注意
このページは外部ツールの存在を警告し、自衛を促す目的で作成されています。
(「プレイヤーサーチでヒットする範囲のキャラクターの情報を収集する」という当該のツールの機能から考えて、ユーザーが自衛できる部分は非常に少ないと考えられますが)
(「プレイヤーサーチでヒットする範囲のキャラクターの情報を収集する」という当該のツールの機能から考えて、ユーザーが自衛できる部分は非常に少ないと考えられますが)
概要
発生日:2025年1月11日頃(話題が拡散され始めた時期)
ブラックリストの仕様を利用し、同じアカウントのキャラクターを調べる外部ツールの話題が拡散。
(ツール自体は以前から稼働していた模様)
ブラックリストの仕様を利用し、同じアカウントのキャラクターを調べる外部ツールの話題が拡散。
(ツール自体は以前から稼働していた模様)
解説
※管理人注:当該ツールの入手手段や導入方法といった情報を記載しないようにしてください。
■フォーラムのスレッド(海外)
SE Please start caring about your players privacy.
https://forum.square-enix.com/ffxiv/threads/514672
■Xのポスト
Eorzean @eorzean_info
ブラックリスト機能の改修でゲームクライアントにプレイヤーのアカウントIDが送信されるようになり、これを悪用してサブキャラを特定したり滞在マップの履歴を閲覧できるツールが出ています。既に配信者のサブキャラリストが作成される等の被害あり
GitHub規約違反に該当するため有志による通報や、海外メディアからスクエニへ対応を問い合わせ中
Eorzean @eorzean_info
Reddit情報によると既に収集されたデータベースはブラウザ上で確認できる状態になっているとのこと。今回のツールが停止されても簡単なパケット解析でアカウントIDを見ることができてしまうためゲーム側での対策が必須
同エリアにいなくてもプレイヤーサーチに表示されるだけでアカウントIDが送信されている、と半年前のスレッドで懸念が表明されていました。
https://reddit.com/r/ffxiv/s/f5YnxLVRNa
■Youtubeの動画
Players Beware: Terrifying Plugin Coming To FFXIV! (MORE INFO IN DESCRIPTION)
https://www.youtube.com/watch?v=yDHcThOxqSk
■国内ニュースサイトの記事
【FF14】IDに紐づけられた全てのキャラクターや名前変更履歴などがわかる外部ツールの存在が話題に。脆弱性を利用
https://kultur.jp/ffxiv-playerscope-controversy/
『ファイナルファンタジーXIV』の吉田P、キャラクターIDの一部を参照する外部ツールに対して法的措置を検討中だと発表
https://jp.ign.com/final-fantasy-14-dawntrail/78121/news/xivpid
『ファイナルファンタジーXIV』の吉田P、キャラクターIDの一部を参照する外部ツールに対して法的措置を検討中だと発表 (上記IGNのYahooニュース版)
https://news.yahoo.co.jp/articles/0440d97676d3f961aacd80e750486e95e12719be
■海外ニュースサイトの記事
Final Fantasy 14 communities panic as it turns out change to blacklisting, meant to help reduce stalking, also lets players use mods to track their alts
https://www.pcgamer.com/games/final-fantasy/final-fantasy-14-communities-panic-as-it-turns-out-change-to-blacklisting-meant-to-help-reduce-stalking-also-lets-players-use-mods-to-track-their-alts/
This hidden variable was changed from being character-wide to account-wide with Dawntrail and the increased power of the blacklist function, as stated by a player who'd warned said subreddit about six months prior, who wrote: "One could make a tool that would log Account IDs and match them with character names. With this database, it's obviously possible to figure out alt characters if they were ever online."
この隠し変数は、Dawntrail とブラックリスト機能の強化により、キャラクター全体からアカウント全体に変更されました。これは、約 6 か月前にこの subreddit に警告したプレイヤーによって述べられており、次のように書かれています。「アカウント ID を記録してキャラクター名と照合するツールを作成できます。このデータベースがあれば、代替キャラクターがオンラインになったことがあるかどうかを把握することは明らかに可能です。」
(Google翻訳による)
当該のツールはPlayerScopeという名称。
遭遇したキャラクターの(通常の方法では確認できない)情報を収集する機能を持つ。
遭遇したキャラクターの(通常の方法では確認できない)情報を収集する機能を持つ。
簡単に言えば、「ブラックリストの仕様からアカウントIDを取得し、それを元に同じアカウントに属するキャラクターを調べる」「キャラクターの行動を調べる」といった機能であり、例えば「そのプレイヤーの、秘匿されたサブキャラクターを特定する」「特定したキャラクターの行動を追う」といった目的に使用される。
海外ではストリーマーの別キャラクターが晒されるといった被害の報告が上がっている模様。
海外ではストリーマーの別キャラクターが晒されるといった被害の報告が上がっている模様。
エリア移動をはじめとした行動履歴、キャラクター名変更やホームワールド変更履歴、幻想薬使用履歴の開示といった機能の存在も確認されているが、これらの機能がどの時点で搭載されていたかは不明。
これらのサービスの利用履歴は有償サービスの利用履歴を含んでおり、そういった意味でも問題として大きい。
これらのサービスの利用履歴は有償サービスの利用履歴を含んでおり、そういった意味でも問題として大きい。
プレイヤーサーチの結果に載る範囲に入るだけで情報を収集されてしまうため、回避は極めて難しいと言える。
極論すれば、ログインするだけでリスクとなる状況であると言えるだろう。
少なくともキャラクター単位の情報収集は以前から行われており、今回新たに出現したものではない(今回確認されたものは「ブラックリストの仕様を利用してキャラクター同士を紐付ける」のが新機能である)ことに注意が必要である。
経緯
2025年1月11日頃
海外サイトを中心にツールの情報が広まり始める。
当該ツールは2024年10月から存在しており、一部のユーザーにだけ配布されていたという証言がある。それが最近になり一般に配布されるようになったという経緯の模様。
当該ツールは2024年10月から存在しており、一部のユーザーにだけ配布されていたという証言がある。それが最近になり一般に配布されるようになったという経緯の模様。
2025年1月14日
Githubでソースコードが公開されていたが、Github運営はこれをBANしたとの情報あり。
ただし、他のサイトでツールの配布が継続している模様。
ただし、他のサイトでツールの配布が継続している模様。
Eorzean @eorzean_info
GitHubで一時公開停止となりましたが既に他のアップロードやフォークが存在している模様
2025年1月16日
Discordで配布が始まったとの情報あり。
2025年1月19日
公式放送があったものの、言及はなかった。
「新春ドマ式麻雀大会2025」 1月19日(日)放送決定!
https://jp.finalfantasyxiv.com/lodestone/topics/detail/1e1a44e04d3efd8ac26ac5aaf65ac77c49a3a3de
2025年1月21日
北米で、収集されたキャラクターデータが公開されたとの情報あり。
「北米ではMODやツールの使用が批判されるどころか推奨されている」「それは吉田P/Dが何もしないとプレイヤーに思われているから」という証言も含まれている。
「北米ではMODやツールの使用が批判されるどころか推奨されている」「それは吉田P/Dが何もしないとプレイヤーに思われているから」という証言も含まれている。
PCGamer 記事: 危険なストーキング MOD
https://forum.square-enix.com/ffxiv/forum.php#threads/514622/?page=16
shiraneko said:
Player
今日 14:21
どうもNAプレイヤーです。日本語がまだにくいのですみません。
最近話題になっているストーカーツールだけではなく、NAデータセンターではツール使用する大問題があります。
もともとNAサーバはJPサーバとは違い、ツールやMOD使い文化があり、あまり軽蔑することじゃなくて、むしろ推奨されています。自分の印象では大多数のプレイヤーはツールを使用している状態です。とくに三年前、「〇〇LAUNCHHER]というツール開発APIがリリースされた後、ツールの開発と使うのが非常に便利になってきました。チーティングツールとか、マーケットボード自動価格引き下げとか、ハウジングアイテム配置、PVP自動行動、そのほかにも山程あるんです。現在ではほとんどの使っているツールの原点はこのランチャーです。そして私にとって最も大問題なのは「AUTOMARKER]という自動マーカツールでギミックによってプレイヤーをマークするツールです。このツールは利用者だけじゃなくて、無関係なプレイヤーも巻き込まれています。今のNAサーバのPFではほとんどの絶パーティーは「AM]を使用していて、AMと関係したくない人もAMを強制された状態です。何故こんな状況になっている?と、それは”吉Pさんは何もしないから”とのプレイヤー印象があるんです。
本当になんとかしてください。;_;
shiraneko said:
Player
今日 15:32
2件投稿して申し訳ありません。4chというサイトによってもうすでにプレイヤー情報が出回って公開された。今朝、とあるファイルが悪意のある人物に漏洩された。このファイルはCrystalデータセンターのプレイヤーアカウントID、そしてそれぞれのアカウントに関連付けられたキャラクター名も漏洩されました。噂によると、Aetherデータセンターも情報収集中。運営チームは迅速に対応すべきだと思います。
なお、この投稿は1時間ほどで削除された。
削除の理由は「不適切な内容が記載されていたため」となっている。
削除の理由は「不適切な内容が記載されていたため」となっている。
shiraneko said:
今日 14:21
理由: 不適切な内容が記載されていたため削除いたしました。
shiraneko said:
今日 15:32
理由: 不適切な内容が記載されていたため削除いたしました。
補足:AUTOMARKER(オートマーカー)について
文中で触れられている「AUTOMARKER」については下記のフォーラムのスレッド等を参照のこと。
オートマーカーによるギミック処理について
https://forum.square-enix.com/ffxiv/threads/481530
「オートマーカー」の名称が表す通り、自動でフィールドマーカーを設置する、規約違反となる外部ツールである。
【アラガンメロン】の隠語で使用され(略称がAMであるため)、戦闘中にフィールドマーカーを設置できなくする仕様変更の一因になったとされている。
【アラガンメロン】の隠語で使用され(略称がAMであるため)、戦闘中にフィールドマーカーを設置できなくする仕様変更の一因になったとされている。
FINAL FANTASY XIV Patch 5.2
フィールドマーカーに、以下の追加/変更が行われます。
◆マーカー情報の保存・復元機能が追加されます。
◆戦闘中に、フィールドマーカーの設置/解除ができなくなります。
2025年1月24日
フォーラムに「ドイツのデータ保護当局に正式な苦情を申し立てた」という内容の書き込み。
投稿者のメインアカウントは、ツールについての書き込みにより10日間の書き込み停止を受けている模様。
投稿者のメインアカウントは、ツールについての書き込みにより10日間の書き込み停止を受けている模様。
Atinuviel said:
Player
今日 06:37
変に聞こえるかもしれませんが、Google で自動翻訳しています。
私はドイツのデータ保護当局に正式な苦情を申し立て、Square が私の個人データに関して「GPDR - General Data Protection Regulation (from European Union)」 に違反していると主張しています。
「tool」とそこから生じる問題について入手可能なすべての証拠をリストしました。また、Square は「tool」全般に対して何の措置も講じておらず、この問題と適切な保護の欠如によるシステムの脆弱性につながっています。
また、Square はユーザー向けの情報やこの問題に対する具体的な対策も公開していないと述べました。
今後も最新情報をお知らせします。
前回のメッセージでは、「tool」についてお知らせするためにここに投稿しましたが、私の「Main-Account」は 10 日間ブロックされていました。
この情報がまだ届いていることを願っています。
なお、この書き込みは同日に削除された。
Atinuviel said:
今日 06:37
理由: 不適切な内容が記載されていたため削除いたしました。
2025年1月24日 公式の声明発表
FINAL FANTASY XIV/FF14 @FF_XIV_JP
【お知らせ】
「キャラクターIDの一部」を参照する外部ツールについて
プロデューサー兼ディレクターの吉田がフォーラムにコメントを投稿しました。
詳しくはフォーラムをご覧ください。
🌐https://sqex.to/8GSl4 #FF14
X(旧Twitter)への投稿とフォーラムでの告知はあるが、Lodestoneのトップページや起動ランチャーに表示されるトピックスにはない。
PlayerScopeはFF14史上有数の規模の影響範囲を持つ外部ツールだが、その存在はユーザーにはそれほど知られていないため、現時点で存在を認識していないユーザーに情報を与えまいとしている可能性が考えられる。
PlayerScopeはFF14史上有数の規模の影響範囲を持つ外部ツールだが、その存在はユーザーにはそれほど知られていないため、現時点で存在を認識していないユーザーに情報を与えまいとしている可能性が考えられる。
「キャラクターIDの一部」を参照する外部ツールについて
https://forum.square-enix.com/ffxiv/threads/515101
通常のゲームプレイでは表示できない「キャラクターIDの一部」を確認・参照することで、
FFXIVサービスアカウント内の別キャラクター情報等を確認する外部ツールの存在を確認しています。
開発/運営チームではコミュニティの皆さんのご不安の声も含め状況を理解しており、
当該ツールの配布取り下げと削除要求
法的措置の検討
といった対応、および検討を進めております。
「キャラクターIDの一部」とあるが、実際に問題になっているのはアカウントIDや行動履歴である。表現により、問題を矮小化しようとしている可能性が考えられる。
また、ユーザーに大きな被害を及ぼすと考えられる「既に収集された情報をインターネット上に公開する行為」についての言及はない。
インターネット上に公開された情報を全て消すことは困難を極めることが予想されるが、収集したデータの公開や拡散への対策を取らなければ後の被害を防ぐことはできない。
また、ユーザーに大きな被害を及ぼすと考えられる「既に収集された情報をインターネット上に公開する行為」についての言及はない。
インターネット上に公開された情報を全て消すことは困難を極めることが予想されるが、収集したデータの公開や拡散への対策を取らなければ後の被害を防ぐことはできない。
これについては、「ユーザー個人による、単体の対象へのPlayerScopeを用いた非公開の情報の閲覧」のみを問題視しており、PlayerScopeによるデータの収集や、それによって作られるデータベースの存在を認識できていない、あるいは意図的に触れていない可能性もある。
フォーラムの投稿等により対応に対する疑問の声が上がっているが、中でも多くから問題視されているのが「クライアントの改修が予定にない」という点である。
いわゆるセキュリティホールだが、声明文にはPlayerScopeの開発や配布の阻止にしか言及がなく、FF14側の不備の修正には触れていない。
そもそも、「ブラックリストに使用するアカウントIDをはじめとしたプライベートな情報が(通常の方法では閲覧できないとは言え)ユーザーから閲覧できる状態になっている」という点がPlayerScopeの利用を可能にしている。
仮にPlayerScopeの開発と配布を止めさせたとしても、例えば「データベースを作成せず、対象のキャラクターの行動履歴を見るだけの外部ツール」といったものがPlayerScopeのソースコードから開発可能であることは想像に難くない。
いわゆるセキュリティホールだが、声明文にはPlayerScopeの開発や配布の阻止にしか言及がなく、FF14側の不備の修正には触れていない。
そもそも、「ブラックリストに使用するアカウントIDをはじめとしたプライベートな情報が(通常の方法では閲覧できないとは言え)ユーザーから閲覧できる状態になっている」という点がPlayerScopeの利用を可能にしている。
仮にPlayerScopeの開発と配布を止めさせたとしても、例えば「データベースを作成せず、対象のキャラクターの行動履歴を見るだけの外部ツール」といったものがPlayerScopeのソースコードから開発可能であることは想像に難くない。
PlayerScopeに絞った対策をしても、クライアントやブラックリストの仕様を変更しない限り別の外部ツールが用いられる可能性は否定できない。
同様の機能を持つ別の外部ツールが既に開発されているという情報もある。
同様の機能を持つ別の外部ツールが既に開発されているという情報もある。
2025年1月24日 吉P散歩
「吉P散歩」はプレイヤーサーチの対象外である特殊なエリアで行われた。PlayerScopeを警戒してのことと見られる。
ゆるゆる生放送「吉P散歩」 1月24日(金)放送決定!
https://jp.finalfantasyxiv.com/lodestone/topics/detail/4b87c9b29226934c14897ba5c9570baee343c67f
2025年1月27日
PlayerScopeによって収集された情報から作られたデータベースが公開されたとの情報あり。
MiaBlaze-Cari said:
Player
今日 17:42
EU プレイヤーです。翻訳を使用していますが、失礼な表現がありましたらお詫び申し上げます。
コミュニティの皆様、スクウェア・エニックスの皆様、
ここに投稿して申し訳ありませんが、この悪意のあるツールに関する状況全体の最近の進展を共有するにはここが適切な場所だと感じています。
約 8 時間前、法的措置が検討されているという最近の発表への対応として、完全に機能するサーバーと 145,000 件を超えるエントリを含むフォークされたデータベースが公開され、多くの悪意のある人物がこの悪意のあるツールにアクセスできるようになりました。
これにより、ストーカー行為の被害者となったプレイヤーにとって現在の状況は非常に危険であり、状況が悪化するのではないかと心配しています。この状況の最近の進展を考えると、プレイヤーとブランドへの被害を回避するために、このセキュリティ問題をできるだけ早く修正することが非常に重要です。
Discord サーバーを監視している人物 (保護のため、身元は明かしません) によると、彼らは開発を中止しておらず、発表を恐れてもいないとのことです。これらの人々は危険であり、人々に関する膨大なデータを収集していることを互いに賞賛しています。
この問題を解決するために迅速に行動してください。この状況は非常に懸念されています。
お時間をいただきありがとうございます。
MiaBlaze-Cari said:
Player
今日 18:10
Quote 引用元:SISOMAKI投稿を閲覧
情報が事実であるならば、非常に危険な状態ですね
現状では該当のツール作成者に対しては何の抑制・阻止効果が出ていない可能性が高いという事になります
こうなると、現段階で運営が表明した対応に加えて技術的改修対策が取れるまでサーバーの一時停止等を含む緊急的な対応を実施したほうがよいのではないでしょうか?
残念ながら、私は自分でデータを確認することができたので、漏洩の信憑性は確認できます。このデータをここで公開することでこのフォーラムのルールに違反したくないので、スクリーンショットは共有しません。
サーバー自体は Python で書かれており、145,000 人以上のキャラクターと約 3,900 人のリテイナーのデータがあります。
これは、統計によるとデータベースに 100 万以上のキャラクターと 380,000 人以上のリテイナーがあり、私の情報源から送られてきたスクリーンショットによると、67 人のプレイヤーがすべてのデータセンターでデータベースをアクティブに入力していると主張する悪意のあるツールの「公式」サーバーほどではありません。
翻訳に失礼な点があった場合はお詫びします。
これらの投稿は「サービス運営の妨害に当たる」として削除された。
MiaBlaze-Cari said:
昨日 17:42
理由: サービス運営の妨害にあたる内容が記載されていたため削除いたしました。
MiaBlaze-Cari said:
昨日 18:10
理由: サービス運営の妨害にあたる内容が記載されていたため削除いたしました。
資料
フォーラムの投稿と公式の対応
PCGamer 記事: 危険なストーキング MOD
https://forum.square-enix.com/ffxiv/forum.php#threads/514622/
【1】
Nagi-Dantes said:
Player
今日 10:56
件のプラグインツールで昨日からログインを辞めてますが、運営はあのプラグインがどれだけヤバいのかちゃんと理解して対策して欲しいです。
ログインしてキャラをマウスでワンクリされたら、自分のサブとリテイナー把握されるだけじゃないんです。
自分が所属してるFCやLSのメンバーも同時に見られてしまうんです。
知り合いからは『ロドスト非公開にすればいいよ、気にせずおいで』と言われましたが、ログインして自分だけでなく他者もリスト化に巻き込むこと考えたら、ログインなんてできないです。
YouTubeにplayer Scopeを使用した動画のアップがされてるのでリンク貼りますが、どれだけヤバいプラグインツールなのか動画を見て、ここの方の声を聞いて、このプラグインツールの危険さを感じて、ちゃんと対策すべきか考えて、運営が動いてくれることを願います。
それまでホントログインなんて怖くてできません。
動画リンク貼ることで、このコメントを削除されたら『運営は臭い物に蓋をしてなかったことにするんだ』とかんがえることにしますが。
player Scope使用動画リンク
https://youtu.be/yDHcThOxqSk?si=HYIPlhUwD9zqJPa2
Nagi-Dantes said:
今日 10:56
理由: 動画へのリンクが記載されていたため削除いたしました。
2025年1月17日14時49分頃、こちらの投稿は
「理由: 動画へのリンクが記載されていたため」削除された。
「理由: 動画へのリンクが記載されていたため」削除された。
Nagi-Dantes said:
Player
今日 15:40
動画リンクがダメだったようなので、文章だけであらためて失礼します。
件のプラグインツールを理由に昨日からログインするのを辞めましたが、あのプラグインツールの危険性を理解して欲しいです。
ゲームでログインしていたらキャラをクリックしてメニュー一覧からサブキャラとリテイナーが分かるだけでなく、自分が所属するFCやLSのメンバーも見れる状態になり、自分だけでなく他者を巻き込む形になってしまうのです。
知り合いからは『ロードストーンを非公開にすればいいし、気にせずおいで』と言われましたが、他者を巻き込むと考えると怖くてログインできません。
他の方も言われておりましたが、今回のプラグインツールは『キャラクターを人質にした個人情報収集ツール』という危険なものです。
どうか運営の方にお願いします。
自分だけでなく他者を巻き込むという危険性を抱えたまま遊ばなくてもいいよう、プラグインツールに対して何かしらの対応をお願いしたいです。
その後、動画URLのない文章が再投稿された。
【2】
Rehayem said:
Player
今日 03:09
こんにちは皆さん、また私です。翻訳ツールを使用しているので、文章が不自然または失礼に聞こえる可能性があることをお詫びします。
プロデューサーからの回答を拝見しましたが、残念ながらその内容はひどいものでした。この状況の核心的な問題には触れられておらず、プラグイン作成者を訴訟で追及することは何の解決にもなりません。
データはネットワークを通じて送信され、「Wireshark」のようなアプリケーションでアクセス可能です。そのため、すべてのプラグインが削除されたとしても、誰かが新しいアプリを作成し、独立した形でデータを収集し続けることができます。
私たちは、開発者に彼らが作り出した穴を修正するよう追及する必要があります。この脆弱性は7月から存在しています。開発者はデータをサーバー側で管理するべきです。そうでなければ、ユーザー層を軽視していることを示しているようなものです。
ありがとうございました。
