EAの7億アカウントに致命的な脆弱性:全プレイヤーのデータとアクセスが危機に

EAの7億アカウントに致命的な脆弱性:全プレイヤーのデータとアクセスが危機に #WEB・プログラム・SEO
EAの7億アカウントに致命的な脆弱性:全プレイヤーのデータとアクセスが危機に

EAの7億アカウントに致命的な脆弱性:全プレイヤーのデータとアクセスが危機に

2024年6月、ゲーム開発者でリバースエンジニアのショーン・ケーラー氏が、エレクトロニック・アーツ(EA)のアカウントシステムに重大な脆弱性を発見しました。この欠陥を悪用すると、EAが管理する7億件以上のアカウントに対して、乗っ取りやBAN、ユーザー名変更が無制限にできる可能性があったのです。

ゲーム開発者兼リバースエンジニアのショーン・ケーラー氏が、エレクトロニック・アーツ(EA)の全アカウントを乗っ取ることが可能な脆弱(ぜいじゃく)性を発見したと報告しました。Hacking 700 Million Electronic Arts Accounts | Sean Kahlerhttps://battleda.sh/blog/ea-account-takeover

EAアカウントと「ペルソナ」システムの概要

EAは、複数のプラットフォームで提供するゲームにおいて「ペルソナ」と呼ばれる仕組みでアカウントの連携を管理しています。新しいプラットフォームのアカウントをEAにリンクすると、「ペルソナ」が作成され、各プラットフォーム固有のユーザー名やデータがEAアカウントに紐づけられます。しかし、ケーラー氏は、EAのAPIエンドポイント「/identity/pids/{pidId}/personas/{personaId}」にある権限設定のミスを発見。これにより、認証の制約を回避して他のユーザーのペルソナ情報を不正に更新できることが明らかになりました。

ユーザー名変更と「BANNED」ステータス変更の脆弱性

ケーラー氏は、自身のアカウントのユーザー名を変更するテストを実施。通常ならユーザー名変更にはクールダウン期間やメールでの確認が必要ですが、これを回避してプレイヤー名の変更が可能でした。さらに、アカウントの「BANNED」などのステータスも自由に書き換えられることが判明。実際にケーラー氏が自身のアカウントを「BANNED」状態に変更したところ、ゲームにアクセスできなくなったことから、この脆弱性の危険性が確認されました。

ペルソナとアカウントのリンク情報も自由に変更可能

この脆弱性は、ペルソナとEAアカウントのリンク情報も操作できることを意味します。ケーラー氏は、自身のSteamアカウントを友人のEAアカウントにリンクさせ、Steam経由で不正に友人のアカウントへログインできるかを試行。この際、「新しい場所からのログイン」としてメールでの認証が求められましたが、Xboxでは異なる結果が得られました。

Xboxの脆弱性:メール認証を回避して不正ログインが可能に

ケーラー氏はXboxでのプレイ中にメール認証が不要だったことを思い出し、Xboxのペルソナを新規に作成したEAアカウントにリンク。その後、Xboxでログインを試みると、メール認証なしでのログインに成功しました。EAは、ログインが成功したデバイスを信頼できる場所として記録するため、一度Xboxで認証を通過すると、以後のログインでも認証を回避できるようになることが判明しました。

思わぬ影響:この脆弱性を悪用すると可能な行為

ケーラー氏は、この脆弱性を悪用することで以下の行為が可能になると述べました。

  1. 他人のペルソナを別のアカウントにリンクし、ユーザー名やゲームデータを盗む。
  2. 攻撃者のXboxペルソナを使って、任意のアカウントにログイン可能。
  3. 他人のペルソナを「BANNED」状態にし、ゲームプレイを阻止。
  4. 他人のユーザー名を不正に変更。
  5. BANされたペルソナを別のアカウントに移動し、BANを回避。

脆弱性の修正:EAの対応とセキュリティの強化

ケーラー氏は、2024年6月16日にEAへこの脆弱性を報告。EAは問題を真摯に受け止め、5回にわたるパッチを実施し、2024年10月8日に脆弱性を完全に修正しました。この対応により、アカウント乗っ取りや不正ログインのリスクが解消されましたが、数か月間にわたるセキュリティホールが放置されていたことに対する批判も少なくありません。


まとめ:セキュリティ強化が急務なオンラインプラットフォーム

今回の事例は、大手ゲーム企業も脆弱性にさらされていることを再確認させられるものでした。多くのユーザーが使用するプラットフォームには、定期的なセキュリティ検査と迅速な対応が不可欠です。EAのアカウントシステムが脆弱であった事実を受け、ゲーム企業やオンラインサービス提供者は、さらなるセキュリティ強化に努める必要があります。

コメント

タイトルとURLをコピーしました