Thinking Skeever

Skyrim/The Witcher 3 Modについてのあれこれ。FoModの作り方、Mod導入時のトラブル事例などのニッチな話を書いていきます。a.k.a. BowmoreLover@nexusmods

Nexus Modsニュース和訳:データベース侵入の可能性について (2015/12/6)

f:id:thinkingskeever:20161030132317p:plain

Nexus ModsオーナーのDark0neさんからデータベース侵入の可能性についてが投稿されました。
ざっくり和訳したので参考にしてください。


詳細は下記和訳を読んでいただくとして、次の2点をお願いしたいとのこと。

(1) すぐにパスワードを変更する
パスワード変更のURL:http://forums.nexusmods.com/index.php?app=core&module=usercp&tab=core&area=email
次の3点に留意すること。
・8文字より長い
特殊文字と数字をそれぞれ1文字以上含める
・他のサイトで使ったパスワードを流用しない

(2) Nexusアカウントに設定したEMailアドレスが正しいか確認する
実装予定の2要素認証時に重要となると思われるため。



2015/12/9追記:続報が投稿されましたのであわせて読んでください。
 原文:Database Breach - An Update
 和訳:Nexus Modsニュース和訳: データベース侵入について - 続報 (2015/12/8) - Thinking Skeever



データベース侵入の可能性について

元記事:Potential Database Breach
6 December 2015 20:54:35
posted by Dark0ne



追記:侵入の可能性についての詳細と、この記事の続報をリリースした。
 原文:Database Breach - An Update
 和訳:Nexus Modsニュース和訳: データベース侵入について - 続報 (2015/12/8) - Thinking Skeever

オリジナルの投稿は以下のとおり。



心苦しいけど、Nexus Modsのデータベースが侵入されたかもしれないと知らせなきゃならない。これはものすごく曖昧に聞こえると思う。純然たる事実として、僕達はまだデータベースが最近侵入されたのを完全に確認するまでには至っていない。でも最近の出来事を考慮すると、君達にこの可能性について警告しないのは私の良心が許さないんだ。

僕がこの問題を最初に知ったのは金曜日の夜遅く、データベース侵入に関するの書き込みのリンク ttps://www.reddit.com/r/gaming/comments/3vggi8/nexus_mods_has_been_breached_please_reset_your/ (はてなに投稿できないので先頭h抜き) が送られてきたときのことだ。投稿では、アメリカのいくつかの大学の面倒を見ている(またはセキュリティについて助言する)セキュリティ機関がIT部門に連絡して、大学のネットワーク利用者にNexus Modsのデータベース侵入について通知した、と書かれていた。Emailは特に参考にならなかった

詳細な情報を入手するためにセキュリティ機関に接触したけど、機密情報にアクセスするのに色々と面倒なことを要求され、結局は土曜日の朝3時頃に睡魔に負けたが、まだ彼らからの返信はない。彼らの休日である週末にこの問題が発生したからだと思う。

そのEmailから侵入を受けたのは明らかに思えるけど、残念ながら具体的に結論を出すにはあまりにもあやふやだ。数年前だけど、ハッカーがファイルサーバホストをハックしてシステムに入り込み、本当にデータベースに侵入されたことがあった(君達の落ち度とは関係のない、恐るべきハッキング手法)。だからハッカーは以前の漏洩や他の主要ネットワーク(たとえばPlaystationネットワークやEBayなど)のデーターベース侵入の結果から、再利用されたパスワードを関連づけているなど、多くの可能性がある。

昨日、3名の別の作者によるFallout 4の3つのModのファイルが作者自身によって変更されたことで事態はより疑わしくなった。変更されたファイルには.dllファイルが含まれていて、僕達が使っているVirus Totalシステム(56種類のウィルススキャナでファイルチェックする)でウィルス検出されなかった。でも依然、とても疑わしい。それをやったのは作者自身ではないと報告があった。この兆候は作者のアカウントが犯されたことを示している。いずれにせよ、データベースが完全に侵入された決定的証拠はないものの、のっぴきならない状況だ。

この時点で侵入の可能性が十分に高まったので、利用者に知らせるまで完全に事態を確認するのは待てないと判断した。この事実にもかかわらず、最近(訳注:前回?)侵入されなかった可能性はまだあり、証拠は今も増えている。僕はこの記事を書きながら、オッカムのカミソリの話を思い出した。

言っておくけど、ソルトを併用してハッシュ化するシステムを使ってすべてのパスワードをデータベースに保存している(要は生のテキストではない)。でもこれは君のパスワードが完全に安全だという意味ではない。すべての暗号化は解読するのにどれだけ複雑かという数学の公式に基づくものだからだ。十分な時間と処理能力があれば、ほとんどの暗号化方式は最終的に解くことができる。パスワードが認識しやすいか簡単すぎれば事態はさらに悪化する。これまで他ののサイトで少なくとも1つの数字と1つの「特殊な」文字を入れるように言われたことを疑問に思ったことがあるなら、これがその理由だ。これはより解読しにくいパスワードを作り出す(もちろん僕達はこの要件を強制する機能をすぐに実装するつもりだ)。このことから、これが数年前のデータベース侵入の結果が、パスワードを変更しなかったユーザを悩ますために戻ってきた可能性がある。問題は、僕達にもまだ分からないことだ。

プレミアム会員の方へ。僕達のサイトではクレジットカードの番号や有効期限、セキュアナンバーを保存していない。すべてPayPalで取り扱われている。
僕達が前回の侵入を実際に確かめなかった、つまりこのような侵入に関連した穴をまったく塞がなかった。残念ながらこれは、不正操作の明らかな兆候のあるところで誰かが家の鍵を破って入り込んだという訳ではなく、壊れた錠前やら窓やらなにやらのようなものだ。これは試して悪いことが実際に起こったか理解しながら僅かな異常を探し出し、見つかった悪いことをどうやって塞ぐかを試して理解するという、とても複雑な作業だ。簡単ではないが、僕たちは本当にこの難所に取り組んでいる。もちろん、新しいことが分かればどんな情報でも君達に知らせるつもりだ。

今すぐ君のパスワードを変更するよう心からお勧めする。そして明らかになっていない事態に備えて、他のどこかで使っているパスワードでないことを確認してほしい。まだ侵入の痕跡は見つかっていないけれどもし侵入されたのなら再びデータベースがアクセスされたことを意味するから。ただパスワードを変更するだけでは安全ではない。でも今すぐパスワードを複雑なパスワード(8文字以上で、特殊文字と数字を含む)に変えれば、君のハッシュとソルトをクラックするのにかなりの時間がかかることになり、彼らが解読しようとしても大きな時間の浪費となることが確実になる。さらに加えて、Nexusのパスワードを他のどこか、特にSteam、XBoxPlaystationのように著名な」サイトで使っているなら、念のためすぐにそれらを変更してほしい。

安全なパスワードの慣行を尊重し従ってほしい。8文字以上の複雑なパスワードとすること・定期的にパスワードを変えること(二ヶ月毎が理想)。すべてのアカウントに対して気にかけることが必須だ。

サイトのセキュリティ面についてだけど、今回のようなデータベースの侵入とは関係なく、プレミアム会員の支払いページだけでなく、ネットワークのすべてをSSL暗号化接続とするよう活発に取り組んできた。残念ながら、SSL証明書を購入してサイトに貼り付けるだけの簡単な話じゃない。特にCDN(負荷分散ネットワーク)の関係でファイルを提供し送信する方法の複雑さがあり、物事を複雑にしている。

同様に、僕達のTODOリストにはしばらく前から2要素認証があった。ネットワークのますますの人気を考慮して、この機能の優先順位を上げることにする。うまくいけばすぐに何か成果があるだろう。今すぐNexusアカウントに設定された電子メールアドレスが正しいメールアドレスであることを確認することをお勧めする。この手のシステムを正常に機能させるには、適切かつ有効なメールアドレスを利用することになりそうだからだ。

侵入がしばしば反対を示唆する間、僕達は真剣にセキュリティに取り組み、確実にするために難行に対して出きる限りのことを試す。個人のレベルで、僕がこれらのことを知るのはゾッとする話だ。君達が僕にデータを任せ、安全に保管するよう信頼してくれたのに、最善を尽くしたにもかかわらず僕はときどき失敗する。本当にすまない。このことが多くの眠れぬ夜と(and a toilet pan that utterly resents me.  訳せない・・・)をもたらす。僕達はこのサイトに直接アクセスしたり完全に破壊しようと悪意を持つ人達から守る業務用の軽減・予防システムのために年間約£40,000 ($60,000 USドル)を費やしている。一日あたり何百もの、時には数千ものネットワークへの悪意のある攻撃を防いでいる。多くの場合は常に弱点を探し回っている自動化されたBOTが、時にはアクセス権を奪おうとする悪意のある個人がやってくる。これまで数百ないし数千もの侵入の試みを防いできたけれど、僕たちが最善を尽くしても、完全であることを怠り、たった1つでも通過すれば(敵にとっては)十分だ。

君達の信頼を破ってしまい申し訳ない(現時点では潜在的に)。僕達は結論を得るためにここを離れて作業を続ける。もしやり遂げたら最初に君達に知らせるよ。


追記

大勢の人達からこの記事で言及したFallout 4の3つのファイルについて聞かれたので。侵された3つのファイルは次のとおりだ。

  • Higher Settlement Budget (12/5からのダウンロード)
  • Rename Dogmeat (12/4からのダウンロード)
  • BetterBuild (11/29からのダウンロード)

アーカイブに含まれている疑わしいファイルは「dsound.dll」というものだ。

以上

→ その他のNexus Modsニュース和訳はこちら

和訳の変更履歴

  • 2015/12/8:初回和訳(原文日付 6 December 2015 20:54:35)
  • 2015/12/9:続報がポストされた旨を追記した

Copyright (C) 2015-2020 ThinkingSkeever, All Rights Reserved.
ブログの記事内に記載されているメーカー名、製品名称等は、日本及びその他の国における各企業の商標または登録商標です。
リンクはご自由に。記事の転載はご遠慮ください。記事を引用する場合はトラックバックするか元のURLを明記してください。