ワンタイムパスワードの恐怖とネクソンサポートの遅さにイライラした件

0-6

ネクソンアカウントのセキュリティで唯一マトモに

機能するとされている「ワンタイムパスワード(OTP)」。

しかし、そこには思わぬリスクがあった。完全無欠のように見えたOTPだったが

今回の事件をきっかけにリスク管理の見直しを余儀なくされた。

事件は3月31日に起きた。

やっちは月に1回はスマホを落とす。買ってから半年後に画面にヒビは入っていた。

まぁヒビなんて気にしないし、用途はスマホをサポートにした使い方なので

スマホが最悪潰れてもそこまで甚大な被害にはならないと考えていた。

しかし、違った。

よくよく考えてみると、スマホには「VIP Access for Mobile」という

アプリ版ワンタイムパスワードを使っていた。そのため、マビノギにINすることが

できなくなった。非常に困った。

なぜ、ハウジングは広告期限が24時間なのか・・。

実は広告期限が1週間くらいあったら別に気にしないところなのだが、

1日しか持たないため機会損失パーティになってしまう。

これが真面目にネクソンIDの復旧をしようと思った動機。

盲点だった、ワンタイムパスワードは紛失する可能性があるなんて

これだ。

何事も起こってから対処しちゃうんだよな。ワンタイムパスワードなんて

タダで使えるから、そこまで真剣にリスク管理しないよ。

NEXON IDのセキュリティってのはメールアドレスを携帯に設定しようが

複雑なパスワードに、回答困難な秘密の質問にしようが、実質は丸裸だと

思ってたほうが良い。

本国のネクソンは顧客情報流出してるし、日本のネクソンだって公式の発表が

無いだけで流出していないとは言い切れない。

実質、まともに機能するであろうセキュリティはOTPしか無いわけ。

でも、そのOTP自体にもリスクはあった。

今回のように、アプリ版ワンタイムパスワードだとアプリを入れた端末が

故障したり紛失した場合、どうしようもなくなる。

パソコン版ならどうだろうか。この場合は故障はめったにないし、

ましてや盗まれることは極めて稀だろう。家族と共同で使っているとしても

OTPが悪用される心配はそこまで無い。

パソコン版で解決!

と、思ったんだけど。やっちの場合は結構PCが3台くらいあって、それぞれから

INすることもあってさ。わざわざPCを起動したりするのが面倒なんだ。

パソコンが一台しかなくて、絶対にそこからしかマビノギにINしないって

決めてる人はパソコン版ワンタイムパスワードで解決。

最後に残ったのがトークン端末。

スマホのように故障する可能性ははるかに低いが、最大の欠点は紛失だ。

壊れることは滅多に無いだろうけど、大きさが大きさなので無くしそうでコワイ。

ということで、ワンタイムパスワードはそれ自体が無くなってしまうリスクを

ヘッジする方法が存在しない。

だから、ネクソン側も一応ワンタイムパスワードの解除には応じてくれている。

・・・。

これさ、個人情報知ってる人がいたら容易に解除されるね。

ネクソンIDの復旧

OTPのリスクは無くなってしまうこと。

ネクソンも解除に応じてくれている。

ということで、まずはネクソンサポートに問い合わせ。

すると。

赤枠の部分の情報が必要とのこと。担当者によっては変わるらしいけど、まぁ

だいたいこんな感じなんだろう。

・ワンタイムパスワードを解除したいID

・氏名

・電話番号

・生年月日

・認証済みメールアドレス

返信したら、電話番号が違うって言われてビックリ。

スマホの前に使っていたPHPのままだった。

結果、ワンタイムパスワードの解除をしてくれた。

解除されると、今は画像認証が出てくるみたい。

非常に面倒だね。サブアカウントでINするときに鬱陶しく感じる。

思ったんだけど、日本語を打つよりも数字打つほうが楽なので

他のサブアカウントにも同じトークンIDのワンタイムパスワードを設定すれば

いいんじゃね?

画像認証をすると、パスワードの変更を促された。

どうやら、キャンセルを選択するとINできない様子。

OKを押してマイページに行き、パスワードやらOTPの再設定をする。

トークンIDと、表示されているワンタイムパスワードを入力する。

今回からスマホはやめて、素直にVIP ACCESS公式の端末を使うことにした。

Amazonで1500円で購入できる端末タイプのワンタイムパスワード。

これで、故障リスクは極限に抑えられる。でも、紛失の心配が大きくなった。

パスワードも変更。

昔の垢ハクされまくってた自分では想像もできないような、難解なパスワード。

それでも個人情報が筒抜けになったりしたら、意味が無いことはよくある。

そのためのOTP。

・・・。

マイページで情報を変更すると認証済みメールアドレスに確認メールが行って

そのメールのリンクを踏まないと行けないらしい。

しまった。

認証済みメールアドレスがなんと、その故障したスマホのキャリアメールだった。

ということは、マイページの変更が出来ない。

マビノギにも結局のところ、INすることは出来ない。参った。

なんとか、スマホから認証メールのリンクを踏まなければならない。

そこで。

スマホでマウスを使用可能にするデバイス。

値段はたったの500円。

でも、結局のところ、故障したスマホは操作ができないどころか画面すら

映らなくなって(何故か重症化してる・・)いたので、画面をPCに表示させつつ

マウスで操作することも考えたが、コストと時間が無駄なので足早に

他に方法が無いか確かめた。

すると・・。

どうやら、この場合も対応してくれるようで、メールアドレスがなんらかの理由で

「失効」してしまった場合は、メールアドレスの変更に応じてくれるとのこと。

メールアドレスの変更の申請に必要なのは、

・メールアドレスを変更したいID

・氏名

・生年月日

と、随分と簡単な情報だけで変更してくれる。

恐ろしいね。

これって、OTP以外のセキュリティはキーロガーなんて仕掛けられていたら

看破されるよね。

返信すると、メールアドレスは現在やりとりをしているメルアドに変更してくれる。

これで、認証可能になった。

なんだ、ネクソンサポートって真面目に仕事してるじゃん

・・・。

ものすごく返信がトロくてイライラするけどね。

そう、ネクソンサポートは割りと真面目に仕事してくれるんだけど、見ての通り

やりたいことはたった2件のことなのに、これだけのメールを要した。

とにかく返信が遅いからイライラする。

まず、自動返信メールが来る。そして翌日の夕方や夜遅い時間に返事が来る。

サポートの要求をすると、受付番号がもらえるが、それが毎日300~500くらい

増えているのを見ると、かなりの数のサポートメールが来てるみたいだね。

そして、サポートに割いている人員も多分、そこそこ少ないか、質が悪いかの

どちらかだ。とにかく、この遅さには辟易した

結局、メールアドレスの変更が完了した日にはスマホは保証を使って

新品同様のものをもらったので解決してしまった。

さっさとスマホを治したほうが速かったな、これだと。

旧世代のマシン。

スマホといえば、中国メーカーが割と頑張ってて驚きだね。

ファーウェイとか、オクタコア搭載のハイエンドスマホとか出してるじゃん。400ドル程度で。

スマホが無かったのは一週間ちょいですが、意外なことにマビノギにINできなくても

スマホがなくても言うほど不便ではなかったこと。

でも、やっぱりSMSの受信も出来ないし、LINEも作れないので、スマホはないと

成立しないような構造があるよね、世の中それ自体に。

と、思ったら仮想スマホを使えば解決するらしい。PC上でしか動かないから

やはりスマホは持っていたほうが便利であることに変わりはないんだけど。

まとめ

ワンタイムパスワードそれ自体が紛失するリスクは絶対に消えない

・サポートしてもらうときは登録情報が命なので、今のうちにメモっておこう

・現状、マトモに機能しているセキュリティはワンタイムパスワードくらい

・利便性の観点から、端末型トークンがオススメです

→ VIPトークン(Symantec Validation & ID Protection 対応トークン)

では、またねノ

Sponsored Link