Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Facepunchの会員データ漏洩

Troy Hunt氏の「Have I Been Pwned」はセキュリティ関連の方であれば、毎月聞くようなサイトかと思います。こちらのサイトで新たに10/17に漏洩データとして登録されたのが英国のゲーム開発会社Facpunchでした。約40万件のユーザ情報が漏洩したとの事。

news.softpedia.com

FPSサバイバルMMOであるRustの日本語の記事もありましたので、日本人もユーザとして漏洩対象であるかも知れません。

www.gamespark.jp

◆キタきつねの所感

Have I Been Pwnedの登録情報を見ると、2016年6月に34.3万件の漏洩を起こしているようです。漏洩したユーザ情報は、ユーザ名、IPアドレス、生年月日、とソルティングされたMD5パスワードハッシュの様です。

f:id:foxcafelate:20181021073636j:plain

対象となるゲームについては、RustとGarry's Modの2つの様です。

 

この漏洩原因について、Troy氏のサイトなどでは公開されている訳ではありませんが、SoftpediaNewsの記事では、Facepunchユーザのコメントとして、

As the other Facepunch user say, the data breach occurred because of "injected credential stealing code using a vBulletin exploit" which took "advantage of browser credential autofill on the /modcp or /admincp page."

(Softpedia News記事より引用)

フォーラム型掲示板「vBulletin」の脆弱性を突かれ、インジェクションで認証情報を窃取されたと書いていました。

 

vBulletinの脆弱性については、日本語記事で2つヒットしました。

 

1つは2017年の脆弱性は、漏洩後の発表ですが、0ディになっていた可能性もあるので、リモートで不正コード実行を行われたかも知れません。

japan.zdnet.com

もう1つの記事、こちらは2013年の記事なので2016年には穴が塞がっていたはずではありますが、、、流出した個人情報から考えると、脆弱性は違うかも知れませんが手口が同じ気がします。www.itmedia.co.jp

Have I Been Pwned(34.3万件)とニュース記事(39.6万件)で漏洩件数発表に差があるのが若干気になりますが、大多数のユーザ情報は漏洩したのは間違いありません。

ゲーム業界はハッキング、DDoS、デュープ、チート等々も含めて「セキュリティの戦場」となっている訳ですが、本体DBやプログラムの脆弱性を狙うのではなく、掲示板といったユーザ向けの周辺機能も含めて、セキュリティ設計を考えなければいけない。そんな所が、サプライチェーン攻撃と似ている気がします。

 

ゲームに熱中している男の子のイラスト

 

更新履歴

  • 2018年10月21日AM(予約投稿)