トレーディングカードゲーム「Magic: The Gathering」(マジック:ザ・ギャザリング)のメーカーが、セキュリティーの不備でゲームプレーヤー数十万人分のデータを露出したと発表した。
ゲームを開発したワシントン州拠点のメーカーであるWizards of the Coastは、データベースのバックアップファイルをAmazonウェブサービスの公開ストレージバケットに保存した。しかし、そのストレージバケットにパスワードは設定されておらず、誰でも中のファイルをアクセスできる状態だった。
バケットが暴露されていた期間(9月初旬前後)は長くなかったと言われているが英国のサイバーセキュリティー会社、Fidus Information Securityがデータベースを発見するには十分な時間だった。
調査の結果データベースファイルには45万2634人のプレーヤーの情報が入っていた。Wizards社のスタッフに関連付けられたメールアドレス約470件も含まれていた。データベースには、プレーヤーの名前、ユーザー名、メールアドレス、とよびアカウントが作成された日時が記録されていた。ユーザーパスワードも記録されており、ソルト・ハッシュ化されていたため解読は困難ではあるが不可能ではない。
データは一切暗号化されていなかった。アカウント日付は少なくとも2012年に遡り、最近では2018年作成のものもあった。
Fidus社はWizards of the Coastに連絡を取ったが返信はなかった。TechCrunchが連絡を取った後初めて、同社は問題のストレージバケットをオフラインにした。
Wizards of the Coastの広報担当者、Bruce Dugan氏はTechCrunchに声明を送った。「当社は、廃棄したウェブサイトのデータベースファイルが不注意により社外に公開されてしまったことを認識している」
「当該データベースファイルをサーバーから削除し、事故の影響範囲の調査を開始した」と同氏は言い、「これは単独の事象であり、このデータが不正に利用されたと信じる理由はない」と説明したが、この主張を裏付ける証拠は提供しなかった。
「しかし、万が一の事態に備えるために、データベースに情報が含まれていたプレーヤーには現行システム上のパスワードをリセットするよう警告している。
Fidusの研究開発責任者、Harriet Lester氏は、「この時代、この時期に、これだけの規模の不適切な設計が行われ、基本的セキュリティー予防策がなされていなかったことに驚いている。45万アカウントを超えるユーザー基盤を持つ大会社ではなおさらだ」と語った。
「当社の調査チームは作業を継続し、データが悪の手に渡らないよう、こうした不適切な設定をしている企業に一日も早く警告を与えるつもりだ。これはインターネットを安全な場所にするためにわれわれが行う小さな努力だ」とLester氏はTechCrunchに語った。、
Wizards社は英国データ保護当局に本事象を報告した。これは欧州のGDPR規制で定められた報告義務に沿ったものだ。英国の個人情報保護監督機関(ICO)は本件に関するメールでの問い合わせにまだ回答していない。
GDPRに違反した企業は、年間売上の最大4%の罰金を課される可能性がある。
関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
[原文へ]
(翻訳:Nob Takahashi / facebook )