Thinking Skeever

Skyrim/The Witcher 3 Modについてのあれこれ。FoModの作り方、Mod導入時のトラブル事例などのニッチな話を書いていきます。a.k.a. BowmoreLover@nexusmods

Nexus Modsニュース和訳:ユーザーポータルの重要なセキュリティアップデートについて (2019/11/20)

https://staticdelivery.nexusmods.com/images/News/14163_tile_1573565978.png

2019/11/20のNexus Modsニュース Important Security Update to our User Portal(ユーザーポータルの重要なセキュリティアップデートについて)の和訳です。

注意:Nexus Mods新ポータルシステムのリリースに伴い、2019/11末までにパスワード変更と再ログインが必要となります。Nexus Modsに登録されたメールアドレスに不備がある場合、11末までに登録情報を訂正しておかないと、以降アカウントが利用できなく可能性がありますのでご注意を。


ユーザーポータルの重要なセキュリティアップデートについて
元記事:Important Security Update to our User Portal
投稿者:Pickysaurus (コミュニティマネージャー)
投稿日:2019/11/20(UTC)

https://staticdelivery.nexusmods.com/images/News/headers/14163_head_1573564220.jpg

つい先ほど、ユーザーとログインサービスのための重要なアップデートをリリースした。このアップデートによって、アカウントへのログイン方法とセキュリティ設定の管理方法が変更となる。そして本格展開の一環として、すべてのユーザーはパスワードを変更する必要がある。Nexus Modsに登録されたメールアドレスが最新のものであることを確認するとともに、新しいユーザーポータルで2FA(2要素認証)を有効化してほしい。

注意:すでにログイン済みの場合は、今すぐパスワードを変更しなくてもサイトの利用が可能だが、2019/11末までのどこかの時点で全ユーザーをログアウトしてもらうことになるので、それまでに全員がパスワードを変更する必要がある。

変更の背景

新しいユーザーポータルには、ログイン、ユーザー登録、パスワードリセット、2要素認証、アカウント回復手順に関する重要なセキュリティアップデートが含まれている。このアップグレードの一環として、ユーザーはパスワードの変更とログアウトが必要になる。新しいパスワードは次の条件を満たす必要がある。

  • 12文字以上
  • 英大文字/小文字/数字を1文字以上含むこと

新しいユーザーポータルで変更されたパスワードは、最新の強力な暗号化アルゴリズムによって保護される。これはアカウントデータのセキュリティ強化に欠かせないアップグレードだ。

僕たちはユーザー登録手順を完全に作り直し、新たなユーザーにとってより明確で分かりやすい手順に変更した。新しい登録システムではInvision Boardフォーラムの登録システム(訳注: フォーラムで利用されているBBSシステム)は使われなくなったが、ログイン手順は新旧共にこれまで通りにフォーラム上で動作する。この変更が必要であることは、過去6年以内にサイトに登録した人ならだれでも理解できるはずだ。

変更の理由

ここ数年の間、開発担当はユーザーサービスの基盤となっているInvision Boardフォーラムへの依存度を減らすべく、多くの時間とリソースを費やしてきた。ユーザーデータのセキュリティについて僕たちが自信を得るには、特別仕立てのモダンなユーザーポータルを作る以外になかったのだ。

この処理は古いIPボードシステムに依存していて、古いソフトウェアコードの脆弱性が時間の経過とともに公開されなくなる可能性があるため、今の時代遅れのユーザーシステムの安全性を保障することができないうえ、こうした脆弱性が悪意ある攻撃者によって悪用される可能性もある。こうした理由から、Webチームはユーザーシステムを最新のセキュリティ標準にアップグレードするためにかなりの時間を費やしてきた。

これによって、一部のユーザーにご不便をおかけすることは承知の上だが、今のユーザーおよび将来のユーザーにとって最終的に大きな利益となる重要なステップであると確信している。

ユーザーへの影響

本格展開の一環として、今すぐまたは2019年11月末までに、すべてのユーザーはパスワードを変更する必要がある。

パスワードを忘れた場合は、新しいユーザーポータルを使ってパスワードをリセットすることができる。こうすることで、Nexus Modsアカウントに登録されたメールアドレスに対して、詳細な手順が記載されたメールが送信される。

Nexus Modsアカウントに登録されたメールアドレスは、アカウントの所有者を識別するための主要な方法であるため、非常に重要なものだ。残念ながら、パスワードを覚えていないと同時にアカウントに登録されたメールアドレスにアクセスできないユーザーは、アカウントにアクセスできなくなる。この場合、過去にサポーターまたはプレミアムメンバーシップを購入し、その領収書をsupport@nexusmods.comに送信した場合にのみ、アカウントを復元できる。こうした理由でアカウントを復元できない場合は、新しいアカウントを登録してほしい。

https://staticdelivery.nexusmods.com/mods/2295/images/26/26-1573558174-1796606148.jpeg

2要素認証(2FA)の再有効化

新しいユーザーシステムには、Google AuthenticatorやAuthyといった認証アプリを利用する、アップグレードされた2要素認証システムが搭載されている。このため、これまで古い2要素認証システムを利用していたユーザーは、新しいユーザーシステムで2要素認証を再度有効化して、アカウントに対するセキュリティを確保する必要がある。

アカウントにMODやドネーションポイントが関連付けられたMOD制作者の場合は特に、アカウントのセキュリティ強化のために2要素認証を有効にすることを強くお勧めする。

とはいえ、まだそれを利用する準備ができていない場合は、以下のようなオンラインセキュリティのベストプラクティスに従うことで安全性を高めることを検討してほしい。

  • パスワードマネージャーを利用する
  • 複数のサイトで同じパスワードを利用しない
  • ログイン認証情報とメールアドレスを常に最新に保つ

基礎固め

今後、新しいユーザーポータルは、サポーターシステムとプレミアムメンバーシップシステムが処理できるよう、他のユーザー関連システムと共に拡張されることになる。

立ち上がりが順調に進み、騒ぎが少し落ち着いたとの確信を得たら、開発チームはプレミアムメンバーシップのチェックアウト/支払い/管理セクションの改善と、ユーザーサポート窓口および連絡システムの改善に取り組むつもりだ。

リリースまでの数週間、新しいポータルを徹底的にテストしてきたが、何か見逃しがある可能性は常にある。問題を見つけたら、バグトラッカーまたはsupport@nexusmods.comまで連絡していただきたい。

以上


→ その他のNexus Modsニュース和訳はこちら

Copyright (C) 2015-2018 ThinkingSkeever, All Rights Reserved.
ブログの記事内に記載されているメーカー名、製品名称等は、日本及びその他の国における各企業の商標または登録商標です。
リンクはご自由に。記事の転載はご遠慮ください。記事を引用する場合はトラックバックするか元のURLを明記してください。