SteamのクリスマスのダウンはDDoS攻撃が原因、約3万4000人の個人情報に影響──Valveがようやく発表

PCゲームサイト「Steam」がクリスマスにダウンした件について、運営会社のValveが30日にようやく事情説明と謝罪を行った。約3万4000人の住所や購入履歴が他のユーザーに表示されたが、クレジットカード番号は表示していないとしている。

[佐藤由紀子，ITmedia]

　PCゲームサイト「Steam」を運営する米Valveは12月30日（現地時間）、日本時間の12月25日深夜ごろから数時間にわたってサービスがダウンした問題について、ようやく正式に事情を説明し、謝罪した。

　これまでredditやSteamのフォーラムに多数のユーザーから、自分以外のユーザーのゲーム購入履歴や得点などの情報が表示された後、アクセスできなくなったという報告が上がっていた。

　Valveによると、今回の事故で他のユーザーに個人情報が表示されてしまったユーザーは約3万4000人。請求先住所、電話番号の下4桁、購入履歴、クレジットカード番号の下2桁、メールアドレスが表示されたという。クレジットカード番号すべて、パスワードなどは表示されておらず、他のユーザーになりすましてログインしたり、何かを購入することはできないとしている。

　日本時間の26日午前4時50分〜6時20分に自分のアカウントでSteamストアにログインしていなければ、この問題の影響は受けていないという。

　きっかけは外部からのDDoS攻撃で、この攻撃でSteamストアへのトラフィックは通常のクリスマスセール期間の2000％増になったという。このトラフィック急増に対処するため、ValveのWebパートナーの1社がデータのキャッシュルールを導入したが、その導入に際してミスがあり、ユーザーのトラフィックが誤キャッシュされ、その結果、本人以外のユーザーに個人情報が表示されてしまったり、表示言語が誤ったものになってしまったとValveは説明する。

　この問題を確認した段階でSteamストアをシャットダウンし、新しいキャシュ設定を導入して正しく機能することを確認した後に復活させたという。

　Valveは現在、影響を受けたユーザーの特定を急いでおり、確認でき次第本人にメールで連絡するとしている。