Epic Gamesのフォーラムから80万アカウントのユーザー情報流出、vBulletinの脆弱性悪用か
「Unreal Engine」や「Unreal Tournament」といったゲームのフォーラムが不正アクセスされ、80万を超えるユーザーの情報が流出したと伝えられている。今回の攻撃ではフォーラムソフトウェア「vBulletin」のSQL絡みの脆弱性が悪用されたようだ。
米Epic Gamesは8月23日、「Unreal Engine」や「Unreal Tournament」といったゲームのフォーラムが不正アクセスされ、フォーラムに入力された電子メールアドレスなどのデータが流出したと発表した。報道では、80万を超すユーザーのアカウントが被害に遭ったと伝えられている。
Epic Gamesによると、Unreal EngineとUnreal TournamentのフォーラムではvBulletinアカウントデータベースに含まれる電子メールアドレスなどの情報が流出したものの、パスワードは別の場所に保存していたため流出を免れたという。
一方、「Infinity Blade」と「UDK」、過去のUnreal Tournament、およびアーカイブされた「Gears of War」のレガシーフォーラムに対する攻撃では、メールアドレスやソルト化・ハッシュ化されたパスワードなどの情報が流出したと考えられるという。こうしたフォーラムを2015年7月以降に利用していた場合は、同じパスワードを使った全てのサイトでパスワードを変更するよう呼び掛けている。
報道によれば、今回の攻撃ではフォーラムソフトウェア「vBulletin」の古いバージョンに存在していたSQLの脆弱性が悪用され、データベースにアクセスされていたという。
vBulletinの脆弱性を突く攻撃では、過去にもUbuntuやopenSUSEなどのフォーラムが相次いで被害に遭い、ユーザーの情報が流出していた。
関連記事
- Ubuntuフォーラムから200万人の情報流出、放置の脆弱性が悪用される
攻撃者は、パッチが当てられていなかったvBulletinのプラグイン「Forumrunner」のSQLインジェクションの脆弱性を悪用していた。 - FlashやWindowsに未解決の脆弱性、Hacking Teamの情報流出で発覚
市民監視ツールを手掛けるHacking Teamの製品にAdobe Flash PlayerやWindowsカーネルの未解決の脆弱性を突くコードが含まれていたことが分かった。 - ネット市場に173カ国の大量サーバ情報、サイバー攻撃に悪用の恐れ
世界各国の企業や政府機関などから盗まれたサーバ情報17万件あまりが闇市場を通じて出回っていたことが分かった。 - Acerの米通販サイトに不正アクセス、クレジットカード情報が流出
Acerの米通販サイトを利用した一部顧客のクレジットカード番号と有効期限および3けたのセキュリティコードが流出した可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.