PSフレンド募集中(gamekana001
Steamの個人情報漏洩問題に関するレポート。









先般話題になったSteamの個人情報漏洩問題について正式なレポートが公開されています。

Steamで起きた個人情報を含む誤表示問題の調査結果が公開。該当の時間にアクセスしていなければ問題なし - ファミ通.com
 ValveのPCゲーム配信プラットフォームSteamで現地時間の25日(日本時間26日早朝)に発生した、登録情報の他ユーザーへの誤表示問題についての調査結果が公式サイトで公開された。

重要なのが対象時間で、障害は日本時間の26日午前4時50分から6時20分にかけて発生。対象範囲は約3万4000ユーザー。この期間に個人情報が含まれるストアページ、つまりアカウントの詳細ページや決済画面にアクセスしていない場合は、問題の原因となったキャッシュが生成されていないため、影響はないとしている。また、該当したユーザーには調査によって確定次第連絡するとのこと。

そして誤表示によって他人に表示されてしまったかもしれない情報は、ページによっては決済用の住所、Steamガードのために登録した電話番号の下4桁、購入履歴、クレジットカード番号の下2桁、メールアドレスなどが含まれる(各自の登録内容と自分がアクセスしていたページによって異なる)。一方でクレジットカード番号そのもの、ログインパスワードなどは障害の対象となったページで表示されるものではないため、誤表示された可能性はないという。

問題が発生した該当時間に個人情報が含まれるページにアクセスしていなければ大丈夫との事です。その時間Steamでゲームをしていただけって人は問題無いみたいですな。

そして、今回の漏洩問題が生じた理由も報告されています。

 本日発表された調査報告では、(Steam自体のハッキング成功ではないにせよ)悪意あるユーザーによる攻撃が障害に間接的な形で関与していたことが明らかになっている。

 事態は北米のクリスマス未明から始まる。まずSteamストアが対象サービスのトラフィック(通信量)を意図的に増加させて妨害するDoS攻撃(広義。恐らく実際にはDDoS攻撃)が開始される。記者のように障害が発生する数時間前からストア関連のページが重かったり、エラーでトップページに戻された経験をした人は、恐らくこの影響を受けていたのだろう。攻撃によってトラフィックは通常時の平均の2000%増加していたという。
 このトラフィック増加に対して、Steamにキャッシュサーバーのサービスを提供するパートナー企業はサービスの影響を最小化するためにキャッシュルールを適用する。そして第2波の攻撃に対して2個目の設定が適用されたのだが、これが誤ったキャッシュをしてしまうもので、違うユーザーのアカウントページが見えてしまったり、トップページが設定とは違う言語で表示されたりするという事態を引き起こした。

なお、詳細なレポートはリンク先をご確認願います。