Path of Exile 2

Path of Exile 2の開発者は、ハッキングされた管理者アカウントによって脅威行為者がパスワードを変更し、少なくとも66のアカウントにアクセスできたことを確認し、11月以降PoE 2のアカウントがどのように侵入されたかを最終的に説明しました。

侵入された管理者アカウントにより、脅威行為者は他のアカウントのパスワードを変更することができ、多くの人がゲーム内で購入したアイテムを失い、その中には取得に数百時間を要した貴重なアイテムも含まれていた。

しかし、ログの保存に期限があるため、事件の全容を解明することはできず、この侵害によりさらに多くのアカウントが危険にさらされた可能性があります。

Path of Exile 2(PoE)は、Grinding Gear Gamesがパブリッシングするシングルプレイヤーおよび協力プレイのアクションロールプレイングゲームで、絶大な人気を誇っています。高い評価を受けた「ダークファンタジー」のフリー・トゥ・プレイ「Path of Exile」の続編である。

現在アーリーアクセス中だが、Steamでは非常に高い評価を得ており、数万人のプレイヤーからなる熱心なコミュニティが形成されている。

PoE 2のプレイヤーは、SteamとスタンドアロンのPoEアカウントの両方が二要素認証コード要求をトリガーすることなく侵入されたことを指摘し、ゲームのフォーラムでアカウントのハッキングが相次いで報告されている。

これらのハッキングの犠牲になった人々は、ゲームとSteamから突然ログアウトされたことに気づいた。

Steamサポートの助けを借りてアクセスを取り戻した時には、ハッカーがディバインオーブやエンドゲームギアのような貴重なアイテムを含むすべてのゲーム内アイテムを盗んでいたことがわかった。

被害を受けたプレイヤーによるフォーラムへの投稿によると、PoEのサポートは、ロールバックや盗まれたアイテムの復元は不可能であり、被害は取り返しがつかないと伝えている。

古いSteamアカウントでハッキング

404 Mediaが最初に報じたように、Path of Exile 2のゲームディレクターJonathan Rogersは昨日GhazzyTVのTavern Talkポッドキャストとのインタビューで、ハッキングは管理者アカウントにリンクされた古いSteamアカウント経由で発生し、それが侵害されたことを確認しました。

攻撃者は、クレジットカード情報の下4桁のような部分的な詳細を使用して、Steamサポートに認証情報をリセットしてアカウントを制御するように説得した。

これにより、攻撃者はPoE 2の管理者アカウントにアクセスし、他のゲーマーのアカウントにアクセスできるようになった。

開発者によって確認されたわけではありませんが、Path of Exile 2の管理画面とされるスクリーンショットがRedditなどのサイトで共有されており、プレイヤーのパスワードを変更するために使用されたと考えられています。

Alleged Path of Exile 2 administrator panel
Path of Exile 2の管理者パネルとされるもの
ソースはこちら:Reddit

さらに悪いことに、Path of Exile 2のアカウントパスワードが変更された際、編集不可能な監査項目として変更内容を記録する代わりに、編集可能なメモとして記録していた。

“実際、アカウントに新しいパスワードを設定するイベントが、監査イベントのようにではなく、メモとして誤って表示されるバグがありました。” Rogers氏はインタビューでこう語っている。とロジャーズはインタビューで語った。

「ノートはカスタマーサービスがアカウントに追加できるもので、編集したり削除したりすることができます。つまり、パスワードの変更は、誰も変更できない形で永久に存在するのではなく、カスタマーサービス担当者が誤って削除してしまう可能性があるということです」。

“つまり、事実上、アカウントを取得した人物が、ランダムなパスワードを送信し、その後ノードを削除することで、アカウントを危険にさらしていたのです”

開発者たちは、影響を受けたアカウントを見つけるためにログを分析しているが、会社のログ保持ポリシーによって、さらに妨げられている。

「事実上、ログが残っていない11月の5日間と、それ以降に削除された66のアカウントがありました」とロジャーズ氏は続けた。

開発者は、攻撃を防ぐことができたかもしれないゲームのバックエンドのエラーとセキュリティギャップを認め、”我々はここで完全にしくじった “と述べた。

Grinding Gear Gamesは、Steamアカウントを管理者アカウントにリンクする機能を削除するなど、事件後にいくつかのセキュリティ対策が導入されたことをプレイヤーに保証した。

しかし、影響を受けたアカウントについて、Grinding Gear Gamesは補償の計画を発表していない。その代わり、盗まれたアイテムを復元する方法はないとしている。