Steam、過去のSMSメッセージ漏えい 電話番号や当時のワンタイムパスワード記載 8900万件規模との報道も

[ITmedia]

　米Valveは5月15日、PCゲーム配信プラットフォーム「Steam」で情報漏えいがあったと発表した。漏えいした情報は、受信者の電話番号を含む、Steamのワンタイムパスコードが記載された過去のSMSテキストメッセージ。規模は明らかにしていないが、セキュリティ企業の発信や米BleepingComputerの報道によれば、8900万件以上が対象になっている可能性もあるという。BleepingComputerは、Steamが導入する米Twilioのサービスが漏えい経路だった可能性も指摘しているが、Twilioは否定したと報じている。

Valveの発表

　Valveは漏えいについて「漏えいしたデータは、Steamアカウントが特定できる形で電話番号、パスワード情報、支払い情報などの個人データと関連付けられてはいなかった」としている。さらに、漏えいの原因はSteamのシステムへの侵害ではないと主張している。

　Valveが今回の声明を出したきっかけは、イスラエルのセキュリティ企業Underdark.aiによるLinkedInの投稿とみられる。同社は11日、「Machine1337」と名乗る攻撃者が、Steamの情報8900万件以上を保有しており、それらをダークウェブで5000ドルで販売すると主張していると投稿した。

　13日にはBleepingComputerが、Machine1337がリークしたデータ3000件を調査したところ、受信者の電話番号やワンタイムパスワードが記載された過去のSMSが含まれることを確認したと報じた。中には3月初旬に送られたメッセージなど、比較的新しいものもあったという。

　BleepingComputerは漏えいの経路について、外部のゲームジャーナリストの意見を基に、Twilioのサービスが原因となった可能性があると指摘。Twillioは電話やSMS、メールなどのコミュニケーション機能をAPI経由で提供する企業だ。2要素認証用のメッセージング機能なども手掛ける。

　TwilioはBleepingComputerの取材に対し、当初はSteamの情報漏えい疑惑への関与について調査中と回答した。しかしその後、Twilioから同社のサービス経由でSteamのデータが取得された形跡はなかったとの返答があったという。

　BleepingComputerはTwilioと異なるSMSプロバイダーが漏えいの経路である可能性を指摘しているが、具体的に特定はできず、攻撃者の主張を検証もできなかったとしている。

　Steamは専用のスマートフォンアプリを使った「Steamガードモバイル認証」を採用しているが、ID・パスワードを忘れた際などは、電話番号を入力して受け取ったSMSに記載のコードでログインもできる。Valveはユーザーに対し、パスワードや電話番号の変更は必要ないとしているが、設定が済んでいないユーザーに対してSteamガードモバイル認証を利用するよう呼び掛けている

Steamガードモバイル認証のイメージ（Steamから引用）

　漏えいの原因についても調査中だが「SMSメッセージは送信中に暗号化されず、携帯電話に届くまでに複数のプロバイダーを経由するという事情により、この問題の調査を複雑にしている」（Valve）という。