Valveがセキュリティ事故について声明を発表

12月25日、クリスマスのホリデーセール期間中にSteamにて発生した一部ユーザーの個人情報へアクセスできてしまうセキュリティ事故について、Valveはこの事件についての公式声明を発表した。

「約34,000のSteamユーザーの情報が”設定エラー”のため、ほかのユーザーに開示された可能性がある」とValveは声明にて説明している。太平洋標準時で午前11時50分~午後1時20分の期間にて、Steamストアにアクセスしていたユーザーが今回の問題の対象となっているとのこと。

Valveは現在、それらの情報が公開されてしまったユーザーの特定作業中であり、今回の問題に巻き込まれたユーザーには連絡を取るとしている。クリスマスに当日発表された短い発表と同じく、認証の必要な処理がキャッシュされたページから行われた形跡は見つかっていないため、ユーザー側が追加で特別な対処をとる必要はないとValveは説明している。

公開されていた情報はSteamユーザーの請求先住所、Steamガード用の電話番号末尾4桁、購入履歴、クレジットカード番号の末尾2桁、電子メールアドレスとなっている。ユーザーパスワードなど他者がログインすることを許す十分なデータは公開されなかったとのこと。

セキュリティ事故の原因

今回のセキュリティ事故の原因についてもValveは説明している。

太平洋標準時でクリスマス当日の朝、SteamストアはDoS攻撃のターゲットの一つとなっていた。これら攻撃に対してSteamはパートナー企業と連携し攻撃に対処していた。その結果Steamユーザーに対して影響を与えることはなかったという。Steamストアへのアクセス数は平均的なセール期間中の2000%を記録していた。

この攻撃への対応として、Steamウェブのキャッシングパートナーが管理するキャッシングルールを、一般ユーザーへの影響を最小限にとどめるために変更する作業が行われたが、その際に認証済みユーザーのための設定について構成エラーが含まれていたとのこと。

その結果、他のユーザー用に生成されたSteamページが関係ないユーザーに表示されるなど、今回の問題につながったとValveは説明している。

エラー確認後Steamストアは閉鎖され、正常なキャッシング構成に修正された後、再びSteamストアは再開された。Valveはすべてのユーザーに対して謝罪しているが、海外メディアからはセキュリティ事故の発生から12月31日に至るまで何ら公式発表がなされなかった対応について批判されている。

STEAM CONTROLLER [並行輸入品]
Valve Corporation
売り上げランキング: 1,124
STEAM LINK [並行輸入品]
STEAM LINK [並行輸入品]
posted with amazlet at 15.12.31
Valve Corporation
売り上げランキング: 3,229