原因はDoS攻撃に対応するためのキャッシュの設定ミス

 ValveのPCゲーム配信プラットフォームSteamで現地時間の25日(日本時間26日早朝)に発生した、登録情報の他ユーザーへの誤表示問題についての調査結果が公式サイトで公開された。

 本誌でもすでにお伝えした通り、この問題はSteamのストア機能にアクセスすると他人のユーザー情報がランダムに誤って表示されてしまうというもので、Valveはストア機能を停止させ対処。復旧後にキャッシュサーバーの誤設定が原因であったことなどをコメントとして発表していた。今回はより詳細な範囲や経緯などが書かれている。

 まず重要なのが対象時間で、障害は日本時間の26日午前4時50分から6時20分にかけて発生。対象範囲は約3万4000ユーザー。この期間に個人情報が含まれるストアページ、つまりアカウントの詳細ページや決済画面にアクセスしていない場合は、問題の原因となったキャッシュが生成されていないため、影響はないとしている。また、該当したユーザーには調査によって確定次第連絡するとのこと。

 そして誤表示によって他人に表示されてしまったかもしれない情報は、ページによっては決済用の住所、Steamガードのために登録した電話番号の下4桁、購入履歴、クレジットカード番号の下2桁、メールアドレスなどが含まれる(各自の登録内容と自分がアクセスしていたページによって異なる)。一方でクレジットカード番号そのもの、ログインパスワードなどは障害の対象となったページで表示されるものではないため、誤表示された可能性はないという。当時閲覧していた人は、どんな情報が誤って別のユーザーに表示されてしまった可能性があるのか、同じページをチェックしてみるのもいいかもしれない。

Steamで起きた個人情報を含む誤表示問題の調査結果が公開。該当の時間にアクセスしていなければ問題なし_01
▲対象時間が日本の明け方ということもあり、当時寝ていた人や、ただゲームをプレイしていた人などはこの問題の影響を受けた可能性はなさそう。

通常の2000%以上増加したトラフィックをさばくために……。

 今回の問題が大騒ぎになった一因として、障害がハッカーグループによる犯行予告などと重なった一方、Valveが声明を出すまで数時間あったため、情報が錯綜したことが挙げられる。Valveが当初より「ハッキングによって起こったのではない」と明言していたのも、(誤表示問題の裏での)ハッキングによる情報漏えいの可能性を否定するためだ。
 本日発表された調査報告では、(Steam自体のハッキング成功ではないにせよ)悪意あるユーザーによる攻撃が障害に間接的な形で関与していたことが明らかになっている。

 事態は北米のクリスマス未明から始まる。まずSteamストアに対して、対象サービスのトラフィック(通信量)を意図的に増加させて妨害するDoS攻撃(広義。恐らく実際にはDDoS攻撃)が開始される。記者のように障害が発生する数時間前からストア関連のページが重かったり、エラーでトップページに戻された経験をした人は、恐らくこの影響を受けていたのだろう。攻撃によってトラフィックは通常時の平均の2000%増加していたという。
 このトラフィック増加に対して、Steamにキャッシュサーバーのサービスを提供するパートナー企業はサービスの影響を最小化するためにキャッシュルールを適用する。そして第2波の攻撃に対して2個目の設定が適用されたのだが、これが誤ったキャッシュをしてしまうもので、違うユーザーのアカウントページが見えてしまったり、トップページが設定とは違う言語で表示されたりするという事態を引き起こした。
 この障害が発覚してすぐ、Steamストアは一時的にシャットダウンされ、新たなキャッシュ設定が展開される。誤りがないかすべてのキャッシュ設定を再確認し、パートナーのサーバーすべてに適用が完了し、エッジサーバー(ユーザーがアクセスするサーバー)のすべてのキャッシュデータの破棄が完了したのを確認して復旧させた……というのが事の顛末のようだ。

 Valveは報告の末尾で、今後もパートナー企業とともに障害の影響を受けたユーザーの特定とキャッシュルール適用時のプロセスの改善を進めていくと説明する一方、個人情報が他人に覗かれてしまったユーザーとストアサービスの停止の影響を受けた人々への謝罪の言葉を述べている。