検索
ニュース

「クラッシュ オブ キングス」の公式フォーラムでハッキング被害、約160万人の個人情報が流出「vBulletin」のセキュリティ脆弱性を突いた攻撃で

「クラッシュ オブ キングス」の公式フォーラムがサイバー攻撃の被害に遭い、登録者約160万人の個人データが流出した。

Share
Tweet
LINE
Hatena

 スロバキアのセキュリティ企業 ESETが運営する「WeLiveSecurity.com」のブログは2016年7月25日、人気スマートフォンゲーム「Clash of Kings(邦題:クラッシュ オブ キングス)」の公式フォーラムサイトがハッキングされ、160万人近くのフォーラム登録者の個人情報が流出したと伝えた。以下、ブログを抄訳する。

photo 「Clash of Kings」の公式フォーラムサイト(出典:WeLiveSecurity.com)

 公式フォーラムサイトは中国企業のElexが運営。攻撃者は同サイトのシステムへ不正侵入し、フォーラム登録者159万7717人のユーザー名、電子メールアドレス、IPアドレス、デバイスID、さらに登録者がFacebookアカウントと連携していた場合はFacebookデータとアクセストークンが流出した。

 Clash of Kingsは、Androidプラットフォームだけでも全世界で1億回以上ダウンロードされたとする人気ゲーム。この被害で個人情報を盗まれた可能性があるのは、プレーヤー全員ではなく、公式フォーラムサイトにアカウントを登録していた人に限られる。

 攻撃者は、フォーラムアプリケーションソフトウェア「vBulletin」のセキュリティ脆弱(ぜいじゃく)性を突いて機密データにアクセスしたと推測される。vBulletinの脆弱性を発端にした不正アクセス事件は、過去に何度か発生している。同サイトでもvBulletinの旧バージョンが使われており、その脆弱性を突かれたもようだ。なお、攻撃者は検索エンジンだけで、既知の脆弱性が放置されているWebサイトを見つけ出せるとしている。

 サイト侵入は2016年7月14日に発生したと考えられているが、同フォーラムサイトで公式声明は出されていない。これは、フォーラムの登録者がセキュリティインシデントの発生を認識しておらず、ユーザーに対して「自衛のために取るべき対策についても告知されていない可能性がある」ことを意味すると、ESETは警鐘を鳴らしている。例えば、攻撃者がフォーラムサイトから盗んだ個人情報を利用して、フォーラム登録者にフィッシング攻撃を仕掛けてくる可能性があるという。

 また、今のところ攻撃者はパスワードのクラッキングはできていないようだが、フォーラム登録者は全員パスワードを変更するとともに、同フォーラムサイトで使っていたパスワードは今後一切使わないのが賢明だと、ESETは述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. セキュリティ運用「自動化やAI活用が不可欠」言うは易し――現状プロセスを分析する4つの方法、AIも働きやすくする3つの環境整備ポイント
  2. ドラマでは描かれないセキュリティ対策の現実――ハッカー描写の監修もする上野宣氏が示す「ゼロトラスト」の有効性と移行への3フェーズ
  3. 「個人」なら手口を知っておくだけでも有効 「情報セキュリティ10大脅威 2025」の解説書をIPAが公開
  4. 全社訓練や漫画などセキュリティ対策を先進するfreee、全てを守ろうとする前に考えたい「積極的諦め」とフレームワーク活用のススメ
  5. Fortinet、「FortiGate」用OS「FortiOS 7.6.3」からSSL VPNトンネルモードのサポートを終了へ
  6. なぜ「セキュリティのシフトレフト」が下火になったのか、ネガティブじゃないその理由 Dockerが解説
  7. 「ガバナンスとセキュリティがAIエージェント活用の鍵」 IBMが新機能を発表
  8. 「セキュリティ運用は5年前より楽になった」 Omdiaが見つけた3つの要因とは
  9. サイリーグHD、S&Jと協業で“事前契約型”インシデント対応サービスを開始 徳丸氏が「オンライン証券を巡る事件」のからくりについて講演
  10. 名和氏がランサムウェア7事例の教訓とともに明かす、対策を自動化、最適化、重点化する秘訣、アダマール積とは