オープンワールドRPG『原神』のパスワード確認ページにおいて、本人確認用の電話番号が「伏せ字なし」で表示されていたことが一部で報告されている。『原神』をプレイする方法のひとつとして、miHoYoサイトにおいてメールアドレス等を通じたアカウント登録を利用することができる。一般的なWebサービスと同様、アカウント名とパスワードを入力することで利用開始することが可能となっている。
とはいえ時に、ユーザーがパスワードを忘れてしまうこともあるだろう。その場合、公式サイトにてパスワードの回復を申請することのできるページが存在する。このとき必要となるのが、アカウントと紐づけられたメールアドレスもしくは電話番号だ。アカウント名を入力後、任意のアドレス/番号に対しパスワード回復用コードが送信される旨が伝えられる。その際表示されるダイアログにて、コード送信先として設定されているアドレス/番号が確認できるように表示されているのだ。
問題となっているのはこの部分である。このときアカウントとリンクしているのがメールアドレスだった場合、アドレスはアスタリスクにて一部が伏せ字となった状態で提示される。ところが代わりに電話番号を連携させていた場合、コード送信先として表示される電話番号が伏せ字なしでフルに開示されてしまうというのだ。
つまりこれは、アカウント名さえわかっていれば、パスワード確認ページで入力することで誰でも個人の電話番号を見ることが可能になってしまうということだ。もしアカウント名がほかのSNSと共有のものである場合、知らない他人に当てずっぽうでアカウント名を入力された結果に番号を知られてしまうリスクがきわめて高い。本件は海外掲示板Redditにて報告され、1万1000件以上の反応を集めている。
スレッドに集まった報告を検討していくと、どうやら電話番号フル表示の不具合はすべてのユーザーに生じているわけではないようだ。投稿者と同様の手順で確認したものの、しっかり電話番号が伏せられた状態で表示されたとの報告も集まっている。一方、やはり番号がそのまま表示されてしまうユーザーも複数の証言を寄せており、その法則性に対して議論が交わされている。サーバーの地域(ヨーロッパ/北米/アジア)による違いではないかとの声も根強い。
また本件についてはすでに解決されている可能性も高い。最初に報告をポストした投稿者によれば、いちど電話番号のリンクを解除したのち再登録し、同様の確認をおこなったところ、番号が伏せ字で表示されているのが確認できたという。また当初は電話番号露出の危険があるとされていた北米・アジアサーバーのユーザーからも、正常に伏せ字で表示されている旨の報告が上がっている。
すでに修正済みとの可能性もささやかれる今回の件だが、miHoYoからの公式なアナウンスは今のところ発表されていない。ユーザーのプライバシーを危険に晒す重大な欠陥だっただけに、いつから・どのような条件で不具合が生じていたのか正式に発表されることが待たれるだろう。なお日本向けユーザーのアカウント登録時には、紐づけられる情報がアカウント名とメールアドレスのみ。電話番号による確認のオプションは存在しないため、今のところ直接的な影響はないと思われる。
【UPDATE 2020/11/10 12:51】
国内ユーザー向けには電話番号登録オプションが存在しない旨を追記。
【UPDATE 2020/11/10 13:46】
『原神』プレイ手段においてmiHoYoへのアカウント登録が必須ではなく、複数あるログイン方法のひとつであるとの表現に変更。
