公開コミュニティにおけるセキュリティとかのお話。
はじめに
自分はこのインターネットという大海原で新しいMinecraftサーバーを作成・公開しようとしている三日坊主もいいところな飽き性の猫なのだ。
今リアルタイムでやってるプロジェクト(?)
The Pixel Nation'sについて興味を持ったのならここにアクセスして概要を見てみるのだ!
実際に起きた未遂事件の話。
これはこの記事を書くほんとに数日前のお話。
The Pixel Nation'sの運営チームがプレ公開として仮に公開しているDiscordサーバーで起こった実際のお話。
事の発端
とある日の昼、猫さんがお昼寝をしようとしたときにDiscordのサーバーから珍しく通知が入っていたことに気付いたのさ。
※このプレ公開中のサーバーは現在数人程度しか入っていない状況。
猫さんも暇だったし確認をすると、その時導入していた認証BOT「Double Counter」について認証パネルが消えただ認証ができないだで、ユーザーがわーわー言うていたのさ。
猫さんとりあえず認証パネルが消えてるのはまずいと思って認証パネルを再生成
※のちに別の運営が誤って消したことが判明
ただ、とあるユーザー一人だけは一向に出来ない、出来ないんだ!と騒いでいたのさ。
騒いでいるユーザーの主張
何で騒いでるのかと聞いてみると、
「前に他のサーバーで認証した別垢の情報が残っているためか認証することができない!」
というのだった。
たしかにその時のDouble Counterの設定ではグローバルな範囲でAlt Account(所謂:別垢)の情報を収集し、認証の有無を判断していた。
猫さんの対応と結末
猫さんは、まぁ、サブ垢の1つや2つ持っててもおかしくはないか。と思って、Alt Accountの検索範囲をグローバルからローカル(サーバー内)に変更しますた。
そいたら、
「出来ません!!」
よし、BANや。と思った矢先、ワーワー喚いてた垢だけログアウトしていきました。
その後調べていくと、似たような時刻に入っていた"SLBM"とかいう、名前からして物騒なアカウントが他の鯖で荒らしをしていたらしく、今回喚いてた人はslbmの別垢だったというわけです。
Deleted Userとなってないあたり他のところでもやりそうですね….
(((もしかしたら抜けた後じゃそうならないだけかも
今後猫さんが行いそうな対応
一般ユーザー編
現在のところやっている対策としては、
非VPN利用者でかつAlt垢をローカル内にて使用していない人か否かの認証
だけなのですが、今後はもしかすると
非VPN利用者でかつAlt垢をローカル内にて使用していない人か否かの認証
Gmail又はYahoo Mailアカウントによる存在認証
の2重認証方式に変えるかもしれません….
え?なんでメールアドレスを取るのかって?
Discord IDと紐づけてどこかに保存して、Minecraft鯖で荒らしがあればそのメールアドレスと、サーバーログに残るIPから開示請求して………
できるか知らんけど。
ただ、これするとユーザー視点で見れば、
ただプレイしようとしてるだけなのに、なんでここまでやらないといけないの?
っていう意見が出てきそうですよねぇ….
開発者メンバー及びDiscord管理メンバーについて
特にこのあたりに関しては権限付きになってしまうので、特に気をつけて雇用等していくつもりです。
今後行う予定の対応策
以下、権限付きユーザーの面接時に行う事一覧です。
DoubleCounterでのAlt Accountの検索
X(旧:Twitter)等での投稿内容の精査
メールアドレスでの存在確認
DoubleCounterは、現在一般ユーザーのみというかなりファンキーな利用をしていたのですが、今回の事件以降、運営の方でも利用していきたいと思っております。。。
あとの部分に関してはもう、言わずもがなって感じですね。はい。
まとめ
Pixel-Nation'sはいつでも君のことを待ってるよ((((
じゃなくて、、、
しっかり、信頼できる情報をもとに判断できるようになろう。。。。
サーバー情報
Discord
Web Site
配信場所
たまに猫さん配信してます。