『フォートナイト』アカウントハック被害者による集団訴訟。今年1月に公表された、ログインページの脆弱性を突く情報漏洩


Epic Gamesの『フォートナイト』を巡る、新たな訴訟案件が明らかとなった。同社は今年1月、セキュリティ上の脆弱性により、悪意ある第三者が他ユーザーのEpic Gamesアカウントに不正ログインし得る状態であったと発表。今回提起されたのは、その脆弱性により影響を受けたと主張する、アカウントハック被害者によるクラスアクションである。

訴状は米国の法律事務所Franklin D. Azar and Associatesより、米国ノースカロライナ州の地方裁判所に提出されたもの。Epic Games側は被害総数を公表していないが、今回の集団訴訟の構成員は100人以上に及ぶと伝えられている。

Image Credit: Bleeping Computer

今回問題となっている情報漏洩は、『フォートナイト』のログインシステムが抱えていた脆弱性を突いたもの。第三者が正当ユーザーになりすまし、クレジットカード情報を使ってゲーム内通貨V-Bucksを購入し得る状態となっていた。具体的な手段としては、まず悪意ある第三者からユーザーのもとに、Epic Gamesアカウントのログインページへのリンクが貼られたメールが送信される。リンクを辿るとセキュリティ上の問題を抱えたEpic Gamesの旧ログイン画面にリダイレクト。そこからFacebookやGoogleといった他サイトのアカウントを利用したSSO(シングルサインオン)を試みると、悪意ある第三者のもとにSSOトークンが渡るよう、JavaScriptコードが仕組まれていた。現在、この脆弱性は修正済みである。

原告側はEpic Gamesの対応について、「適切なセキュリティ対策、および情報漏洩に関するユーザーへの適時通知を怠った」と主張している。先述したFranklin D. Azar and Associatesによると、Epic Gamesは2018年11月の時点で、セキュリティ上の脆弱性が存在していることを把握していたという。サイバーセキュリティ調査を行っているチェック・ポイント・ソフトウェア・テクノロジーズ社からの通達を受け取っていたからだ。しかしながら翌年1月になるまで情報発信をおこなわなかったとして、Epic Gamesの落ち度を強調している。なおEpic Gamesは、問題個所を実際に修正したのは2018年12月上旬であると報告していた。

『フォートナイト』では、2017年の配信開始以来、アカウントハック被害の報告が相次いでいる。Epic Gamesは二段階認証システムの利用促進やセキュリティ対策の強化を図っているが、登録ユーザー数が2億を超えるモンスター作品、それも未成年者の多いゲームということもあり、詐欺行為による被害が広がりやすい傾向にあると考えられる。今回は特定の脆弱性をベースとして、Epic Gamesのセキュリティ対策および情報発信に落ち度があったという主張であるが、はたしてどのような判決が下されるのだろうか。

なお『フォートナイト』を巡っては、本件以外にも、『PUBG』開発元からの著作権侵害の訴えや、ゲーム内ダンスエモートに関する著作権侵害の訴えなどが提起されてきた。前者については2018年6月時点で訴えが取り下げられており、今年7月にも『PUBG』開発元のPUBG Corp.が、Epic Gamesとの関係性は良好であると伝えていた(PCGamesN)。後者のダンスエモートを巡っては、今年に入ってから元ネタとなったクリエイターの許可を取って『フォートナイト』にダンスエモートを実装するという、新しい試みが報告されている(GamesIndustry.biz)。