衝撃のタイトルでございます!
先日、息子くんRobloxで乗っ取り被害にあっていた模様。
ゲーム内通貨であるRobux(ロバックス)をありったけ持っていかれました。。
でも、息子くん自力でカスタマーサポートと交渉し無事に取り返すことが出来ました!
良かったねー!
その経緯について書こうと思います。
ロバックスについて
ロブロックスにログインすると、右上の端の方に設定の歯車アイコンがあるんですがその隣に出ている数字が、今持っているゲーム内通貨ロバックスの額。
↓ これは私がログインした画面。課金も何もしていないので「0」と表示されています。
息子くんのアカウントは年間会費払って「ビルダーズクラブ」というものに加入しているので定期的に月1回ロバックスが貰えてるんです。
(ビルダーズクラブって言葉、何度聞いてもマッチョマンの集団思い浮かべてプッてなるんですけどーw)
ビルダーズクラブの特典はほかにもいくつかあるらしいです。
しかーし、今はもうビルダーズクラブは無くなってて、代わりに「Roblox Premium」(ロブロックスプレミアム)というものになってるみたいです。
年会費会員っていうのはなくなったみたいですね。
1月31日(金) ロバックスがなくなっていることに気づく
いつものようにロブロックスで遊んでいたら、ふと手持ちのロバックスが0になってたことに気づいたそうです。
履歴を見ると、知らないアイテムが購入されています。
日付は昨日。しかも、手持ちの額全部1770ロバックス。
そんな残高ちょうどの額のアイテムを間違って購入したとは思えない。怪しい、怪しすぎる!!
しかも何このいけてない服!こんなの1770ロバックスも出して買うわけないじゃない!
というわけでこれはやっぱり盗難です。
息子くんから
「乗っ取りでロバックス盗まれた・・
でも詐欺でカスタマーサポートに連絡すればもどってくるかもしれないからやってみる」
と報告を受けました。
Support - Roblox
↑ ここから問い合わせを行ったそうです。英語で。
この記事書くのに今書きながら息子くんに聞きながら私がまとめてるんですけど、この問い合わせページどこから行くか難しすぎ。。
メインの画面からはたどれないようでした。
またそれと同時に二段階認証とアカウントPINの設定を行ってセキュリティ対策を強くしていました。
- 二段階認証
- アカウントPINの設定
もう乗っ取らせないぞ!
2月2日(日) カスタマーサポートから返信
問い合わせから2日後の早朝5時に最初の返事を受信しました。
要約すると、
- セキュリティの設定(二段階認証・アカウントPIN)やってくださいよ
- アカウント(ロバックス)の復元、やっても1回限りですよ
- 被害にあった状況をスクリーンショット撮って送ってくださいよ
ということでした。
セキュリティの設定は、初日にやったのでOK。
スクリーンショットを撮って送りました。
送ってすぐその日に返信があり、スクリーンショットのどのアイテムがその被害のものかわからないのでマークをつけてくれとのこと。
すぐに印をつけた画像を返信していました。
その日の夕方もう一度メールを受信。
審査するので1~10営業日待ってください、とのこと。
2月4日(月)ロバックスが戻ってきた!
1,770のRobuxがあなたのアカウントに復元されました。
というメッセージで、無事1770ロバックスが戻ってきました!
わー!ぱちぱち。
↓ 右上に1,770と表示されました♪
ただ、メッセージ内に「1回だけです。セキュリティしっかりしてね」と念押しが。
そして気になる記載が!
If you are using Chrome, please take a moment to check for and remove any Roblox related extensions. We also recommend checking and removing all browser extensions. Some browser extensions can steal login information or cookies and this allows someone else to access your account. We recommend not using any browser add-ons or extensions unless you are 100% sure they are from trusted sources.
↓ Google翻訳 ↓
Chromeを使用している場合は、Roblox関連の拡張機能を確認して削除してください。すべてのブラウザ拡張機能を確認して削除することもお勧めします。一部のブラウザー拡張機能は、ログイン情報またはCookieを盗む可能性があり、これにより他のユーザーがアカウントにアクセスできます。信頼できるソースからのものであることを100%確信がない限り、ブラウザーのアドオンや拡張機能を使用しないことをお勧めします。
これは…。Cookieのセッション情報を読み取れば簡単にハッキングできるということですね。
息子くんは実は知ってたそうです。
実際にログイン中のブラウザのCookie情報からセッションID抜き出して別のPCからアクセスしてみたら、ログインせずに簡単に自分のアカウントに入れたそうで。
セキュリティ甘いんだよね~ロブロックスって~、って。
『2/4追記』
よく調べました。
このセッション管理方式は一般的なんですね。
対策をしてないこちら側が悪い。
私これでもWEBシステム開発者なんですけど…いつも誰かが作ったセッション管理のベースの上での作業しかしてないので深くまで知らなかったです。バカチンですね~。→ CookieのセッションIDを移植するだけでは乗っ取れない技術的な仕組みがあるのだろうと思っていました。
勝手な情報を配信してしまって、しかもロブロックスをディスるようなこと?書いてごめんなさい!!
Cookieの情報を盗まれないように十分対策をとることが重要ですね。
また盗まれても大丈夫なように、他のはじめての端末からのアクセス時には確認が必要になる二段階認証の対策をする。
息子くんともしっかり情報を共有しました。
セキュリティ対策はしっかりしてないといけないね。
今回はたかだかゲーム内通貨の話ですが、こういうのって「まさか自分が」ってなりますよね。
私もいろいろ気をつけていこ~と思いました。
スター・はてブとても嬉しいです
