Troy Hunt氏の「Have I Been Pwned」はセキュリティ関連の方であれば、毎月聞くようなサイトかと思います。こちらのサイトで新たに10/17に漏洩データとして登録されたのが英国のゲーム開発会社Facpunchでした。約40万件のユーザ情報が漏洩したとの事。
news.softpedia.com
※FPSサバイバルMMOであるRustの日本語の記事もありましたので、日本人もユーザとして漏洩対象であるかも知れません。
www.gamespark.jp
◆キタきつねの所感
Have I Been Pwnedの登録情報を見ると、2016年6月に34.3万件の漏洩を起こしているようです。漏洩したユーザ情報は、ユーザ名、IPアドレス、生年月日、とソルティングされたMD5パスワードハッシュの様です。
対象となるゲームについては、RustとGarry's Modの2つの様です。
この漏洩原因について、Troy氏のサイトなどでは公開されている訳ではありませんが、SoftpediaNewsの記事では、Facepunchユーザのコメントとして、
As the other Facepunch user say, the data breach occurred because of "injected credential stealing code using a vBulletin exploit" which took "advantage of browser credential autofill on the /modcp or /admincp page."
(Softpedia News記事より引用)
フォーラム型掲示板「vBulletin」の脆弱性を突かれ、インジェクションで認証情報を窃取されたと書いていました。
vBulletinの脆弱性については、日本語記事で2つヒットしました。
1つは2017年の脆弱性は、漏洩後の発表ですが、0ディになっていた可能性もあるので、リモートで不正コード実行を行われたかも知れません。
japan.zdnet.com
もう1つの記事、こちらは2013年の記事なので2016年には穴が塞がっていたはずではありますが、、、流出した個人情報から考えると、脆弱性は違うかも知れませんが手口が同じ気がします。www.itmedia.co.jp
Have I Been Pwned(34.3万件)とニュース記事(39.6万件)で漏洩件数発表に差があるのが若干気になりますが、大多数のユーザ情報は漏洩したのは間違いありません。
ゲーム業界はハッキング、DDoS、デュープ、チート等々も含めて「セキュリティの戦場」となっている訳ですが、本体DBやプログラムの脆弱性を狙うのではなく、掲示板といったユーザ向けの周辺機能も含めて、セキュリティ設計を考えなければいけない。そんな所が、サプライチェーン攻撃と似ている気がします。
更新履歴
