事例Use case

【Bitdefender海外ブログ】Animal Jamにハッキング被害。10年分4600万件のアカウントが盗まれる

2021.2. 4

ツイート シェア 送る はてブ

animal-jam.jpeg

ハッカーがプレイヤーの詳細情報数百万件を含むデータベースを公開

Animal Jamという名前を聞いたことがなくても、ご心配なく。Animal Jamはこのブログの読者を対象としたゲームではなく、7歳から12歳の子供向けのゲームです。

3億人以上の登録プレイヤーを抱えるAnimal Jamは、子供がお気に入りの動物のキャラクターを選んでカラフルな世界を探検する、人気オンラインゲームです。

Animal Jamは「安全で楽しい」ゲームであることを謳っていますが、それでもセキュリティ侵害と無縁ではいられないことが判明しました。

Animal Jamの開発元であるWildWorksは、2020年10月初めにハッカーがシステムに侵入し、4,600万件のAnimal Jamの記録が盗まれたことが確認されたと発表しました。

Animal Jamの公式サイトのお知らせによると、ハッカーはWildWorksの従業員が使用するサードパーティのコミュニケーションツールに侵入してアクセスキーを入手し、それにより記録を含むデータベースが盗まれたということです。

盗まれたデータは、先日アンダーグラウンドのハッキングフォーラムに投稿されているのをAnimal Jamのチームが発見しました。

breach-alert.jpeg
WildWorksによると、ハッカーが公開したデータベースには約4,600万件の記録が含まれているとのことです。その内訳は以下の通りです。

•Animal JamとAnimal Jam Classicの保護者用アカウント作成に使用されたEメールアドレス約700万件
•それらの保護者用アカウントに紐づけられたプレイヤーのユーザー名約3,200万件
•それらのユーザーアカウントに紐づけられたパスワード(ただし暗号化形式)
•アカウント作成時にプレイヤーが入力した生年記録1,480万件
•アカウント作成時にプレイヤーが入力した性別記録2,390万件
•アカウント登録時にプレイヤーが入力した生年月日570万件
•保護者アカウントの保護者フルネームと請求先住所12,653件(他の請求情報は含まれない)
•保護者アカウントの保護者の姓と名16,131件(請求先住所は含まれない)

人気オンラインゲームがデータ漏洩に備えて取っていた対策とは

Animal Jamは子供のためのゲームですが、セキュリティ侵害について発表された情報は大人も驚くものでした。

WildWorksはどれくらいの数の記録が漏洩したのか、情報を包み隠さず共有しただけでなく、子供の個人情報に危険はないことを知らせ、親たちを安心させています。さらに、請求に関する情報は事実上漏洩していないに等しく、支払いカードの情報も含まれていません。

「盗まれた情報は上記に挙げたものに限られています。お子様の実名は漏洩しておりません。請求先のお名前とご住所は盗まれた記録の0.02%に含まれますが、それ以外の請求情報やプレイヤーの保護者を特定できる情報は漏洩しておりません。Animal Jamのすべてのユーザー名は、お子様の実名やその他の個人を特定できる情報が含まれないよう人間の目でチェックしております。」

このようなデータ漏洩を歓迎する人は誰もいないにせよ、特にAnimal Jamをプレイするのは幼い子供たちであるため、いくらか安心を与えてくれる内容です。

こうした不幸中の幸いは、Animal Jamの初期設計によるものでした。WildWorksは、幼いプレイヤーについて保存すべきでない情報があることがわかっていたので、最初からそれらを収集しないようにするプロセスを導入していました。

かつてハッキング被害を受けた企業の中にも、Animal Jamの不運なハッキングへの備えを見習うことができたはずの企業は少なくないことでしょう。

予防措置として、Animal Jamは全プレイヤーにパスワードの強制的な変更を求め、簡単に推測できない強固なパスワードを選ぶようすすめています。他のサイトと同じパスワードを使いまわししないようにするということも付け加えた方が良いでしょう。

WildWorksは今回のデータ漏洩について捜査機関と情報を共有しており、当局と連携して犯人の特定と起訴を進めると述べています。

翻訳元記事 Hackers Steal 46 Million Animal Jam Account Records, Dating Back 10 Years

データ漏洩の被害を最小限にするために

1.パスワードの使いまわしをしない
複数のサービスで同じパスワードを使用していると、メールアドレスやパスワードが流出してしまった場合に、他のサービスの不正利用につながるリスクが高くなります。パスワードの使いまわしをやめることが、最も大切なセキュリティ対策の一つです。

2.データ漏洩を自分でチェックする
SECURIEに付属するセキュリティソフト「Bitdefender Total Security」には、自分のEメールアドレスが漏えいしてしまっているかどうかをチェックできる、アカウントプライバシー機能があります。万が一漏洩が見つかった場合は、パスワードの変更を行うことで不正利用を防ぐことができます。

アカウントプライバシー.PNG