Dota 2のフォーラムで200万人分のパスワードが流出

2016年8月23日

2016年8月9日、LeakedSourceはDota 2の公式フォーラムのアカウント約200万件が流出したことを公表しました(リンク先はいずれも英語記事)。この事件によってどのような影響があるのでしょうか?

dota-featured

Dota 2に関心がない人であれば、影響はありません。しかし、統計データから判断すると、1回や2回はプレイしたことがある人もいるのではないでしょうか。Dota 2は、大人気のオンラインマルチプレイヤーゲームで、ユニークプレイヤー数は1か月あたり1,300万人以上、1日あたり約60万人と言われています。多くの人にとってDota 2はMOBA(マルチプレイヤーオンラインバトルアリーナ)の代名詞となっていますし、「オンラインゲーム」と言えば真っ先にDotaを思い浮かべる人も多いでしょう。

世界中でこれほど多くの人がプレイしているのですから、当然Dota 2には大規模なファンコミュニティがあります。ファンは単にプレイするだけでなく、Dota 2について語り合ったり、大会を観戦したりして多くの時間を過ごします。ちなみに、毎年恒例のDota 2のメインイベント『The International』が今まさに開催されており、準決勝戦に突入したところです(※訳注:本記事の英語版の執筆時点)。Dota 2の規模は、誇張ではなく本当に大きいのです。何しろ今年の『The International』の賞金総額は、2,000万ドル以上なので。

dota-2-live

パスワードが!

お金のあるところに犯罪者あり。Dota 2の公式フォーラムがハッキングされました。フォーラムがハッキングされたのは2016年7月10日で、200万件近くのレコードを含むデータベースが流出しました。データベースに含まれていたのはユーザー名、ID、メールアドレス、IPアドレス、そしてお察しのとおり、パスワードです。

ハッキングは密かに実行され、その時点では誰も気づきませんでした。判明したのは『The International』の2日目、8月9日になってからでした。

Dota 2の所有者であり作成者でもあるValveは、流出したデータベースにはフォーラムアカウントしか入っておらず、Steamアカウントは流出していないと述べています。それでも今回の事件の責任は、Valveにあると言うべきでしょう。Inquirerが指摘しているように、パスワードはMD5ハッシュにソルトを追加して保存されていましたが、MD5は古い手法という認識が今では広まっています。現にLeakedSourceは、流出したパスワードの80パーセント以上を平文に変換することができました。

ハッキングされただけでもひどい話ですが、もっと悪い結果になった可能性もあります。利用者は同じログイン名とパスワードを使い回す傾向にあります。そういえば、マーク・ザッカーバーグ(Mark Zuckerberg)氏のTwitterアカウントの乗っ取りに使われたパスワードは、LinkedInのハッキングで流出したパスワードでした。今回もきっと同じことが起こるはずです(あるいは、すでに起こっているかもしれません)。Steamアカウントのユーザー名とパスワードが、Dota 2のフォーラムのユーザー名とパスワードと同じという利用者もおそらくいるでしょう。ですから、今後Steamアカウントの乗っ取りが急に増えたとしても驚くに値しません。

どうすべき?

皆さんのアカウントの無事を願っていますが、これからもアカウントをしっかり守るためのヒントをご紹介します。

  1. Dota 2のフォーラムをご利用の方は、フォーラムのパスワードを変更しましょう。くれぐれも強固なパスワードにしてください。
  2. LeakedSourceで自分のアカウント情報が見つかるかどうかを確認します(英語サイト)。情報が見つかったら、削除を依頼した方がいいでしょう。
  3. 別のサイトやサービスで同じパスワードを使ったことがある場合は、パスワードをすべて変更しましょう。今後はパスワードの取り扱いに十分注意を。パスワードの取り扱いについては、こちらの記事を参考にしてください。
  4. Steamアカウントの保護を強化するため、Steam Guard(英語記事)を使って2段階認証を有効にします。
  5. 上記4つの重要な対策をとった後は、コンピューターゲームの世界に潜む他の脅威について情報を集めるのも良いでしょう。このテーマについても当ブログの記事でご紹介しています。