実際のところは、何人かのユーザーの情報が漏洩しただけという規模だったのですが、8月になって、第三者ではなくBlizzard自身から、ネットワーク侵入で情報が盗まれたという発表がありました。
同社は、Webサイト上で「Blizzard社のネットワークに、無許可で非合法なアクセスがあったことをセキュリティチームが発見しました。」と告知をしました。
同社の行動はどう評価されるべきでしょうか?
■ Blizzard社のハッキング被害対応はどうだったか
同社の動きは非常に迅速だったと云えるでしょう。「アクセスを即時に遮断し、司法警察当局と協力して真相究明を急いでいます」と告知は続きます。
次に、どういった情報が盗まれたのか盗まれていないのかについて明示して好感がもてます。
「中国以外の、Battle.netのリスト(メールアドレス)が盗まれました。」続いて、「北米のサーバーにあるBattle.netのユーザーパスワードに暗号化をかけた状態のデータが盗まれました」とあります。
これらのパスワードが盗まれないようにどういう処置をとっていたのでしょうか?
■ Blizzard社がおこなっていたパスワード保護対策
「SRPという、遠隔でパスワードの安全を守るプロトコルを使用しています。このため、実際のパスワードを盗み出すことは非常に困難になり、暗号化されたパスワードの解読は1つ1つ行わなければなりません。」
Blizzard社は、こうしたことをする一方、ユーザーにも迅速に個々にメールで「念のために、北米のサーバーに登録されているプレーヤーはパスワード変更を行うことを強く勧めます。」と連絡しています。
すぐその場でそうするためのリンクもメールに含まれています。他のウェブサイトで使用した類似したパスワードも変更するようにも勧めました。思慮深い指摘といえます。
■ ハッキング後のBlizzard社対応は、お手本のようだった
どうしてハッキングがおこったかはまだ調査中ですが、Blizzard社は、ユーザーに迅速に的確な情報提供とアドバイスを行ったので、正しい行動といえます。
誰も、自分の情報を盗まれたくはないしその事実を聞きたくはなくても、同社はFAQでも積極的に詳細情報を開示しており、積極的で大変望ましいやり方です。消費者とかかわるWebサイトは同社の行動をお手本とすべきでしょう。
あなたがもし、Blizzard社の登録ユーザーであれば、以前避けるべきパスワードリストというブログに書きましたので、ご参照ください。8文字以上で、自分自身が簡単にわかってしまうような情報を避け、大文字小文字を混合し、数字や句読点も混ぜるといいでしょう(例:KerAZg3nes!)。
出典:blog.eset.com
