水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年11月 > 2009年11月3日(火曜日)

2009年11月3日(火曜日)

本人と偽ってプログラムを操作 (サンシャイン牧場の件・毎日新聞版)

公開: 2021年8月5日22時35分頃

サンシャイン牧場の件、毎日新聞にも出たようですね : 「ミクシィ:ゲーム利用者の情報閲覧一時可能に (mainichi.jp)」。読売新聞の記事とは微妙に異なるのが興味深いです。

同社が調査した結果、クレジットカードでコインを購入した利用者4200人分の電話とアドレスが1件ずつ閲覧できる状態になっていた。

これは実は重要な情報で、あくまで「1件ずつ閲覧」できる状態だったということですね。中には「リストが見えるようになっていた」と誤解している方もいらっしゃるようですが、そうではないということです。

1件ずつしか取得できないと言っても、繰り返せば大量の情報を取得することが可能ではあります。が、そんな派手なことをしたらRekooのサーバのログにあからさまな痕跡が残るはずで、調査ですぐに判明します。悪用された可能性は低いと発表されていますから、おそらく、このような大量取得の形跡は認められなかったのでしょう。

※まさかログがないなんて事はないですよね……。

ミクシィによると、カード決済時のシステムに不具合があったのが原因。他人の電話やアドレスを閲覧するには本人と偽ってプログラムを操作する必要があり、一般の利用者が情報を目にした可能性は低いという。

これはたいへん興味深いですね。本人と偽ってプログラムを操作ですか。良く分かりませんが、なんだかとっても難しいことをする必要があったという印象を受けますね。

※「本人と偽ってプログラムを操作」という言葉が面白くて、笑いのツボにはまってしまいました……。取扱終了はまだかなぁ。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

女番社長レナWiiはあのジョルダンのゲーム

公開: 2021年8月5日19時45分頃

女番(スケバン)社長レナWii (www.amazon.co.jp)」というゲームが話題になっています。話題といっても、「発売初週売上げが100本」という悲しい話題ではありますが……。

※参考: 「『女番社長レナWii』、初週100本で大コケ、賞金総額40万円のコンテストも開催中で数少ない売り上げも水の泡 (blog.livedoor.jp)

このゲーム、メーカーは「ジョルダン」となっていますね。ジョルダンといえば乗り換え案内で有名な会社がありますが、同名のゲームメーカーなのでしょうね……と思いつつ、何気なく「乗換案内 ジョルダン (www.jorudan.co.jp)」のサイトを見たら、トップページに「女番社長レナWii (rena-wii.jp)」へのリンクがあるではありませんか!

あの乗り換え案内のジョルダンがゲームを作っていたのですね。知りませんでした……。

関連する話題: ゲーム

サンシャイン牧場のアナウンス・追記

公開: 2021年8月5日18時55分頃

サンシャイン牧場・課金システムの問題についてのアナウンス」ですが、Rekooからの報告の中の「原因の究明及び対策の実施」の部分に、新たに文章が追加されていることに気付きました。いつ追加されたのかは良く分かりませんが……。

新しい文章は以下の通り。

  • 10月23日(金) 午後 原因の究明及び対策の実施
    弊社及びミクシィ社と、不具合について詳細な調査を行い、原因となるあらゆる可能性についてチェックを行い、対策を施し、不具合を解消いたしました。なお今回のトラブルは弊社側のシステムに問題があったことで生じており、決済代行会社のゼロ社の決済システム自体に問題はなかったと認識しています。

以上、[mixi] 「サンシャイン牧場」Rekoo | 課金サービス開始時の不具合について より

「なお」以降が追加された部分です。決済代行会社側の問題ではなく、Rekoo側の問題であることが明記されています。

※「決済代行会社に問題がなければ漏洩するはずがない」という主旨の事を書かれている方もいらっしゃるようですが、それは、決済代行会社が用意した仕組みを正しく使っていればの話でして。根本的に使い方が間違っているような場合には、今回のようなことも起こり得るでしょう。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

サンシャイン牧場の件が全国ニュースに

更新: 2021年8月5日15時30分頃

サンシャイン牧場の件ですが、読売新聞に出たようですね: ミクシィ、4200人の情報が3日間「露出」 (www.yomiuri.co.jp)

リクー社が調べたところ、判明しただけで80人分の購入した計38万円分のアイテムの記録が消滅していたことが判明。さらに、クレジットカードでゲーム内通貨を購入しようとした利用者4200人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたことが分かった。

最大約4200人というのは、修正前にクレジットカードを利用した人の総数でしょうね。

80人で38万円購入というと平均5000円近いわけで、ずいぶん単価が高いように見えますが、その80人はおそらく、「前回のクレジットカードを使う」を選択して2回目の課金を行った人たちでしょう。もともと購入意欲の高い層だった上に、「Kコインが増えないので課金操作を繰り返した」という方もいらっしゃるようなので、単価が高く出ているのだろうと思います。

ミクシィは「現時点で個人情報を悪用されたという報告はなく、一般のユーザーが偶然に見た可能性はほぼないと考えられる」としているが、「今後、課金システムを導入する際には弊社として審査するなど、運用を見直したい」としている。

「一般のユーザーが偶然に見た可能性はほぼない」というのは、単に「現時点で悪用の報告がない」からそう判断しているのか、それともログを確認した上で言っているのか、どちらなのでしょうね。前者っぽい気もしますが。

いずれにしても、停止の判断や修正作業が素早かったために被害の拡大を防ぐことができた、と考えて良いのでしょうか。カカクコム事件では停止の判断の遅れが問題になりましたが、今回はそこはきちんと対応されたのではないかと思います。

ただ、対応後の告知は分かりにくかったようで。30日の夜に出た公式コミュニティのアナウンスには、10月31日までに49のコメントがついて止まっていましたが、今日になってコメントが100を超えています。mixiの「重要なお知らせ」にも出ていたのに、「コミュニティ内部でしか報告されていないのはおかしい」という旨のコメントが複数ついていますし、告知に気付いていない方も多かったようですね。

※追記: テレビのニュースでもやっていたようで : FNNニュース: 「mixi」上のゲームで利用者約4,200人分の個人情報が3日間にわたり閲覧可能な状態に (www.fnn-news.com)

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など