Steamで他人のアカウント情報が誤表示される重大なセキュリティ問題が発生し、ストアが停止中。(Update: 現在は復旧)

ValveのPCゲーム配信プラットフォーム“Steam”で、セキュリティ上の問題によりストア機能が停止されている。

●原因はキャッシュサーバーの誤設定。公式コメントも発表

 ValveのPCゲーム配信プラットフォームSteamでは、恒例の年末年始のウィンターセールが始まったばかり。しかし日本時間12月26日午前7時現在、ストア機能が停止中だ。

 海外の掲示板Redditなどに集められた情報によると、赤の他人のアカウント情報にアクセスできてしまうという問題が発生していたようで、この問題に対処すべくストア機能をダウンさせている模様だ(これらの情報を元に海外のオンライン媒体Vergeなども報じている)。

 原因はキャッシュサーバーの誤設定によりランダムに情報を表示してしまっていたのではないかと推測されているが、これが何らかのセキュリティ攻撃によるものにせよ、あるいは指摘されている通り、誤設定による明確な攻撃者のいない障害であったにせよ、いずれにしても他人が登録情報を読めてしまった可能性があるのは大きな問題だ。

 SteamのコミュニティモデレーターのSteamフォーラムへの投稿によると、「ハッキング攻撃を受けたのではない」、「現在対処中」、「決済情報や電話番号は法に規定されている通りに保護されておりユーザーからは見えない」とのことで、さらなる問題の詳細と対処方法についてよりまとまった公式声明を待ちたいが、クレジットカード情報などを登録している人は、念のため、Steamの外部、クレジットカード会社のオンラインページなどで不正な利用の痕跡がないか確認した方がいいだろう。
 Steamのプレイヤー統計やセール情報などのデータベースを提供するSteamDB(Valveではなく第三者によって運営されている外部サービス)は緊急のブログを公開し「(問題が解決するまで)Steamクライアントでもウェブブラウザーでも、Steamのリンクを踏んだりしてストア機能にアクセスしないこと」を推奨している。



12月26日8時半更新: ストア機能が復旧したことを確認。前述のSteamフォーラムでの発言によると、問題を解決し、ストア機能を復帰させたとのこと。
12月26日12時半更新: 上記Steamフォーラムの発言に追記する形で公式コメントが発表された。概要は以下。
1.本日早くに行われた設定によりページのキャッシュ機能に問題が発生し、別のユーザーのために生成されたページがランダムに表示される事態が1時間未満のあいだ発生していた。
2.キャッシュされたページが誤表示されたユーザーは、その本来のユーザーのものではないページを閲覧する以外に、認証外のアクションはできなかったはずで、(現在問題が解決し復旧しているため)ユーザー側で何かしなければいけないことなどはないと考えている。
12月26日13時更新: 公式コメントを受けて小見出しを変更しました。
12月31日6時更新: Valveによる調査結果が公開。(http://store.steampowered.com/news/19852/)すでに発表されている通り、自分のアクセスに対して生成されたストアページのキャッシュが自分に表示されず、他ユーザーに表示されてしまうという誤表示が日本時間の26日午前4時50分から6時20分にかけて発生していた。対象範囲は約3万4000ユーザー。該当したユーザーには調査によって確定次第連絡するとのこと。
誤表示によって他人に表示されてしまったかもしれない情報は自分がアクセスしていたページによって異なり、ページによっては決済用の住所、Steamガードのための電話番号の下4桁、購入履歴、クレジットカード番号の下2桁、メールアドレスなどが含まれる。
一方でクレジットカード番号そのもの、ログインパスワードなどは障害の対象となったページで表示されるものではないため、誤表示された可能性はないという。また、対象の時間に個人情報が含まれるストアページ、つまりアカウントの詳細ページや決済画面にアクセスしていない場合は、問題の原因となったキャッシュが生成されていないため、影響はないとしている。


steamaccount

▲記者のアカウントの詳細ページに登録されている情報の例。登録アカウント名、メールアドレス、電話番号の下4桁、クレジットカードの種別と下2桁(ただし人によって登録状況が異なる)。