マルチプレイヤーのブラウザベースゲーム「NationStates」は、今週初めにセキュリティインシデントの調査のためウェブサイトをオフラインにした後、データ侵害が発生したことを確認しました。
作家マックス・バリーが開発し、同氏の小説『Jennifer Government』をゆるやかに下敷きにした政府シミュレーションゲームは、無許可のユーザーが本番サーバーにアクセスし、ユーザーデータをコピーしたと明らかにしました。
脆弱性報告者が一線を越えた
2026年1月27日午後10時ごろ(UTC)、NationStatesは、アプリケーションコードに重大な脆弱性を発見したプレイヤーからの報告を受け取りました。
しかしバグの検証中、そのプレイヤーは許可された範囲を超えて行動し、メインの本番サーバーでリモートコード実行(RCE)を獲得し、アプリケーションコードとユーザーデータを自身のシステムにコピーできる状態になりました。
「このプレイヤーは2021年以降、NationStatesに対して約12件のバグおよび脆弱性報告に貢献してきた経歴があり、特に過去6か月間は顕著でした。彼はスタッフではなく、サーバーへの侵入や特権アクセスについて許可を与えられたことは一度もありません」と、バリーは1月30日に更新されたデータ侵害の告知に記しました。
「彼の国家には、私たちが修正すべきバグやサイトの脆弱性を報告したプレイヤーを報奨する取り組みである『Bug Hunter』バッジが、以前に付与されています。」
当該人物は後に謝罪し、データは削除したと主張しましたが、サイト側にはそれを検証する手段がないため、システムとデータの双方が侵害されたものとして扱っています。
侵害は、2025年9月2日に導入された比較的新しい機能「Dispatch Search」の欠陥に起因していました。NationStatesによると、攻撃者はユーザー入力のサニタイズ不足と二重パースのバグを連鎖させ、RCEに至ったとのことです。
「これは重大なバグで、サイトの歴史上この種の報告は初めてです。報告には感謝しています。残念ながら、報告者はバグの存在を確認しただけでなく、その後サーバーへの侵入まで行ってしまいました。」
「サーバーへの無許可侵入があった以上、安全だと確信する唯一の方法は、完全に初期化して再構築することです。また、サーバー上のどの資料にアクセスされたのか、あるいはコピーされたのかを特定する必要があります。これには少なくとも数日かかる見込みです」と、バリーはデータ露出を知らされた直後に以前書いていました。
BleepingComputerが本日行ったテストでは、nationstates.net サイトは断続的に稼働し、侵害告知を表示していましたが、執筆時点ではダウンしていました。
漏えいデータにはメールアドレス、MD5のパスワードハッシュが含まれる
- メールアドレス(過去にアカウントに紐づいていたメールアドレスを含む)
- パスワード:MD5ハッシュとして保存。MD5は古い方式で、現代の基準では時代遅れであり、このように攻撃者がデータのオフラインコピーを入手し得る状況では、復号を防ぐには不十分です
- ログインに使用されたIPアドレス
- ログインに使用されたブラウザのUserAgent文字列
NationStatesは、実名、住所、電話番号、クレジットカード情報は収集していないとしています。
サイトが復旧した後、ユーザーは自身の国家について保存されている正確なデータを、https://www.nationstates.net/page=private_infoで確認できます。
「プレイヤーはテレグラムデータを保持するサーバーへの侵入はしていませんが、それへのアクセスを悪用し、そのデータの一部をコピーしようと試みました。いくつかの内容が露出した可能性が高いと考えています」と、データ侵害告知はさらに警告しています。
ゲームの文脈におけるtelegramとは、メールやフォーラムのプライベートメッセージ(PM)に似た、内部のプライベートメッセージングシステムです。
ウェブサイトは2〜5日以内にオンラインへ復帰する見込みです。
それまでの間、NationStatesは本番サーバーを新しいハードウェア上で完全に再構築し、セキュリティ監査と強化を実施し、パスワードの安全性をアップグレードすることに注力しつつ、このインシデントを政府当局に報告しました。
