TokyoBlackHatNews

cyberpress.org 4分で読了

NationStates、セキュリティ侵害により一時的な停止を余儀なくされる

オンライン政治シミュレーションゲーム「NationStates」は、2026年1月27日に発生した重大なセキュリティインシデントを受け、プラットフォームをオフラインにしました。

サイト運営者は、正当なバグ報告の実績があるプレイヤーがアプリケーションコードの脆弱性を悪用して本番サーバーへ不正アクセスし、ユーザーデータおよびアプリケーションのソースコードが露出したことを確認しました。

管理者がシステムを再構築し、侵害の全容を調査する間、プラットフォームは2〜5日間オフラインのままになる見込みです。

侵害は、2025年9月2日に実装された「Dispatch Search」と呼ばれる新規導入機能に起因していました。

侵害の開示によると、脆弱性は2つの重大な欠陥の組み合わせに由来していました。すなわち、不十分な入力サニタイズと、アプリケーションのテンプレート処理ロジックにおける二重パースのバグです。

これらの弱点により、未認証の攻撃者が本番メインサーバー上でリモートコード実行(RCE)を達成できました。

今回の攻撃者は、2021年以降、NationStatesに対して約12件の正当な脆弱性報告に貢献してきた記録のある、長年のプレイヤーでした。

当該人物は「Bug Hunter」バッジを保持しており、これは責任ある脆弱性開示を促すためにサイトが運営する認定プログラムです。

しかし、単にバグの存在を確認するにとどまらず、そのプレイヤーは許可された範囲を超えてサーバーへ直接アクセスし、アプリケーションコードとユーザーデータの両方を個人のシステムにコピーしたうえで、資料は削除したと主張しました。

サイト管理者は、データが実際に破棄されたかどうかを確認できないとしています。

侵害により、アクティブなプレイヤーアカウントに紐づく複数種類のユーザー情報が露出しました。侵害されたデータには、現在および過去にアカウントに関連付けられていたメールアドレス、MD5ハッシュとして保存されていたユーザーパスワード、ログインセッション中に使用されたIPアドレス、およびブラウザのUserAgent文字列が含まれます。

NationStatesは、実名、住所、電話番号、金融情報などの個人を特定できる情報はプラットフォームで収集していないため、露出し得ないと説明しました。

さらに、攻撃者はプライベートテレグラム(プレイヤー間のダイレクトメッセージ)を保存するサーバーへの完全なアクセスは得られなかったものの、そのシステムへの部分的なアクセスを悪用し、データの一部をコピーする試みを成功させました。

サイト管理者は、この試みの過程で一部のテレグラム内容が侵害された可能性が高いと見ています。

パスワード保存にMD5ハッシュを使用していたことは重大な脆弱性であり、侵害の深刻度を増幅させます。

MD5は1992年の古い暗号プロトコルで、もはや安全とは見なされておらず、特に攻撃者がハッシュデータベースのオフラインコピーを保有している場合、辞書攻撃や総当たり攻撃に対して十分な保護を提供しません。

NationStatesは、このハッシュ方式が現代のセキュリティ基準を下回っており、十分な計算資源があればユーザー認証情報が解読され得る状態にあったことを認めました。

インシデントへの対応として、サイト管理者は複数の是正措置を実施しています。本番サーバーは、システムが依然として侵害されているとの前提により、新しいハードウェア上で完全に再構築される予定です。

アプリケーション全体に同様の脆弱性がないか特定するため、包括的なコード監査が進行中です。開発チームは、同種の悪用経路を防ぐためにテンプレートのパースコードを書き直しています。

特に重要な点として、パスワードハッシュはより強力な現代的アルゴリズムへ更新されます。これは以前は承認待ちの案件でしたが、現在は緊急の最優先事項として扱われています。

NationStates運営は、NationStatesアカウントと同じ認証情報を使い回している外部サイトがある場合、すべてのプレイヤーが直ちにパスワードを変更することを推奨しています。

パスワードハッシュの侵害が確認されており、他プラットフォームに対するクレデンシャルスタッフィング攻撃の可能性があるため、この予防措置は不可欠です。

再開後、登録済みメールアドレスを持つプレイヤーは、アカウント復旧手続きによりパスワードをリセットできるようになります。

サイトは、登録メールアドレスのない国家(アカウント)に対する適切なアクセス管理手順を引き続き検討しています。

サイト管理者は同時に、データ保護規制および責任ある開示慣行に従い、必要に応じて関係する政府当局へ通知を行っています。

今回の侵害はNationStatesの運用史上最も深刻なセキュリティインシデントであり、ユーザーコミュニティにサービスを提供するWebアプリケーションにおいて、安全なコーディング慣行、迅速な脆弱性修正、堅牢なパスワード保存機構がいかに重要であるかを浮き彫りにしています。

翻訳元: https://cyberpress.org/nationstates-suffers-temporary-shutdown/

ソース: cyberpress.org
#MD5ハッシュ #NationStates #サービス一時停止 #セキュリティ侵害 #データ漏えい #テンプレート二重パース #パスワードリセット #リモートコード実行(RCE) #入力サニタイズ不備 #脆弱性

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に