【重要】セカンドライフのアカウントのセキュリティについての重要なお知らせ

セカンドライフでは以前から、公式サイトやマーケットプレイスに偽装したフィッシングサイトへの誘導メッセージがグループ IM で流れるような形でのフィッシング詐欺が横行しています。

それに加えて新たに、セカンドライフビュアー内のポップアップウィンドウの仕組みを利用して、“あなたのアカウントが侵害されたので、サポートに連絡してください”というメッセージと共に、リンデンラボの番号ではない偽の電話番号を表示するフィッシング詐欺が出てきたそうです。

An Important Reminder About Account Security - Featured News - SecondLife Community

https://community.secondlife.com/blogs/entry/2250-an-important-reminder-about-account-security/

“ポップアップウィンドウ”というのがどういうものなのかの詳細は、公式ブログの記事では詳しく解説されてはいないのですが…、

本当にアカウントが乗っ取られたなどの問題が発生した場合、このような形でリンデンラボからビュアー内に通知が出ることはありません。

ここで表示される電話番号に電話をすると、アカウントの情報を聞きだされてアカウントを乗っ取られてしまう危険性がありますので、こういったメッセージが出た場合は絶対に電話をしないようにしてください。

アカウントを侵害されたと感じた場合は、セカンドライフ公式サイトのサポートチケットから問い合わせを行なうようにしてください。

サポート案件の新規作成 | Second Life ヘルプ

https://support.secondlife.com/create-case/?lang=ja

ツイート

アカウントのセキュリティーについての備忘録

フィッシングなどの被害からアカウントを守るための方法が、公式ブログで紹介されています。

A Reminder About Account Security - Second Life

https://community.secondlife.com/t5/Featured-News/A-Reminder-About-Account-Security/ba-p/3012883

• あやしいメールを受け取った場合は、phishing@secondlife.com 宛に転送したあと、それを削除してください。
• あやしい IM を受け取った場合は、それがあなたのお友達に見えたとしても、迷惑行為として通報（abuse report）をしてください。詐欺師はアカウントを盗んだあと、犠牲者の友達を騙そうとするからです。
• あなたのアカウントが危険にさらされた場合は、すぐにサポートポータルから Second Life Billing に連絡してください。（電話で連絡することも出来ます）
• アンチウイルスのソフトを常に最新版に更新して、ウイルススキャンを行なってください。
• アカウントを安全にしておくために、パスワードの変更を頻繁に行なってください。もしあなたがフィッシングのリンクをクリックしてしまったことに気がついたら、すぐにパスワードを変更してください。
• もしあなたが複数のアカウントを所持している場合は、アカウントごとに違うパスワードを使用してください。
• セカンドライフのパスワードを、他のサービスで再利用しないでください。
• 覚えるのが簡単なパスワードは、他の人から簡単に類推される可能性があります。
• あなたのクレジットカード情報を偽のメールやサイトに入力してしまった場合は、すぐにカード会社に連絡してください。

詳しい情報は、Wiki のページをチェックしてください。

Linden Lab Official:Email Scam (Phishing) FAQ - Second Life Wiki

http://wiki.secondlife.com/wiki/Linden_Lab_Official:Email_Scam_(Phishing)_FAQ

公式ブログや Wiki で紹介されている内容は、セカンドライフに限らず、どのサービスにもあてはまる内容です。

日本のユーザーの中でも、セカンドライフをターゲットにしたフィッシングの被害に遭われたという方もいらっしゃるそうですので、この辺は常に注意をするようにしてください。

アカウントがハッキングされてしまった場合の対応方法は、以前こちらのブログでもご紹介していますので、そちらもご覧ください。

天使になりたくて: アカウントがハッキングされてしまった場合の報告方法

http://sakuranoelfayray.blogspot.jp/2015/04/account-hacking.html

ツイート

SSLv3 の脆弱性「POODLE」の対策を行った公式ビュアーがリリースされました

SSLv3 の脆弱性「POODLE」の対策を行った公式ビュアー、バージョン 3.7.18 (295539) がリリースされました。

セカンドライフ公式サイトのダウンロードページからダウンロード出来ます。

Downloads | Second Life

http://secondlife.com/support/downloads/

SSL と言うのは、インターネットの通信を暗号化して、安全にやり取りが出来る仕組みのことです。

Transport Layer Security

http://ja.wikipedia.org/wiki/Transport_Layer_Security

銀行などのオンラインバンクの取引やショッピングサイトでのお買い物などはもちろん、最近は Twitter や Facebook など様々なサイトで利用されているものです。

SSL の技術も日々進化をしていて、現在は「TLS 1.x」というバージョンが主に利用されているのですが、昔の SSL 3.0 のバージョンを使い続けているところもまだあるそうです。

そういうサーバーにアクセスした際にサイトが全く利用出来なくならないように、これまでは TLS に対応していないサービスでは、自動的に SSL 3.0 に切り換えて通信を行う仕組みが、ほとんどの SSL を利用したアプリケーションに用意されていました。

ところが、この SSL 3.0 に設計上の脆弱性（欠陥）が見つかって、Wi-Fi スポットのような他のユーザーの通信が見れるような場所の場合は、暗号化された情報を復号することが出来てしまい、ID やパスワードなどのアカウントの情報などにアクセス出来てしまうことが分かりました。

このための対策が、サーバー側はもちろん、ユーザー側の Web ブラウザなどの SSL を利用するアプリケーションでも現在行われています。

セカンドライフの公式ビュアーも内蔵ブラウザでは SSL を使用していますので、バージョン 3.7.18 (295539) でこの対策が行われました。

具体的には、セカンドライフの内蔵ブラウザで使用されている SSL での SSL 3.0 を削除して、根本的に無効化するという対策が行われました。

これにより、バージョン 3.7.18 (295539) 以降では、より安全に SSL のサイトを利用することが出来るようになります。

もし、バージョン 3.7.18 (295539) 以降で、内蔵ブラウザで利用出来ない SSL のサイトが出てきた場合は、その際はサーバー側の問題が考えられますので、そのサービスのサーバーの管理者さんに連絡をしてください。

この対策は、セカンドライフのビュアーだけでなくて、Chrome や Internet Explorer などの Web ブラウザなどでも、同様に行われているものです。

インターネットの安全な利用のためには不可欠なものですので、バージョンアップ可能な方は、すぐに導入された方がいいです＾＾


ちなみにこのバージョンでも、Mac 版での日本語入力の不具合はまだ解決していません。

天使になりたくて: Mac 版ビュアーの日本語入力改善にご協力お願いします

http://sakuranoelfayray.blogspot.jp/2014/08/contrib-pellviewer-input.html

以前ご紹介した日本語入力修正のテスト版を引き続きご利用になられる方は、内蔵ブラウザで SSL のサイトを利用される場合はそういうセキュリティー上の問題がありますので、内蔵ブラウザではなく、Chrome や Safari などの同様の対策を行っている Web ブラウザを利用されるようにした方がいいです。

SSL 3.0に深刻な脆弱性「POODLE」見つかる　Googleが対策を説明 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1410/15/news054.html

Apple、OS X向けのセキュリティアップデート公開、SSL 3.0の脆弱性に対処 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1410/17/news104.html

ツイート