ESET - CYBER SECURITY

ESETは7月25日(米国時間)、「Clash of Kings forum hacked, 1.6 million account details put at risk」において、クラッシュオブキングスのフォーラムを運用しているサーバが攻撃者による侵入を受け、同サーバに保持されていた160万人分のアカウント情報などが不正アクセスを受けた可能性があると伝えた。ユーザー名、電子メールアドレス、IPアドレス、デバイス識別子、Facebookデータなどがアクセスを受けた可能性がある。

クラッシュオブキングスは人気の高いモバイルゲームアプリの1つ。Androidプラットフォームのみに集計を絞っても1億インストール以上に上っていると見られており、世界中にプレーヤーがいるとされている。

不正アクセスを受けたデータはフォーラムのアカウントデータと見られており、クラッシュオブキングスのフォーラムにアカウントを登録していない場合は影響がないものと見られる。また、パスワードはハッシュ化されているほか、ソルトも使われているという。

このフォーラムではvBulletinが使われているが、長期にわたってアップデートが実施されていないと推測されており、放置されていた脆弱性を悪用して不正侵入が行われた可能性があるとも指摘されている。セキュリティパッチを適用していないソフトウェアは不正アクセスに使われることがあり、常に最新版を利用することが推奨されている。

フォーラムの不正アクセスに関して公式なアナウンスはまだ行われていないが、ただちにすべてのユーザーがパスワードを変更する必要性は低いと思われる。ただし、パスワードを変更することで危険性を軽減することにつながる可能性があるほか、もしほかのサービスと同じパスワードを使っているのであれば、それらも変更しておくことが望まれる。