Steam、“ユーザーデータ大規模流出”報道について「データベースには侵入されていない」と回答。パスワードなどの変更は必要なし

Valveは5月15日、Steam公式ニュースハブを更新。直近で話題となっている情報漏洩について言及した。声明によれば、Steamのシステムに侵入されたわけではないとのこと。また流出データにはアカウントのパスワードなどの情報は含まれておらず、本件に関してパスワードや電話番号の変更の必要はないと案内されている。

Steamについては最近になってユーザーデータがダークウェブに流出したのではないかという報告があった。というのも、イスラエルのセキュリティ企業Underdark.aiは現地時間5月11日、ダークウェブにてMachine1337なるユーザーが、8900万件以上のSteamユーザーデータを5000ドル（約73万円）で販売するという投稿をおこなっていたと発表。8900万人という数はSteamの全体ユーザー数の約3分の2とされ、流出データには、これらユーザーのSteamとやりとりしたメッセージの内容や配信ステータス、受信者の携帯電話番号といった情報が含まれているとされていた。つまり、SteamからのSMSメッセージに関連した情報が漏洩したようである。これを受けて複数の海外メディアが報じており、パスワードなどの変更を促す報道もみられた。

こうした事態に対し、Steamは声明を発表。漏洩した情報の実例をSteam側で調査した結果、今回のデータ流出はSteamのデータベースに侵入されたものではないと判明したという。とはいえ漏洩の原因については現時点でも不明で、調査が続けられているという。SMSメッセージが暗号化されておらず、複数のプロバイダーを経由するために、原因の特定が困難だとしている。

ただ「Steamアカウントの電話番号」「アカウントのパスワード情報」「支払い情報」といった個人データは、今回流出したデータと関連づいていないことが明かされている。加えて2要素認証を有効にしているユーザーは、SMS経由でコードが送付された際に確認メールや、セキュリティ保護されたSteamからのメッセージが届く。そのためSMSメッセージが流出したことによって、直接アカウントに被害が及ぶものではなく、パスワードやアカウントに紐づけている電話番号を変更する必要はない、とのことだ。あくまでSteamとユーザー間のSMSメッセージにおける、ワンタイムコードとSMSメッセージの送信先番号の流出に留まっているものとみられる。

なお発表に際してValveは、Steamユーザーに向けて「Steamモバイル認証機器」の設定を勧めている。また設定における「アカウントセキュリティ」から承認済みデバイスなどといったセキュリティ項目の定期的な確認も案内。Steamガードモバイル認証として2要素認証の設定をおこなっておくといいだろう。また身に覚えのないメッセージには反応せず、安易にリンクなどを踏まないようにもしておきたい。