あるハッカーが人気モバイルゲーム「Clash of Kings」の公式フォーラムに侵入し、160万件近いアカウントを盗み出した。

不正侵入はは米国時間7月14日、匿名のハッカーによって実行され、流出したデータベースのコピーが、流出情報をトラッキングする「LeakedSource.com」に提供された。LeakedSource.comには、流出したアカウントの膨大なデータベースがあり、ユーザーは検索を実行して、自分のユーザー名や電子メールアドレスがそこに含まれるかどうかを確認できる。

米ZDNetが入手したサンプルを確認すると、このたび流出した情報には、ユーザー名や電子メールアドレス、IPアドレス（ユーザーの現在地を推測するのに利用されることが多い）などのほか、Facebookデータやアクセストークン（ユーザーが自分のソーシャルアカウントでサインインしている場合）が含まれている。そのデータベースに保存されたパスワードはソルトが追加され、ハッシュ化されている。

LeakedSourceのシステムには、これまでに計159万7717件の盗難記録が追加されている。

「Clash of Kings」は現在、最も人気の高いモバイルゲームの1つであり、「Android」だけで、1億本以上がインストールされている。

同ゲームの開発元で、中国の北京に拠点を置くElexの広報担当者にコメントを求めたが、回答は得られなかった。

本稿公開時点では、同ゲームの公式フォーラムは「メンテナンス」のためアクセス不能になっている。

ユーザーセキュリティに対する同社のアプローチは怠慢で（例えば、サイトのHTTPS暗号化などの基本的な対策さえ怠っていた）、今回のハックでは、そこが狙われた。

ハッカーは同フォーラムのソフトウェア（「vBulletin」の旧バージョン）の既知の脆弱性を悪用した。このバージョンには、深刻なセキュリティ脆弱性が複数存在し、オンラインで簡単に発見可能なツールで攻撃することができる。

LeakedSourceのメンバーの1人が筆者に話してくれたところによると、このハッカーは「Google dorking」として知られる手法を用いて、脆弱性のある古いフォーラムソフトウェアを実行しているサイトを積極的に探しているという。Google dorkingとは、検索エンジンを使って、脆弱性のありそうなソフトウェアやセキュアでない構成を実行しているサイトを見つける手法のことだ。

「Clash of Kings」フォーラムは、検索でヒットした最も大規模なフォーラムの1つだった。

「10万人以上のユーザーを擁し、パッチ未適用の『vBulletin 4』を使用しているフォーラムは既にすべてハックされている可能性が高い」（同メンバー）