Blizzardハッキング：Battle.netユーザー向けセキュリティガイド

Diablo III や World of Warcraft などの Blizzard Entertainment の PC ゲームをプレイする場合は、できるだけ早くアカウントのセキュリティを確認する必要があります。

ブリザード社は、Battle.netゲーマーの大量のユーザーアカウントデータがセキュリティ侵害により漏洩したことを確認しました。ブリザード社は、北米サーバー（北米、ラテンアメリカ、オーストラリア、ニュージーランド、東南アジアのプレイヤーを含む）のプレイヤーに対し、ハッカーがユーザーのメールアドレス、セキュリティ質問への回答、「暗号的にスクランブル化された」パスワードのデータベース、そしてダイヤルインおよびスマートフォンアプリベースの二段階認証に関連する機密データを盗んだ可能性があると警告しています。

[関連記事: AppleとAmazonのハッキング：リスクを最小限に抑える方法]

ブリザード社は、盗まれた情報だけではアカウントを解読するには不十分だと述べている。例えば、暗号化されたパスワードは、鍵ベースの認証システムであるセキュア・リモート・パスワード（SRP）プロトコルによって保護されていた。同社によると、パスワードを解読しようとする者は、パスコードを一つ一つ解読する必要があるという。

それでもなお、Battle.netゲーマーにはパスワードの変更に加え、その他のセキュリティ対策を講じることが推奨されています。Battle.netゲーマーの方は、アカウントのセキュリティ強化について知っておくべきこと、そして今後Blizzardからどのような対応が期待されるかについて、以下にまとめましたので、ぜひご覧ください。

パスワードを変更する

Blizzard は、すべての Battle.net ユーザーにアカウントのパスワードを変更することを推奨しています。

こちらをクリックすることで変更できます。または、Battle.netにログインし、ページ上部の「アカウント」リンクをクリックしてください。次のページで「設定」をクリックし、ドロップダウンメニューから「パスワードの変更」を選択してください。

セキュリティ質問の変更を期待する

ブリザードは、アカウント復旧と本人確認のためのセキュリティ質問を変更する仕組みをまだ導入していません。ハッカーに回答が知られてしまうことを考えると、これは非常に残念なことです。しかし、同社はアカウント管理サイトから質問を変更できる機能の開発に取り組んでいると述べています。この新しい仕組みが有効になると、セキュリティ質問の変更を促すプロンプトが自動的に表示されます。

ブリザードは、ユーザーのセキュリティ質問をすぐに無効にしなかった理由について、「秘密の質問と回答を残しておくことで、侵害されたデータにアクセスできない不正ユーザーに対するセキュリティレイヤーを維持できる」と考えていると述べています。しかし、問題は、一部の悪意のある人物がユーザーのセキュリティ質問の回答にアクセスできることです。私はあまり感心しません。

2要素認証アプリのアップデートが予定されています

盗まれた情報がどのようなものかは不明ですが、ブリザード社が提供する無料の二要素認証スマートフォンアプリ「Battle.net Mobile Authenticator」に関連する機密データも漏洩しました。ブリザード社は、このデータは「北米のモバイル認証システムの信頼性を損なう可能性がある」と述べています。また、新規ユーザー向けに提供が終了した「ダイヤルイン認証サービス」のユーザーのハッシュ化された電話番号も漏洩したとブリザード社は述べています。

モバイル認証システムをご利用の方は、モバイルアプリのアップデートにご注意ください。ブリザードがダイヤルイン認証ユーザーのデータ漏洩に対処する計画があるかどうかは不明です。

2要素認証を有効にする（最終的に）

確かに、Blizzardの2段階認証システムから潜在的に有害な情報が盗まれましたが、長期的には2段階ログインシステムを使用する方が安全です。2段階認証を使用することで、ハッカーが突破するハードルが1つ増え、多くの場合、アカウントへの侵入がはるかに困難になります。しかし、ユーザーはBlizzardがソフトウェアアップデートをリリースするまで、この機能の有効化を待つ方が賢明かもしれません。

Blizzardは、Battle.netユーザーに、ログインコード付きの6.5ドルのキーチェーンアタッチメント、またはモバイル認証アプリによる2要素認証を提供しています。物理認証アプリはBlizzardから直接購入できます。Battle.netモバイル認証アプリは、iOS、Android、Windows Phone 7、BlackBerryでご利用いただけます。

SMSプロテクトを検討する

BlizzardはSMSプロテクトと呼ばれる別のセキュリティオプションを提供しています。これは、アカウントに不審なアクティビティが検出された場合、またはパスワードの変更などの重要な変更が行われた場合、携帯電話にテキストメッセージを送信します。SMSプロテクトを使用して、Battle.netアカウントのロック解除、認証コードの削除、アカウント名の復元、パスワードのリセットを行うこともできます。

電子メールのセキュリティを確認する

Wiredの記者マット・ホナン氏のデジタルライフを破壊した最近のハッキング事件は、侵害されたアカウントが接続されたサービス全体に雪だるま式に拡大していく可能性があることを改めて認識させてくれます。Battle.netアカウントのメールアドレスのセキュリティを改めて確認する必要があります。

まず、メールアドレスのパスワードがBattle.netのパスワードと同じではないことを確認してください。同じ場合は、すぐに変更してください。パスワード作成のヒントについては、「パスワード管理：初心者でも使えるヒント」と「Googleが安全なパスワードに関するアドバイスを提供」をご覧ください。KeePass、LastPass、1Passwordなどのパスワードマネージャーも、新しいメールのパスワードを忘れた場合に役立ちます。

次に、メールアカウントの復旧オプション（セキュリティ質問や予備のメールアドレスなど）が最新の状態になっていることを確認してください。ハッカーがGmailアカウントのバックアップメールアドレスにアクセスできたことで、ホナン氏はデジタルライフをコントロールできなくなりました。ハッカーは既にBattle.netアカウントに紐付けられたメールアドレスを知っています。そのため、アカウント復旧オプションを利用してメールアカウントに侵入しようとする試みには注意が必要です。

最後に、電子メールプロバイダーが 2 要素認証を提供している場合は、保護を強化するために 2 要素認証も有効にする必要があります。