人気オンラインゲーム「原神」の公式サイト上からユーザーの電話番号が漏洩

中国のゲーム会社miHoYoが開発・運営する基本プレイ無料のオンラインゲーム「原神」の公式サイトに、ユーザー名から電話番号が取得できる仕様が発見されました。

'Genshin Impact' Exposed Players' Phone Numbers
https://www.vice.com/en/article/3anq59/genshin-impact-data-breach-phone-numbers

Genshin Impact developer says mobile number leak has been plugged | PC Gamer
https://www.pcgamer.com/genshin-impact-appears-to-be-exposing-some-players-mobile-numbers/

Genshin Impact's website has seemingly leaked some players' phone numbers • Eurogamer.net
https://www.eurogamer.net/articles/2020-11-15-genshin-impact-developers-website-has-leaked-some-players-phone-numbers

問題の不具合が発見されたのは、公式サイトに存在するパスワード回復申請フォームです。このパスワード回復申請フォームはパスワードを忘れてしまったユーザーのために設けられているもので、アカウント名を入力すると、アカウントに紐付けたメールアドレスないしは電話番号にパスワード回復用のコードが送信されます。

原神のパスワード回復申請フォームでは、回復用コードの送付時にコード送信先として設定されるメールアドレスないし電話番号が確認できるように表示されるという仕組みでしたが、不具合が発生されたのは、このメールアドレス・電話番号の確認用表示です。アカウントにメールアドレスを紐付けていたユーザーは、コード送信先の確認のために表示されるメールアドレスが一部伏せ字の状態でしたが、電話番号をアカウントに紐付けていたユーザーは電話番号が伏せ字なしで表示されたとのこと。

この仕様を利用すれば、パスワード回復申請フォームにアカウント名を入力するだけでユーザーの電話番号を入手可能です。実際に他人のアカウント名を入力して電話番号をゲットできたという報告も挙がっており、EUのプライバシー法に違反するという可能性だけでなく、原神配信者の電話番号が漏えいしまうという懸念も報じられています。

一方、この仕様は全ユーザーに共通ではないようで、「実際にパスワード回復申請フォームを使ってみたが、電話番号は一部伏せられていて問題はなかった」「自分の電話番号は漏えいしていた」と矛盾する報告が相次いでいます。ゲーム系ニュースサイトのPC Gamersは食い違う報告について、「居住区域に原因があるのでは」と推測。インドネシアでは電話番号が適切に伏せられていたという報告が挙がっている一方で、インドネシア以外のアジアと北米では電話番号が伏せられていなかったと言及しています。

なお、日本についてはアカウントに電話番号を紐付ける設定が存在しないため、直接的な影響はないと見られています。また、不具合はすでに解消されているようで、2020年11月15日時点では「公式には何も言及されていないものの、修正が行われた可能性がある」と報じられています。