【悲報】艦これのセッションハイジャック、IPA から脆弱性ではないとの回答。なお乗っ取りは今も制限付きで可能【これは酷い】

【注意】艦これなど、DMM のゲームのアプリTokenがフリーWifiなどで簡単に盗聴・ハイジャックされる件
この件、IPAに脆弱性として報告してやり取りをしていました

以下が流れです

私から
・SSLでの暗号化をしていないため、パケットキャプチャなどでセッションハイジャックが可能であることを報告。

IPA からの回答１
・SSL で暗号化されていない事と、 セッションが適切に管理されていないことは別々の脆弱性です。
別々の脆弱性の報告と言うことで構いませんか？

私から
・はい、かまいません

IPA からの回答２
・ログイン画面等のウェブページの通信を暗号化していないことだけでは脆弱性とまでは言えません。どの情報をどの程度保護するかはウェブサイト運営者のポリシー等に委ねられています。ウェブサイト運営者のポリシーとして、個人情報保護方針を調査しましたが、暗号化についての記載を確認することはできませんでした。
ただし、ログインページなどにおいては、通信が暗号化されたほうがよ,り安全なため、ウェブサイト運営者に参考情報として通知すべきと判断,しました。

|｡･ω･) 。o (はい？)

ちなみに、2018年7月現在どうなってるかというと
今も暗号化はされていない、
艦これの「GAME START」ボタンを押さない状態で、通信エラーなどでゲームが続行できなくなった場合、そこまでの通信を傍受された場合、アカウントを丸ごとのっとって操作することが可能であるのを確認。
オリジナルのユーザーの通信が復帰して、継続しようとすると猫る。

1年近く、艦これなどのDMMゲームは アカウントハイジャックできる状態で放置されています
ただし、艦これみたいにワンクッションおかずに起動できるゲームで、セッション管理ができているアプリケーションについては、乗っ取りはできないと思われます。

今も、信頼できないフリーWiFiなどで艦これはプレイしてはいけない