クリスマスにSteamで発生した問題についてValveが最新情報を報告しました。発生時のサービス中断や影響を受けたユーザーへの謝罪を行うとともに、何が起きたのか、またどうしてそれが起きたのかを説明しています。
- 発生した問題
- 12月25日、構成エラーによって一部のユーザーが、他のユーザーのために生成されたSteamストアページを見ることができた。
- 太平洋標準時11時50分~13時20分の間に34,000人のユーザーからストアページへのリクエストがあり、その際にユーザーの機密個人情報を他のユーザーが見ることができたかもしれない。
- 情報の内容はリクエストによって様々だが、ユーザーの請求先住所、Steam ガードに登録した電話番号の下4桁、購入履歴、クレジットカード番号の下2桁、電子メールアドレスが含まれていた。
- クレジットカード番号全桁、ユーザーパスワード、その他ログインやトランザクションを完了するために必要な情報は含まれていなかった。
- 上記の時間内に個人情報を含むSteamストアページ(アカウントページあるいはチェックアウトページ)にアクセスしていなければ、それらの情報は他のユーザーには見えなかった。
- 現在Valveはウェブ・キャッシング・パートナーと協力し、影響を受けたユーザーを特定し連絡をとっている。
- キャッシュされたページでは情報の閲覧以上の権限のないアクションは許可されないため、ユーザーは追加のアクションを要求されない。
- クリスマスの早朝(太平洋標準時)、SteamストアはDoS攻撃の対象だった。
- 定期的に発生するSteamストアおよびSteamへの攻撃はValveとパートナー会社が協力して処理し、通常はSteamユーザーに影響を及ぼさない。
- クリスマスの攻撃時、Steamストアへのトラフィック量は通常の2000%に増加した。
- この特定の攻撃の影響を最小限に抑えつつ、正当なユーザートラフィックを継続するため、Steamのウェブ・キャッシング・パートナーに管理されたキャッシュルールを配備した。
- 第2波の攻撃が起きた際に配備された第2のキャッシング構成は、認証ユーザのウェブトラフィックを誤ってキャッシュしてしまった。この構成エラーにより、一部のユーザーは他のユーザーのために生成されたページを見ることができた。
- 問題を認識した直後、Steamストアはシャットダウンされ、新たなキャッシング構成が配備された。
- すべてのキャッシュの構成を見直すまでSteamストアのダウンが続いたが、最新の構成がすべてのサーバーに配備され、エッジサーバー上のキャッシュがすべて削除されたことを確認した。
問題の原因
Valveはウェブ・キャッシング・パートナーと協力、影響を受けたユーザーの特定やキャッシングルールのプロセス改善を続けていくと伝えています。
