- Chess.comが2025年6月のサイバー攻撃を公表、4,541人のユーザーデータが流出
- ハッカーは脆弱なサードパーティ製ファイル転送ツールを悪用、本体システムへの侵入はなし
- ログイン情報や支払いデータの流出はなし、被害者には無料の個人情報盗難およびクレジット監視サービスを提供
Chess.comは、最大かつ最も人気のあるオンラインチェスプラットフォームですが、ユーザーのごく一部の機密情報が流出するサイバー攻撃を受けたことを認めました。
メイン州司法長官事務所に提出されたデータ侵害通知によると、この事件は6月5日に発生し、約2週間後の6月19日に発覚しました。
Chess.comの登録ユーザー2億人以上のうち、合計4,541人が被害に遭いました。
インフラは無事
報告書で名前が明かされていないハッカーは、Chess.comが利用していたサードパーティ管理のファイル転送ツールを通じてデータを盗み出しました。
同社は具体的なツール名を明かしませんでしたが、Recorded Future Newsによれば、Wing FTPとCrushFTPという2つの有名なファイル転送ツールが2025年7月に「重大な脆弱性」を報告しており、顧客にはパッチ適用が推奨されていました。
同社はまた、自社のコードやインフラは無事であり、これまでのところ盗まれたファイルが悪用された証拠はないと強調しています。
盗まれた情報の種類については、氏名以外は不明ですが、Chess.comは銀行情報やログイン情報が侵害されていないことだけは確認しています。
現時点で、この攻撃の犯行声明は出ていません。
Chess.comは、サイバー攻撃後に多くの企業が行うように、サードパーティのサイバーセキュリティチームを雇い、調査を開始し、関係当局に通知し、影響を受けた個人に警告しました。また、被害者には無料の個人情報盗難およびクレジット監視サービスも提供しています。
このプラットフォームは2007年に設立されて以来、チェス愛好家にとってナンバーワンの場所へと成長しました。ゲームプレイだけでなく、Chess.comには大きなソーシャル要素もあり、プレイヤーはクラブに参加したり、チャットしたり、ストリーマーやグランドマスターをフォローすることもできます。ウェブ、iOS、Android向けのアプリがあり、カジュアルな対局、トレーニングツール、プロの放送など多彩なサービスを提供しています。
