ゲームの不正行為に使われるチートサービスから、利用者情報が流出した可能性が明らかになりました。
漏えい情報監視サービス「Have I Been Pwned(HIBP)」は5月30日、PCゲーム向けチート販売サービス「Atlas Menu」で情報漏えいが発生したと公表しました。
Atlas Menuは、「グランド・セフト・オートV」(GTAV)や「カウンターストライク 2」(CS2)向けのチートを販売しているサービスです。
HIBPによると、今回の漏えいでは約6万4000件のメールアドレスが流出したとされています。
■ 約6万4000件のメールアドレスが流出
攻撃者はAtlas Menuの全システムにアクセスしたと主張しており、同サービスのデータベースをGitHub上の公開リポジトリに掲載したとされています。
流出した情報には、メールアドレスのほか、ユーザー名、IPアドレス、サポートチケット、bcrypt形式でハッシュ化されたパスワードが含まれていました。
bcryptは、パスワードをそのまま保存せず、復元しにくい形に変換する仕組みの一つです。そのため、パスワードが平文のまま流出した場合と比べると、危険性は低いと考えられます。
ただし、メールアドレスも流出しているため注意が必要です。過去に別のサービスから流出したパスワードと組み合わせられたり、同じパスワードを他のサービスでも使い回していたりした場合、不正ログインにつながるおそれがあります。
また、流出した情報にサポートチケットが含まれている点にも注意が必要です。サポートチケットには問い合わせ内容や利用状況などが記載されている場合があり、ユーザー本人につながる情報が含まれている可能性があります。
■ チート利用者ならではのリスクも
そもそも「チート」は、多くのゲームサービスで利用規約により禁止されている不正行為です。そのため、仮に情報流出の被害にあっていたとしても、利用していたことを周囲や運営会社に相談しづらい側面があります。こうした事情から、流出した情報を利用した脅迫や詐欺などの二次被害につながる可能性も十分考えられます。
日本国内への直接的な影響は、現時点では明らかになっていません。しかし、GTAVやCS2はいずれも日本でも多くのプレイヤーがいるタイトルであり、Atlas Menuを利用していた日本国内のユーザー情報が、流出データに含まれている可能性は否定できない状況です。
心当たりがある人は、Atlas Menuで使用していたパスワードを変更するとともに、同じパスワードを使っている他のサービスでも別のものに変更しておくといいでしょう。あわせて、利用できるサービスでは二要素認証を有効にし、不審なログイン通知やパスワード再設定メールにも注意してください。
<参考・引用>
Have I Been Pwned「Atlas Menu Data Breach」