【FF14】最新のアプデで『ストーカーMOD』対策を施すも、1日で海外プログラマーが対策を突破する方法を見つけ出してしまう

MMORPG

今年1月、「ファイナルファンタジー14」のキャラクターに紐付けられたIDを利用して、サブキャラクターの存在や名前変更履歴などを筒抜けにしてしまうMOD『PlayerScope』が話題となり、運営も公式声明を出すに至った。

【FF14】サブキャラや名前の変更履歴などがわかってしまう外部ツールについて公式声明。「配布取り下げと削除を要求」
「ファイナルファンタジーXIV」において、キャラクターに紐付けられたアカウントIDを参照してサブキャラクターや名前及びワールドの変更履歴などを見れてしまう外部ツール「PlayerScope」が物議を醸...
kultur.jp
2025.01.24
PR

「パッチ7.2での対策、『不十分』で対策になっていない」と識者

ファイナルファンタジー14は3月26日にパッチ7.2アップデートを実施したが、IDを難読化することでPlayerScopeのようなストーカーMODへの対策を施したことがパッチノートでも言及されている。

パッチノートでは、キャラクターIDの一部の確認・参照が困難となるように対策を加えたと説明されていた。

しかし、かつてGShadeというMODに問題があることを暴いた実績のある、NotNiteというプログラマーが、パッチ7.2での対策が不十分であることを指摘した。

NotNite氏によると、FF14のアカウントIDは難読化(外部ツールから解析しづらく)されたものの、可逆的な措置であるためアルゴリズムを見つければ簡単にIDを本来の形式に戻し、PlayerScopeのような外部ツールで再び悪用される可能性があるという。

アカウントIDは難読化される前の元の形式に戻すことができ、その後通常通り使用できます。これは実質的にPlayerScopeのようなプラグインにとって何の影響もなく、ただ少し手間をかけて自力でアルゴリズムを見つける必要があるだけです。

what does this mean? account IDs can be reverted back into their non-obfuscated form and then used like normal. this functionally means nothing to plugins like PlayerScope except they need to work slightly harder and discover the algorithm on their own

NotNite (@notnite.com) 2025-03-25T22:34:23.485Z

NotNite氏は、許可を得た友人のアカウントIDを100%の成功率で復号化することに成功したと書いている。ただし、セキュリティ上の理由から、解読のアルゴリズムは伏せるとしており、これ以上の情報を共有しないとのこと。

抜本的な対策が必要

NotNite氏は問題の抜本的な解決策として、「IDを難読化するのではなく、そもそもFF14アカウントに紐付けられたIDをクライアント側に送信しないこと」を提案している。

しかし、FF14は2013年に作られた古いゲームであり、ブラックリストシステムを機能させるためにIDをクライアント側に送信しなければならない構造になっており、これを解決するにはシステム全体の大規模な改修や構造の変更が必要になり、かなりの時間とコストを要するとしている。

海外メディアのPC GamerがNotNite氏に取材したところ、「スクウェア・エニックスが何を考えていたのかは正確にはわかりませんが、FF14開発チームにはこうしたセキュリティを専門とするスタッフがそれほど多くいないのではないかと思います。彼らは主にゲームクリエイターであり、サイバーセキュリティの専門家は二の次だと思います。これは開発スタッフのせいではありません。スクウェア・エニックスはおそらく、セキュリティの分野で豊富な経験を持つ人を雇いたいのではないでしょうか。」と語ったという。

'I can't really say what they were thinking' says whistleblowing modder, as Final Fantasy 14's attempt to thwart stalkers falls terribly short of the mark
NotNite, a coder with a history of taking malicious modders to task, has sounded the alarm.
www.pcgamer.com
Final Fantasy 14 patch makes an effort to combat mods that can enable harassment, but players report it's "very easy" to reverse newly hidden account IDs
While account IDs are seemingly harder to obtain, it's still not impossible
www.gamesradar.com

コメント

  1. 匿名 より:
    2025年3月28日 4:10 pm

    >FF14は2013年に作られた古いゲームであり、ブラックリストシステムを機能させるためにIDをクライアント側に送信しなければならない構造になっており

    黄金からブラックリストをアカウント単位に変更したのが問題なんだよね
    リストに入れるとキャラ自体非表示になるからクライアント側にID送ってる
    かといってサーバー側で一々識別してクライアントに送るなんてやってられないし
    ブラックリストをキャラ個別に戻すしかない気がする

    返信
  2. 匿名 より:
    2025年3月28日 4:45 pm

    もうどこの鯖にでもchみたいに気軽に移動できるようにしたら?

    返信
    • 匿名 より:
      2025年3月28日 5:34 pm

      どれぐらいの気軽さを想定してるか知らんけどもう出来るんだよな
      その上この問題にはあまり関係がない

      返信
  3. 匿名 より:
    2025年3月28日 5:46 pm

    対策版がディスコで配布されてたし終わりやね

    返信
  4. 匿名 より:
    2025年3月28日 7:30 pm

    そもそもツール何て作るなよ…
    運営を邪魔してなんのメリットがあるの?

    返信
    • 匿名 より:
      2025年3月29日 9:54 am

      こういうのは大企業を相手にして自分の好奇心を満たしてるだけ

      方向性としては興味もない有名芸能人の不倫騒ぎで盛り上がる感情と大差無い

      返信
      • 匿名 より:
        2025年3月29日 10:27 am

        でも水面下で悪質にやられてて気づいたら悪用されてたとかに比べると公にしてる点はまし

        返信
  5. 匿名 より:
    2025年3月28日 10:38 pm

    記事でもあるけど、13年前の、しかもほぼ潰れてたサービスに根本対応なんて無理だからな
    この脆弱性見つけた人らにどれくらい工数掛けたら対応出来るか聞いたら良いよ
    サービス終了するくらいの金額出るから

    返信
  6. 匿名 より:
    2025年3月28日 11:16 pm

    ジャップのゲームに技術力なんか求めるな

    返信
  7. 匿名 より:
    2025年3月29日 4:57 am

    これも相当にお粗末だけど
    スクエニはまずまともなエンタメ路線のストーリーを描けるようになって欲しいわ
    大型タイトルに限ってヤバイ

    返信
  8. 匿名 より:
    2025年3月29日 8:13 am

    運営の人が全然問題ないって言っていたから大丈夫だよ。

    返信
  9. 匿名 より:
    2025年3月29日 12:05 pm

    海外でどれくらい被害が出てるのか知らんけど日本国内だと被害にあったって人見ないからいまいちピンとこない問題だわ

    返信
  10. 匿名 より:
    2025年3月29日 1:24 pm

    キャラ追跡されるくらいどうでもよくて笑う
    過去のログ見られるとかなら流石に引くけど

    返信
  11. 匿名 より:
    2025年3月29日 3:20 pm

    こんなのすごい工数かけて対策したとてプログラマーがガチ回析したら大抵突破されるじゃん
    今更システム大幅改修とか工数の無駄だよ、ここに金をかけるってことはその分アップデートが薄くなるって分かってんのかね
    クラッカーはセキュリティの穴を指摘してさもゲームのためみたいに偉そうに指摘するけど実際はゲームの寿命縮めてるんだよ、予算は無限だと思ってるのだろうか

    返信
    • 匿名 より:
      2025年3月29日 5:12 pm

      本来隠さなければならない情報が個人レベルのツールで洩れるって普通あり得ないって話なんだけど

      返信
      • 匿名 より:
        2025年3月29日 7:17 pm

        日本はともかく海外は個人でそれくらい出来るのがごろごろいるからオフゲオンゲ問わず解析されてMODやチート出回ってるやろ
        ツールがないのは人がいないゲームだけだよ

        返信
    • 匿名 より:
      2025年3月30日 7:37 pm

      うん、今のところまだアカウントのワンタイムパスワードとかクレジットカード情報とかは突破されていないようだけど、いずれはこの辺も突破されるかもね

      返信
      • 匿名 より:
        2025年3月30日 10:57 pm

        そのへんはクライアントに送られてくるID解読するのとレベルが違うしガチ犯罪だからやらなそう

        返信
      • 匿名 より:
        2025年3月31日 4:16 pm

        そこやるにはゲームのサーバーでは無くてオンラインショップとかそっちの方をハッキングしないと出ないだろうな
        ゲームサーバーには所詮キャラのパラメータしかないから、今漏れてる情報ではその辺りしか拾えない

        返信
  12. 匿名 より:
    2025年3月30日 12:11 am

    ユーザーは別にいいと思ってるようだし対策する必要なさそうだな

    返信
  13. 匿名 より:
    2025年3月30日 11:06 am

    たぶん裁判にでもならない限りヨシダは場当たり小手先対応しかしないだろう。まあ愚民をだますにはこんなんで十分だし。

    返信
    • 匿名 より:
      2025年3月31日 4:15 pm

      裁判したところで、そもそも罪状が無いから起訴辞退されないでしょ
      むしろツール作者が起訴されるくらいで
      そもそも今漏れてるアカウントIDてロドストのURLに出てる情報でしょ

      返信
  14. 匿名 より:
    2025年3月30日 2:58 pm

    サーバー側でのブラックリスト対応は計算量がキャラ数の二乗オーダーになるからできないんとちゃうか
    コスパを考えたらハッシュ化で十分と判断したんだろうな
    とりあえずできるからやるってやつはそれで排除できるだろうし

    返信
  15. 匿名 より:
    2025年3月30日 3:38 pm

    何を目的としたストーキング行為かは使い手次第なんだろうけど
    直結ストーカーの類は本当にしつこい

    返信
  16. 匿名 より:
    2025年3月30日 4:47 pm

    これほどFFらしいツールもないなぁ

    返信
    • 匿名 より:
      2025年3月31日 11:39 am

      こんなもんROの時代からあるよ
      ひっそり作った新キャラに次の日メッセージ飛んできたりしてたわ

      返信
  17. 匿名 より:
    2025年4月1日 12:59 pm

    ツールやチートとずっと戦ってる中国のネトゲだとセキュリティガチガチで対策されてんのみたら日本はやっぱ技術遅れてんな

    返信

Pick Up

中国のゲーマー達は「高品質な買い切り型ゲームがガチャでキャラ1人引くより安い」ことに気づき始めていると海外メディア
初期開発スタッフが語ったMMORPG『リネージュ』の裏話。「ウルティマを参考にしたが、戦闘しか作れなかった」
FF14の「序盤が退屈」→「レベル60を超えたら楽しくなる」というような反論は『有害なポジティブさ』との指摘
『星痕共鳴』と『ブループロトコル』が戦闘以外で大きく異なる点
PR
タイトルとURLをコピーしました