「クラッシュ オブ キングス」の公式フォーラムでハッキング被害、約160万人の個人情報が流出：「vBulletin」のセキュリティ脆弱性を突いた攻撃で

「クラッシュ オブ キングス」の公式フォーラムがサイバー攻撃の被害に遭い、登録者約160万人の個人データが流出した。

[＠IT]

　スロバキアのセキュリティ企業 ESETが運営する「WeLiveSecurity.com」のブログは2016年7月25日、人気スマートフォンゲーム「Clash of Kings（邦題：クラッシュ オブ キングス）」の公式フォーラムサイトがハッキングされ、160万人近くのフォーラム登録者の個人情報が流出したと伝えた。以下、ブログを抄訳する。

「Clash of Kings」の公式フォーラムサイト（出典：WeLiveSecurity.com）

　公式フォーラムサイトは中国企業のElexが運営。攻撃者は同サイトのシステムへ不正侵入し、フォーラム登録者159万7717人のユーザー名、電子メールアドレス、IPアドレス、デバイスID、さらに登録者がFacebookアカウントと連携していた場合はFacebookデータとアクセストークンが流出した。

　Clash of Kingsは、Androidプラットフォームだけでも全世界で1億回以上ダウンロードされたとする人気ゲーム。この被害で個人情報を盗まれた可能性があるのは、プレーヤー全員ではなく、公式フォーラムサイトにアカウントを登録していた人に限られる。

　攻撃者は、フォーラムアプリケーションソフトウェア「vBulletin」のセキュリティ脆弱（ぜいじゃく）性を突いて機密データにアクセスしたと推測される。vBulletinの脆弱性を発端にした不正アクセス事件は、過去に何度か発生している。同サイトでもvBulletinの旧バージョンが使われており、その脆弱性を突かれたもようだ。なお、攻撃者は検索エンジンだけで、既知の脆弱性が放置されているWebサイトを見つけ出せるとしている。

　サイト侵入は2016年7月14日に発生したと考えられているが、同フォーラムサイトで公式声明は出されていない。これは、フォーラムの登録者がセキュリティインシデントの発生を認識しておらず、ユーザーに対して「自衛のために取るべき対策についても告知されていない可能性がある」ことを意味すると、ESETは警鐘を鳴らしている。例えば、攻撃者がフォーラムサイトから盗んだ個人情報を利用して、フォーラム登録者にフィッシング攻撃を仕掛けてくる可能性があるという。

　また、今のところ攻撃者はパスワードのクラッキングはできていないようだが、フォーラム登録者は全員パスワードを変更するとともに、同フォーラムサイトで使っていたパスワードは今後一切使わないのが賢明だと、ESETは述べている。