doope!

RMTオークションハウスの実装が迫るBlizzardの新作「Diablo III」ですが、2日前から公式フォーラムを中心に規模と詳細不明のアカウントハックに関する報告が登場しており、続報と正式な情報が待たれる状況となっています。

一部では未確認ながらセキュリティ強化を行うための“Authenticator”を突破したとの報告も行われ、Blizzardも一連の報告を認識しているとコメントするなど、状況によっては深刻な事態となる可能性も含まれることから、一旦現状の情報をまとめてご紹介し、新しい動きがあり次第改めてご報告したいと思います。

まず、今回報告が寄せられている被害の内容はパスワードの変更と、それに伴うアイテムやゴールドの盗難が主に挙げられており、昨晩自らのアカウントハック報告を行ったEurogamerのChristian Donlan記者は、ハック後のアカウントでプレイしていたプレイヤーとの会話を行い、ハックされたアカウントが売却されていたことを示唆するスクリーンショットを公開しています。

なお、今回のアカウントハック報告における、1つ大きなポイントとして“Authenticator”は突破されるのかどうか？という問題が挙げられますが、EurogamerのChristian Donlan記者は“Authenticator”を利用していなかった旨を報告しているものの、2日前にアカウントハック報告を行ったユーザー“DrDangerRuss”さんは、スマートフォン版の“Authenticator”を併用している状態でアカウントがハックされたことを、詳細な動作環境やウイルスチェック結果と併せて示しており、所謂キーロガーやマップハック等の外部ツールを経由したハックではないことを強調しています。

こういった状況から、現時点ではまだ“Authenticator”が実際に有効なのかはっきりとしていない上、今回のハッキングが所謂フィッシングなどを経由しないセッションIDの複製を可能にするエクスプロイトによるものとの未確認情報も登場しており、確度の高いセキュリティ情報の発表が待たれる状況となっています。

また、別の未確認情報としてヨーロッパのDiablo IIIサーバが日曜の午後4時頃にSQLインジェクションによる攻撃を受けダウンした後にハックが発生しはじめているとの情報も存在し、こちらも正式な続報が待たれるところ。

さらに、アカウントハックされたユーザーには報告チケットが受理されハックされる前の状態にロールバックされたプレイヤーも存在する様子で、幾つか同様の報告が確認される状況となっています。

現段階ではこういった未確認情報が各所で錯綜する状況が続いており、“Authenticator”に関する強度にも疑問が生じていることから、Blizzardから何らかの公式対応が報じられるまでは、パブリックでのゲームプレイに危険が潜んでいると構えておいた方が良いのではないでしょうか。