【注意喚起】Steamのアカウント ユーザーデータ8900万件(全体の2/3)がダークウェブに流出 今すぐパスワード変更 多要素認証の設定を 2025年5月13日
【注意喚起】Steamのアカウント ユーザーデータ8900万件(全体の2/3)がダークウェブに流出 今すぐパスワード変更 多要素認証の設定を 2025年5月13日
更新日:
potatoさん
【注意喚起】Steamのアカウント ユーザーデータ8900万件(全体の2/3)がダークウェブに流出 今すぐパスワード変更 多要素認証の設定を 2025年5月13日
8,900 万件の Steam アカウント詳細がダークウェブで販売されており、ユーザー アカウントが危険にさらされている。
漏洩の原因は、Steam や Twilio への直接的な侵害ではなく、サプライ チェーンの侵害によるものであることが判明しました。
2FA を有効にしているユーザーは安全ですが、そうでないユーザーはセキュリティ強化のためパスワードを変更することを推奨します。
Steamを頻繁にご利用の方は、今すぐパスワードを変更する絶好の機会です。8,900万件のアカウント情報がダークウェブで売りに出されているというニュースがありましたが、もしそれが本物だと判明すれば、膨大な数のユーザーアカウントが危険にさらされることになります。アカウントによっては数百(場合によっては数千)ものゲームが保存されていることを考えると、PCゲームのコレクション全てを失うことになるかもしれません。
昨日、大規模な
@Steam
データ侵害が発生し、8,900 万件を超えるユーザー記録(Steam アカウント全体の約 3 分の 2)が侵害されました。
これらのデータセットは、Mipped に似たサイトで 5,000 ドル以上で販売されています。
Mipped は姉妹サイトと並んでフォーラムサイトであり、私たち
@SteamSentinels
は、開発者の脅迫、レビュー操作、グリーンライトのブースティング、その他の怪しい活動の事例について長年 Steam に警告してきましたが、今のところ Steam は同サイトに対して措置を講じていません。
更新:更新によると、Steam のデータ侵害は Steam 自体への直接的な侵害ではなく、サプライ チェーンの侵害であり、Steam が依存している外部サービスが標的になったことが示唆されています。
このアップデートから私たちが理解していることは次のとおりです。
新たな証拠により、実際のデータが関係していることが確認されました。漏洩したデータのサンプルには、2要素認証 (2FA) で使用されるリアルタイムの SMS ログが含まれています。
Twilio はベンダー名です。Twilio は、SMS による 2FA コードの送信などの通信サービスを提供する企業です。Steam はこのサービスに Twilio を使用しています(または使用していました)。
漏洩した情報には以下が含まれます:
メッセージの内容(例:2FAコード)
配信ステータス(例:送信済み、配信済み、失敗)
メタデータ(タイムスタンプ、受信者番号など)
ルーティングコスト(各メッセージを送信するのにかかるコスト)
このことは、Mipped の販売者とされる人物が Twilio のバックエンドにアクセスできることを意味します。データの性質から、攻撃者が Twilio のシステムにアクセスしたことが示唆されます。おそらく、侵害された Twilio ユーザー アカウントまたは API キー、あるいは Twilio のバックエンド ダッシュボードへの直接アクセスを通じてアクセスしたと考えられます。
Steam自体への直接的なハッキングではありません。Steamの内部サーバーやデータベースは侵害されていないようです。しかし、2FAコードの送信にTwilioを利用している関係上、Steamユーザーにも影響が出ています。
なぜ危険なのか:
フィッシング: ハッカーは、この情報を利用して、偽の、しかし説得力のあるメッセージをユーザーに送る可能性があります。
セッション ハイジャック: 攻撃者が 2FA コードを傍受または再生できる場合、ログイン保護を回避できる可能性があります。