と立岡で同じ。ネームサーバーも丸っきり同じでした。 http://whois.jprs.jp/?key=square-enix.co.jp |
| スレッド作成: |
|
1 : 被害報告・関連雑談スレ1(283) / 2 : 管理人へ連絡・管理人から報告スレッド1(9)
(全部で2のスレッドがあります) 掲示板の使い方 / 新着をメールで受信 / 過去ログ倉庫 / スレッド一覧 / リロード |
|
|