Twitchがデータ侵害を発表。Webではソースコードやストリーマー収益などとされるデータが流出中

2021-10-07 11:10

20211007-178282-header — Image Credit : Caspar Camille Rubin

Twitchは10月7日、同プラットフォームにてデータ侵害が発生したことを発表した。同社対策チームは現在、被害範囲の確認と対処に動いており後に詳細を伝えるとしている。VGCなど各メディアの報道および筆者の調査によれば、データ侵害の範囲はかなり広範にわたる可能性がある。リーク情報と見られる約125GBに及ぶデータは、現在もTorrentなどを通じて拡散が続いている。
　

We can confirm a breach has taken place. Our teams are working with urgency to understand the extent of this. We will update the community as soon as additional information is available. Thank you for bearing with us.
— Twitch (@Twitch) October 6, 2021

　
今回のデータ侵害で流出したと見られる情報の範囲について説明したい。まずはTwitchのサーバー側、およびモバイル・デスクトップ・コンソール版のTwitchクライアントのソースコードと内部用開発キット、およびTwitchの利用しているAWSサービスなどの内部情報だ。これらはGithubの非公開リポジトリを元にしていると見られ、本物であれば「Twitchを動かしているコードの大半」と表現して差し支えないほどの量の流出が発生している。筆者が実際に流出したとされるデータを精査したところ、公開されているソースコードを寄せ集めた“偽データ”などではなく、一定の信憑性があるという印象だ。上述のデータが本物だったとすれば、ハッキングなどの「手がかり」に利用される可能性はある。

また、流出したデータのなかには暗号化されたユーザーパスワードデータも確認できた。平文のパスワードではないものの、こちらのデータが実物であればハッキング被害の危険性は高まる。Twitchを利用しているユーザーには、2段階認証の設定およびパスワードの変更などの対策を強くおすすめする。また、Twitchは「念の為にストリームキーをすべてリセットした」と伝えている。ストリームキーを利用して配信をしているユーザーは、新しいストリームキーをTwitchダッシュボードから取得する必要がある。

【UPDATE 2021/10/07 18:54】
Twitchの発表にともない、ストリームキーについての言及を追記

流出データにはTwitchストリーマーの収益情報やTwitch傘下のサービスに関する広範な情報も含まれている。売り上げリポートでは、2019年から2021年にかけて国内外のストリーマーの得た利益とされる金額が、csv形式で事細かに取りまとめられている。xQc氏やAsmongold氏など人気ストリーマーでは月に数千万円の収益を上げている様子が見られ、内容についても一貫性がある。しかし、依然として真贋については不明な点に留意したい。
　

　
そして、ゲームデータベースIGDBや、かつてTwitchが買収し現在はOverwolf傘下にあるModプラットフォームCurseForgeなど、Twitchと関連するサービスのソースコードらしきデータも流出している。また、目を引くのは「Vapor」なるプロジェクトのソースコードが含まれている点だ。Amazon Game Studios開発と見られるこのプロジェクトは、Steamのようなゲーム配信プラットフォームとして設計されているようだ。ほかには、Twitch内部のセキュリティを高めるために、社員に対してフィッシングなどの“疑似攻撃”を仕掛けるのに用いられるツールが流出している。

いずれにせよ、Twitch側は記事執筆現在でデータ侵害の事実を認めたにとどまる。そのため、本稿にて伝えた流出データの真贋は不透明で、「一部は本物であり一部は偽物」である可能性もあることに留意されたい。しかし、筆者が流出データを調査した範囲内では、いずれも捏造の難しい一貫性のあるものという印象だった。一般ユーザーに累が及ぶ可能性も否定できないため、Twitchを利用している方は強く警戒した方がよいだろう。
　

　
なお、今回のデータ流出の発端と見られるのは、海外掲示板4chanのとある書き込みだった（現在は削除済み）。投稿者によれば、Twitchのコミュニティには有害な文化がはびこっており、そうした文化の醸成を促しているTwitchに対する抗議としてデータ流出に踏み切ったとしている。また投稿者はTwitchの親会社であるAmazon創業者Jeff Bezos氏を揶揄している。該当の書き込みおよび流出したデータは「Part one（第一弾）」と題されており、続く流出の可能性も示唆している。

今回のリークに対して、コミュニティの反応はさまざまだ。一連の騒動を受けて、著名ストリーマーなどからTwitter上で多数のコメントが寄せられている。ケンタッキーフライドチキン傘下のゲーミングブランドKFC Gamingは「旧式のブラウザを使ってるんでしょ」と揶揄するリプライをTwitchに向けて投稿。人気ストリーマーのJacksepticeye氏は、Twitchが先頃投稿したFacebookの障害を揶揄するツイートを引用し「これ君？」と鋭い皮肉を投げかけ、xQc氏は「なあTwitch、説明しろ」とミーム動画を添えて呼びかけた。
　

HEY @Twitch EXPLAIN? pic.twitter.com/VfZ2pXi5Zv
— xQc (@xQc) October 6, 2021

　
冗談めかしたツイートが寄せられているのは、情報流出があまりにも大規模すぎて現実感が薄いゆえかもしれない。一方で、SNS上では本気で懸念を示すユーザーやTwitch以外のプラットフォームへの移行の方針を示すストリーマーの投稿も少なからず見られる。

記事執筆現在、TwitterなどSNS上では一種の“お祭り騒ぎ”のような状況が発生しているものの、データ流出の脅威は軽く見積もるべきではないだろう。Twitchにアカウントを持つ読者には、前述の2段階認証の導入などの対策を強くおすすめする。Twitchが今後いかにして対策を講じていくのか、被害状況の詳細の発表も含めて注視していきたい。