Thinking Skeever

Skyrim/The Witcher 3 Modについてのあれこれ。FoModの作り方、Mod導入時のトラブル事例などのニッチな話を書いていきます。a.k.a. BowmoreLover@nexusmods

Nexus Modsニュース和訳:重要なセキュリティ警告 (2019/12/19)

https://staticdelivery.nexusmods.com/images/News/14178_tile_1576759463.png

2019/12/19のNexus Modsニュース Important Security Notice(重要なセキュリティ警告)の和訳です。

要約: 2019/11/8に旧ユーザーサービスの穴を悪用したユーザーデータへのアクセスが確認された。新ユーザーサービスに移行したことで問題に対処できたものの、旧ユーザーサービスのパスワードが悪用される可能性がある。まだの場合は新ユーザーサービスに移行してパスワードを変更すること。また念のため、フィッシング詐欺やクレデンシャルスタッフィング攻撃に警戒しておくこと。


重要なセキュリティ警告
元記事:Important Security Notice
投稿者:BigBizkit (コミュニティマネージャー)
投稿日:2019/12/19(UTC)

何が起こったのか?

2019年11月8日の早朝、当サイトに対する悪意ある第三者の疑わしい活動に気づいた。当サイトのレガシー・コードベースのセキュリティ上の不具合を利用して、旧ユーザーサービスから少数のユーザーレコードにアクセスしたことがログによって確認された。

セキュリティ対策として、セキュリティ上のある一定の不具合を発見してすぐにエンドポイントを保護することができたものの、電子メールアドレス、パスワードハッシュ、パスワードソルトなどの他のユーザーデータへのさらなるアクセスを完全に排除できないため、すべてのユーザーに通知することにした。

僕たちはすぐに状況の是正に取り組み、そのプロセスの一環として、長期計画にあった新ユーザーサービス (和訳)のリリース日程を早め、旧ユーザーサービスを使ったユーザーデータの取得やその他潜在的な悪用ができないようにした。この手順によって、新しいパスワードがより適切に保護するのはもちろん、旧ユーザーサービスより取得された可能性のある暗号化パスワードが古くて使えないことを確かなものにした。

さらに、法律で義務付けられている通り、この事案はICOに届け出済みであり、引き続き問題に関連する義務を遂行中である。

ユーザーはどうするべきか?

2019年11月8日に疑わしい活動について気づいたものの、ログには過去の活動に関する証拠はなく、不具合が以前に利用されたかどうかを確実に判断することはできない。従って、もし利用されたとしても、どれだけの数の電子メールアドレス、パスワードハッシュ、パスワードソルトにアクセスされたのかを確かめることはできない。

全ユーザーに対する当サイトの義務を認識したうえで、みんなにはフィッシング詐欺クレデンシャルスタッフィング攻撃(流出したパスワードを使って様々なサイトに自動総当たり不正アクセスを試みること)に警戒するよう、強くお勧めしたい。

一般的な推奨事項

  • まだ新ユーザーサービスに移行していない場合、一度ログアウトしてログインしなおしてアカウントを更新し、パスワードを変更すること。既に新ユーザーサービスを使っている場合は、再びパスワードを変更する必要はない。
  • 旧ユーザーサービスで使っていたのと同じパスワードを他のサイトでも使っている場合、できるだけ早く他のサイトのパスワードを変更すること。
  • パスワードマネージャーを利用して、複数のサイトで同じパスワードを使わないことを強くお勧めする。
  • 利用するサービス毎に12文字以上の一意で強力なパスワードを常に使うこと。
  • 特にMOD制作者の場合、2要素認証の利用を検討すること。

以上


→ その他のNexus Modsニュース和訳はこちら

Copyright (C) 2015-2020 ThinkingSkeever, All Rights Reserved.
ブログの記事内に記載されているメーカー名、製品名称等は、日本及びその他の国における各企業の商標または登録商標です。
リンクはご自由に。記事の転載はご遠慮ください。記事を引用する場合はトラックバックするか元のURLを明記してください。