怪しげなAI企業がSteamへの不正アクセスを偽装しようとしましたが、すぐに発覚しました。今回は偽物でしたが、次のものは偽物ではないかもしれません。数千ドルの価値があるかもしれないアカウントを失わないように、身を守る方法をご紹介します。
LinkedInで最近、2要素認証(2FA)に使用されるワンタイムパスコード(OTP)を含む8,900万件のSteamアカウント記録を含むデータベースが売りに出されているという主張が投稿されました。提示価格は5,000ドルで、この規模の漏洩としては低い金額です。
しかし、この数字が注目を集め、オンラインで再投稿されたにもかかわらず、このリークを裏付ける証拠は完全に捏造されたものでした。幸いなことに、AppleユーザーはiPhone、iPad、Macで2段階認証コードをサポートする内蔵パスワードアプリを利用できます。
Twilioは侵害を否定
この主張は、小規模なサイバーセキュリティ企業Underdark AIがLinkedInに投稿したことで初めて広まりました。同社の記事によると、「Machine1337」を名乗るハッカーがダークウェブフォーラムでデータを公開しており、数百万人のSteamユーザーの2FAコード、電話番号、タイムスタンプが漏洩したとされています。
もしそれが事実なら、それは憂慮すべき事態です。しかし、SMSログの出所と推測されているクラウド通信プロバイダーのTwilioは、関与を全面的に否定しており、SteamはTwilioを使用していません。
データ自体に警戒すべき点があります。サンプルには、一般的なフォーマットの古いSMSメッセージが含まれており、正当な侵害に通常付随するログイントークン、アカウントID、メタデータが欠落しています。
いくつかのエントリが重複しており、タイムスタンプにも一貫したパターンが見られないことから、これらの記録は以前の漏洩情報からつなぎ合わされたものである可能性が示唆されています。セキュリティ研究者らはまた、このデータセットがSteamの2段階認証コードの配信方法と一致していないことも指摘しています。
また、公式チャネルや信頼できる脅威情報源からの侵害の確認も行われていない。
Steamは侵害を否定
Steamは、噂の侵入について問い合わせた一部の人々に対し、メールで声明を発表しました。GamingOnLinuxに投稿されたメールの記録によると、Steamはシステムへの侵入を否定しています。
漏洩の原因についてはまだ調査中ですが、SMS メッセージは送信中に暗号化されず、携帯電話に届くまでに複数のプロバイダーを経由して送信されるという事実が状況を複雑化させています。
漏洩した情報には、15分間のみ有効なワンタイムコードと、その送信先の電話番号が記載された古いテキストメッセージが含まれていました。漏洩したデータには、電話番号とSteamアカウント、パスワード情報、支払い情報、その他の個人情報との関連は含まれていませんでした。古いテキストメッセージはSteamアカウントのセキュリティを侵害するために使用することはできません。SMSを使用してSteamのメールアドレスまたはパスワードを変更するためにコードが使用されるたびに、メールまたはSteamのセキュアメッセージで確認が届きます。
Steam の観点から言えば、今回の事態によって顧客がパスワードや電話番号を変更する必要はありません。
オンラインアカウントを保護する方法
この事件は、2要素認証(2FA)の重要性を改めて認識させてくれます。2要素認証とは、アカウントへのログインに、通常はアプリやSMSから送信される時間制限付きのコードなど、追加の手順を追加するものです。
これらのコードは、たとえパスワードが盗まれたとしても、攻撃者を阻止するのに役立ちます。最適な方法は、アプリベースの2FAを使用することです。
Apple Passwordsは2要素認証コードをサポートしています
Appleの内蔵パスワード、Steam Guard、Google Authenticator、Authyなどのアプリは、デバイス上で直接ログインコードを生成します。これにより、SMSによる送信に伴うリスクを回避できます。
SMS ベースの 2FA は何もしないよりはましですが、フィッシング攻撃や SIM スワッピングに対して脆弱になります。
このいわゆるSteamリークについて、慌てる必要はありません。アプリベースの2段階認証でアカウントを保護するためのきっかけとして捉えてください。
