昨年12月半ばから，「Perfect World -完美世界-」のアカウントハックについて4Gamerへの問い合わせが数多くあった。編集部からもシーアンドシーメディアに問い合わせを行っていたのだが，ようやく原因が判明したようだ。結果は，外部からのMK-STYLEサーバーへの不正侵入＆個人情報流出という最悪なものとなっている。

　経緯をまとめると，

?12月中旬　
　アカウントハック発生（日に数件の問い合わせ），サーバー，セキュリティのチェック（異常確認できず）
?1月中旬
　外部機関による全サーバーのセキュリティチェック開始
?1月下旬
　外部からの侵入を確認。継続してサーバーのチェック中

のようになる。個人情報の被害件数は14362人分が確認されている。かなり大規模な被害といってよいだろう。流出した情報は，アカウントID，パスワード，メールアドレス，年齢の4種類。個人情報といえるのはメールアドレスのみだが，アカウント情報を抜かれていてはゲーム内で好き放題にやられてしまう。

　当初，ユーザーの被害件数としては微妙な件数であったこと，同時期に台湾，韓国のサービスで同様なアカウントハックが発生していたことなどから，最初はクライアント側のハッキング被害ではないかと予想されていたようだ。専門機関の調査でも痕跡の発見に手間取るなど，ほとんど痕跡を残さない侵入者の手際のよさにしてやられた模様。侵入者は，中国からアクセスしていたとのこと。

　インターネットに接続され，あらゆる攻撃を受ける可能性のあるサーバー群は，サーバーを構成する各種モジュールのパッチ作業が遅れると，それだけでセキュリティの危険を抱えることになる。過去に中国からの尋常じゃないアタックを受けたことのある4Gamerとしても他人事ではないのだが，まったく洒落にならない攻撃を受けることになる。そしてまた自分達も受けたことがあるのでよく分かるのだが，本当に攻撃なのかどうかという「断定」は，もちろん可能ではあるものの非常に難しい。ここまで判断に時間がかかった理由はそこではないかと思われる。シーアンドシーメディアによると，中国からのアクセスはIP制限で弾いているそうだが，今回は国内のPCが踏み台に使われていた模様。
　参考までに，以前4Gamerサーバー群の1台が中国からのアタックを受けたとき，同じラック内のサーバー群に影響があったのかどうかを外部機関に調査してもらったことがあったのだが，「影響なし」という公式の回答が出るまでに約1か月かかっていた。こういうのを綿密に調査すると，結構時間はかかるものなのだ。その期間を考えれば，告知などで後手に回った感は否めないが，さほどまずい対応というわけではないだろう。
　とはいえ，この手の事件では情報開示の速さがなによりも重要になる。正確な情報を期すことも重要だが，対応姿勢を明らかにすることが，結果的に運営会社の傷を軽くすることにもつながることを認識しておくべきだろう。世の中，同じような不祥事を起こしていても，対応が遅れたことで致命的な打撃を受ける会社もあれば，即時対応で逆に評価を上げる会社もある。危機管理体制の強化，とくに情報開示の速度は非常に重要である。

　シーアンドシーメディアでは，すでに一時的にオークションを禁止するなどの一時的な対策を取っており，RMTで使われそうな取引手段をつぶしたり，アイテムロック用アイテムの配布などで一時的な対応を進めているが，26日にはシステムの暗号化強化を行うことで，日本サーバーのみ認証方式を変更されている。今後行われるパスワードの暗号化では，ほぼ解けないレベルの暗号が使用される模様。今後は，これに追加してアカウント名，パスワードとは別に認証キーを設けるなどの対策が行われる予定。
　こういった対策によって，サーバーセキュリティの強化は当然として，ハッキングツールでの個人レベルでのアカウントハックが発生した場合の被害もある程度抑止できるようになると思われる。今後の対策として認証キーの導入など日本のみ海外とは別の認証方式が使われるようになることから，海外製のツールでの被害も減ってくるだろう。また，同様の対策は，今後サービスが予定されている「夢世界 -武林外伝-」にも施される。
　被害に遭ったプレイヤーには補償が行われる。手順などについては，今後発表されるので公式サイトをよく確認しておこう。

　Webサーバーへの外部からの侵入ということで，プレイヤー側では対処できない種類の問題であり，業界的にも大きな影響を及ぼしそうな一件となった。先日報じた，ネクソンジャパンの課金決済システムへの不正侵入事件といい，オンラインゲーム運営のセキュリティ問題が浮き彫りとなった年明けとなった。
　ただ，こういったサーバーは日常的に数千数万というアタックを受けているものの，突破されることはまずない。今回の件はむろん別だが，アカウントハック問題のほとんどはユーザーレベルのセキュリティの甘さからきていることが多い。プレイヤー個人レベルでのセキュリティ強化意識も忘れないでおこう。

　起きてしまったことについてはきちんと後始末をしていただくとして，とりあえず原因が判明したことでほっとした人も多いかもしれない。プレイヤーは，今後，新認証システムの導入と同時にパスワードの変更を行うことになるだろう。シーアンドシーメディアには，事後のサポートと再発防止の徹底を頑張ってほしい。ほかの運営会社にも，今一度，セキュリティと危機管理体制の確認をお願いしたいところである。

不正アクセス発生に関する調査報告と個人情報流出のお詫び

URL：http://game.mk-style.com/news/080128_01.asp

＃＃＃＃＃＃＃＃＃＃

不正アクセス発生に関する調査報告と個人情報流出のお詫び


このたび、弊社が運営するオンラインゲームポータルサイト「MK-STYLE」 (以下、MK?STYLE)に外部からの不正アクセスがあり、ユーザーの皆様よりお預かりしておりました個人情報の一部が流出したことが判明いたしました。
ユーザーの皆様に多大なご迷惑とご心配をおかけすることとなり、深くお詫びを申し上げますとともに、これまでに判明した事実と、弊社が対応した施策について下記のとおりご報告申し上げます。
また、事実調査のため時間を要し、ご報告が遅れましたことを重ねて深くお詫び申し上げます。
なお、弊社では、本件が不正アクセス禁止法違反等に該当するものと判断し、所轄の警察署に届出を提出しております。また弊社では警察への捜査協力をし、犯人特定に全面協力をいたします。


記

１)経緯
弊社が管理しておりますMK-STYLEのサーバーに対する、何者かによる海外からの不正侵入を受けた可能性があることが昨年12月中旬にユーザー様からの問い合わせにより判明いたしました。弊社は事態の重大性に鑑み、直ちに対策室を設け調査を開始するとともに、被害の拡大を防ぎ、再発を防止するための緊急対策に着手いたしました。
調査の結果、少なくとも昨年より2008年1月27日までの期間に数回、外部からの不正アクセスの痕跡が確認され、そのうち1回は個人情報流出の痕跡が発見されました。また、サーバーに悪質なプログラムが仕掛けられたことも判明いたしました。

2)被害件数
現在調査を継続して行っておりますが、1月27日の時点で14,362件の個人情報の流出が確認されております。引き続き詳細な事実確認、原因究明を継続して実施いたしております。
現時点で流出した可能性が認められる個人情報は、アカウントID、パスワード、メールアドレス、年齢です。なお、弊社ではクレジットカード情報は保持しておりません。

3)再発防止策について
現在、弊社では、不正アクセス監視?防御を24時間体制で開始しております。また、ハッキング対策に伴うセキュリティ強化として下記項目を段階的に実施致します。
　なお、弊社では、セキュリティシステムの強化を経営の最重要課題として、今後とも積極的に取り組んでゆく所存です。ユーザー様に安心してオンラインゲームを楽しんでいただけるよう全力を尽くす覚悟で御座います。

第1段階
　?セキュリティ対策室の設置 (実施済)
　?情報セキュリティ専門会社による不正アクセスの監視 (1月24日機器導入済)

第2段階
　?認証システム強化 (1月26日実施済)

第3段階 (1月中に実施予定)
　?サーバーシステムの改修によるセキュリティ強化
　?ハッキング防止対策強化
　?BOT対策強化

4)補償
本件に関し、弊社はユーザーの皆様へ補償させていただくことを検討しております。補償内容につきましては、近日中に改めてご報告させていただきます。

本件に関する調査内容とその経過報告、また再発防止策の進捗に関しましては、MK-STYLEホームページ等で随時掲載させていただきます。

ユーザーの皆様には大変ご迷惑をおかけしておりますこと

前のページ： ドフス、達成するとごほうびが！全体ミッションイベント開催

次のページ： スクウェア?エニックス，「プレイオンライン