Epic Gamesが1億円超の報奨金を用意して「アカウントハックはデマ」と主張、実際にデマだったのか?
Epic Games傘下のグループビデオチャットアプリ「Houseparty」が、「『Housepartyのアカウントがハッキングされている』という噂がTwitter上で組織的に拡散されている」として、その証拠を提供した人に100万ドル(約1億1000万円)を与えると発表しました。しかし、ブロガーのザック・エドワーズ氏は、「Epic Gamesのパスワード復旧フォームには技術的欠陥が存在しており、フィッシング詐欺を目的としたサブドメインサイトによってアカウントがハッキングされている」と指摘。Housepartyの主張を一蹴しています。
Epic Games Ignored Epic Subdomain Takeover on their Authentication Domain, Promoted $1 Million Bounty to Address User Complaints
https://medium.com/@thezedwards/epic-games-ignored-epic-subdomain-takeover-on-their-authentication-domain-promoted-1-million-b4d809039b0e
2020年3月末頃、Twitter上で「Housepartyのアプリをダウンロードしたところ、Spotify、PayPal、銀行口座などがハッキングされた」という噂が広がりました。この噂について、Housepartyは「証拠が存在しない」と否定。「何らかの組織がこの種の噂を拡散することに資金を投じている」と主張して、この噂を主導する組織に関する情報を提供した人に100万ドルの報奨金を与えると発表しました。
We are investigating indications that the recent hacking rumors were spread by a paid commercial smear campaign to harm Houseparty. We are offering a $1,000,000 bounty for the first individual to provide proof of such a campaign to [email protected].
— Houseparty (@houseparty) March 31, 2020
しかし、エドワーズ氏がHousepartyのログインページを調査したところ、ログインフォームのリクエストヘッダはコンテンツセキュリティポリシーが欠けており、サードパーティのウェブサイトに埋め込むことができてしまうと判明。「TheHousePartyApp.com」のサブドメインで、HouseParty.comのJavaScriptコードを実行する権限が存在するとわかりました。
エドワーズ氏によると、TheHousePartyApp.comのサブドメインは、多数のフィッシングサイトによって乗っ取られてしまっているとのこと。以下がTheHousePartyApp.comのサブドメインを使ったフィッシングサイトの一例で、「無料の電子書籍サービス」をうたうサービスです。
全く同じ入力フォームが設置されたフィッシングサイトも存在します。
これらのフィッシングサイトはフォントを「webfonts.ru」から取得しており、ロシア系犯罪組織の関与が疑われています。
これらのフィッシングサイトの大多数は「無料の電子書籍」や「無料の映画ストリーミング」というように、「無料」をエサにユーザーをだまそうとしています。これらのフィッシングサイトによって、アカウントがハッキングされているというのがエドワーズ氏の主張です。
エドワーズ氏が以上のTheHousePartyApp.comのサブドメインを使ったフィッシングサイトの存在についてEpic Gamesに問い合わせたところ、「問題のIPに関連したDNSレコードは削除されておらず、HousePartyが以前所有していたIPを第三者が新たに取得しています。問題のサブドメインのコンテンツは、当社のコンテンツではありません」と回答し、悪意のあるフィッシングサイトが意図的にサブドメインを取得していたわけではなく、あくまで電子書籍サービスを提供する第三者に継承されただけだと主張しました。
調査を行った結論として、Epic Gamesは「非合法なコンテンツが第三者によってホストされている可能性はあります。しかし、ホストされていたという点以外では、それ以上の悪用の可能性はほとんどありません」と言及して、「サブドメインのフィッシングサイトによって、Housepartyのアカウントハッキングが起きている」という説を否定しています。
エドワーズ氏は、一連の攻撃を行ったのは「Pickaflick.comクルー」だと指摘。Pickaflick.comクルーはフィッシングサイト「Pickaflick.com」を発端に、10年以上にわたってさまざまな手口でフィッシングサイトを運営してきたグループです。エドワーズ氏はEpic GamesにPickaflick.comクルーの手口についての詳細を提供しましたが、「ほとんど無視された」と語っています。
エドワーズ氏は「組織化されたハッカーとフィッシング詐欺ネットワークがEpic Gamesのサブドメインを使用してユーザーに攻撃を仕掛けてきたのは事実」とコメントし、Housepartyの「アカウントハッキングは事実無根の噂であり、悪意のある組織が拡散しているだけ」という主張を否定しています。
英語圏のソーシャルブックマークサイトReddit上では、「Housepartyのサブドメイン上でフィッシングサイトが展開されていたことは事実だろうが、それをアカウントハッキングと結びつけるには弱い」といった指摘がされています。
・関連記事
1000万円超の報奨金を新作ゲーム用チート対策ツールの抜け穴を発見した人に与えるとLeague of Legendsの開発元が発表 - GIGAZINE
Bluetoothデバイスの接続に潜む新たな脆弱性を用いたなりすまし攻撃「BIAS」が発見される - GIGAZINE
メルセデス・ベンツの車載演算装置(OLU)のソースコードが流出 - GIGAZINE
「冷却ファンの振動」からPCの機密データを盗み出すことが可能と判明 - GIGAZINE
Googleは4万件のハッキング攻撃の警告を2019年に送信したことを発表 - GIGAZINE
・関連コンテンツ