【FF14】IDに紐づけられた全てのキャラクターや名前変更履歴などがわかる外部ツールの存在が話題に。脆弱性を利用

FF14用のいわゆる外部ツール「PlayerScope」が悪い意味で話題となっている。

この外部ツール（プラグイン）は、アカウントIDに紐付けられた全てのキャラクターや所有リテイナー、さらにはキャラクター名の変更履歴からホームワールド変更履歴、行動履歴まであらゆる情報を取得できるという。

ファイナルファンタジー14ではブラックリスト機能が強化され、キャラクターだけでなくアカウント全体を対象としたブロックが可能となったが、この仕組みには脆弱性があり、各プレイヤーアカウントに紐付けられた固有のIDからキャラクターを照合できるようになってしまったという。

PlayerScopeを導入すると、近くにいるプレイヤーの情報を収集可能で、そこから対象プレイヤーの各種情報を入手できるようだ。

脆弱性があることは今から6ヶ月前にRedditで指摘されていた。当時の投稿では、ブラックリストシステムのアップデートにより、全てのキャラクターに固有のアカウントIDが付与されるようになり、これを悪用するとサブキャラクター情報を調べることができるようになり、「アカウントIDを記録してキャラクター名と照合するツールを作成できるようになる」と警告されていた。

このようなツールは以前から存在していたようだが、7.0でのブラックリスト機能のアップデートによって、アカウントIDが各キャラクターに紐付けられ、さらにそれがツールを介してクライアント側で収集可能だったことで今回のような事態になってしまったとみられる。

作者はPlayerScopeを一般公開しておらず、一部の知り合いにだけ提供していたが、GitHubからその存在が知られ、欲しいという声が多数寄せられたという。

実際に使用している動画

このプラグインの存在が話題になったことで、スクウェア・エニックス側も何らかの対策を講じる可能性が高いが、FF14コミュニティでは「ストーカーが可能になる」と大きな批判が巻き起こっていた。

Final Fantasy 14 communities panic as it turns out change to blacklisting, meant to help reduce stalking, also lets players use mods to track their alts

While anxiety is targeted at one mod, the information it scrapes isn't hard to find.

www.pcgamer.com