人気アクションRPGフランチャイズ Path of Exile の開発会社 Grinding Gear Games は、管理者アカウントの侵害による重大なデータ漏洩を公表しました。この侵害により、ユーザーの機密情報が流出し、 Path of Exile および Path of Exile 2 の多数のプレイヤーのアカウントアクセスに影響が及びました。
セキュリティ侵害の詳細
Steam に連携された開発者のテストアカウントが攻撃者の侵入口となりました。攻撃者は Steam サポートを説得してアクセス権を取得することに成功しました。この侵害されたアカウントは Path of Exile のウェブサイトで管理者権限を持っており、攻撃者はカスタマーサポートツールやユーザーの機密データにアクセスすることができました。さらに、イベントログシステムのバグにより、攻撃者はパスワード変更の証拠を削除して痕跡を隠すことができました。
攻撃の影響範囲
この侵害により、66のアカウントのパスワードが攻撃者によってランダムに変更されました。さらに深刻な問題として、会社が「相当数」と表現するアカウントの個人情報が流出しました。漏洩したデータには、メールアドレス、 Steam ID、IPアドレス、配送情報、リージョンアンロックコードが含まれています。また、スタッフ間のやり取りを含む取引履歴とプライベートメッセージにもアクセスされた可能性があります。
- 強制パスワード変更を要したアカウント数:66
- 漏洩したデータの種類:
- メールアドレス
- Steam ID
- IPアドレス
- 配送先住所
- リージョンアンロックコード
- 取引履歴
- プライベートメッセージ履歴
セキュリティ上の影響
攻撃者は、入手したメールアドレスを公開されている漏洩パスワードリストと照合する可能性があり、複数のサービスで同じパスワードを使用しているユーザーにとって追加のセキュリティリスクとなります。この能力は、アンロックコードへのアクセスと組み合わさることで、アカウントの地域制限を回避することも可能になります。
対策措置
Grinding Gear Games は、直ちにいくつかのセキュリティ改善を実施しました。より厳格なIP制限を実施し、スタッフアカウントへのサードパーティアカウントの連携を禁止しました。また、攻撃者の活動を隠蔽することを可能にしていた監査ログのバグも修正されました。しかし、多くのユーザーが要望している二要素認証がまだ実装されていないことは注目に値します。
実施されたセキュリティ対策:
- IP制限の強化
- スタッフのサードパーティーアカウント連携の削除
- 監査ログシステムの修正
- 管理者アカウントの強制パスワードリセット
ユーザーへの推奨事項
プレイヤーは、パスワードの変更とアカウントのセキュリティ設定の見直しを強く推奨されています。複数のサービスで同じパスワードを使用しているユーザーは特に注意が必要です。開発者がセキュリティ対策を強化している間、ユーザーは強力で固有のパスワードを設定し、不審な活動がないか定期的にアカウントを監視することを検討すべきです。