はじめに
人気のマルチプレイヤーブラウザゲーム「NationStates」は、大規模なデータ侵害を確認し、調査のためにウェブサイトを一時的に閉鎖しました。同社は、未承認のユーザーが本番サーバーにアクセスし、ユーザーデータをコピーしたことを明らかにしています。
侵害の詳細
今回の侵害は、2026年1月27日午後10時(UTC)頃に発生しました。NationStatesは、あるプレイヤーからアプリケーションコードの重大な脆弱性に関する報告を受けましたが、このプレイヤーは脆弱性のテスト中に許可された範囲を超え、メインの本番サーバーに対するリモートコード実行(RCE)に成功しました。これにより、アプリケーションコードとユーザーデータが自身のシステムにコピーされました。
このプレイヤーは2021年以降、同サイトに多数のバグおよび脆弱性レポートを提出しており、バグハンターバッジも授与されていましたが、サーバーへのアクセス権や特権は一切与えられていませんでした。攻撃者はその後謝罪し、データを削除したと主張していますが、NationStatesはこれを検証できないため、システムとデータは侵害されたものとして扱っています。
侵害の原因となったのは、2025年9月2日に導入された比較的新しい機能「Dispatch Search」の欠陥でした。攻撃者は、ユーザーが提供した入力の不十分なサニタイズと二重パースバグを組み合わせることでRCEを引き起こしました。NationStatesは、この種のバグがサイトの歴史上初めて報告された重大なものであると述べています。
流出した個人情報
今回の侵害により流出した可能性のあるデータは以下の通りです。
- メールアドレス(過去にアカウントに関連付けられていたものも含む)
- パスワード:現代の基準では古く、解読が容易なMD5ハッシュとして保存されていたもの
- ログインに使用されたIPアドレス
- ログインに使用されたブラウザのUserAgent文字列
- テレグラムデータ:ゲーム内のプライベートメッセージシステム。攻撃者はサーバーへの侵入はできなかったものの、アクセスを悪用し、一部のデータをコピーしようとしたとされており、一部の内容が流出した可能性が高いとされています。
NationStatesは、実名、住所、電話番号、クレジットカード情報などは収集していないと明言しています。
NationStatesの対応と今後の展望
NationStatesは、侵害されたサーバーを完全に消去し、新しいハードウェアで再構築することが、セキュリティを確保する唯一の方法であるとしています。サイトの復旧には2〜5日かかる見込みです。
同社は、政府当局に事件を報告するとともに、本番サーバーの完全な再構築、セキュリティ監査と強化、およびパスワードセキュリティのアップグレードに焦点を当てて取り組んでいます。サイトが復旧した後、ユーザーはhttps://www.nationstates.net/page=private_infoで自身の保存されているデータを確認できます。