『CS:GO』の大会運営に侵入したハッカーが10万ドルを要求、拒否した結果150万件の個人情報が流出する


『Counter-Strike: Global Offensive』の大会を運営する「E-Sports Entertainment Association」(以下、ESEA)が、昨年末に大規模なハッキング被害にあっていたことが明らかになった。実行犯は盗み出した情報の身代金として10万ドルを要求。これをESEAが拒否した結果、150万件におよぶ個人情報が流出した。現在、情報漏えいを招いた脆弱性はすでに突き止められ、米連邦捜査局が実行犯の身元特定に着手している。

 

フィッシング詐欺などの多発に注意

ESEAの公式声明によると、事件の発端は東部標準時で昨年12月27日。バグ報奨金プログラム(サービスの脆弱性を発見・報告したユーザーに対して報奨金を支払う制度、海外の大手企業を中心に広く実施されている)をとおして、ユーザーデータへのアクセスに成功したとの問い合わせがあった。報告者は閲覧した個人情報を第三者へ漏えいしない代わりに、10万ドルを支払うよう要求したという。ESEAはハッキング被害の事実を確認した後、実行犯を名乗る人物とメールでのやり取りを繰り返し、数日中にシステムの脆弱性を突き止めている。この段階で情報漏えいの可能性をコミュニティへ通知すると共に、アカウントのセキュリティを強化するためにパスワードの再設定を呼びかけていた。

その後、ハッカーからの脅迫は今月6日まで続いたが、ESEA側は支払いを断固拒否。身代金の要求を飲んだところで、内部情報の安全が約束される保証はどこにもないからだ。しかし、1月8日に事態は動いた。流出情報の検索サイトLeakedSourceのデータベースに、ESEAの内部情報が登録されていることが発覚したのだ。セキュリティ情報を扱う海外メディアCSOnlineによると、漏えいした個人情報は150万3707件に上るという。また、ESEAが公表したFAQによると、流出したデータにはユーザー名やeメールアドレスをはじめ、プライベートメッセージ、IPアドレス、SMSメッセージ用の携帯電話番号、フォーラムへの投稿内容、ハッシュ化されたパスワード、ハッシュ化された秘密の質問の答えが含まれる。

この他にもフォーラムサイトRedditでは、住所の一部や実名、生年月日、郵便番号などが漏えいしたとの報告もある。なお、盗み出されたパスワードや復元に用いる秘密の質問の答えに関しては、あくまでもハッシング(ハッシュ関数を使ってデータをほぼ規則性のない値に置き換えること、通常パスワードを保管する際には変換後のハッシュ値が使われる)された情報であったことから流用される可能性は極めて低いと考えられる。また、ESEAはクレジットカードや銀行口座の情報は管理していないことから、直接的な金銭被害を招くこともないだろう。しかし、eメールアドレスといった他の流出情報は、フィッシング詐欺などへの悪用が大いに想定される。現在、米連邦捜査局がハッキング実行犯の行方を追っている。