Unityフォーラムがハッキングされた件について最新情報をお知らせします
こんにちは。
4月30日、Unityのフォーラムウェブサイトが攻撃され、貧弱なパスワード設定運用のためにハッキングされました。今回の攻撃によるパスワードの流出はなく、他のUnityサービスへの影響はありません。
しかしながら、今回の攻撃によって、フォーラムサイトが私たちの意図しない表示となり(現在は復旧しています)、フォーラムに登録されたユーザーに対してメッセージが送られる結果となりました。
現在、Unityのサービスの認証方法について改善すべく複数の方法を検討しており、皆様のデータを守るべく、今後数週間で以下の機能を実装する予定です:
二要素認証( 2FA )
Unityの認証プラットフォームにおいて、二要素認証によりワンタイムパスワードを使用できるようになります。Unityフォーラムの認証にも使用されます。
デバイス識別
デバイス識別により、新しいPCやモバイルデバイスからログインが試みられた際に警告や通知を受け取ることができます。
パスワードポリシー
組織単位でのパスワードリセット、ローテーションとポリシーの強化が可能になります。
今回の件ではユーザーの皆様にご心配ご迷惑をおかけし、大変申し訳ありませんでした。
再発防止と信頼回復のために努めてまいります。
Andreas Haugsnes
Director of Security
ーーーーー
5月2日更新
最新の状況報告についてお待たせしており申し訳ありません。Unityのセキュリティー部門では、いただいたご質問を全て確認し、回答のために最善の努力を行っております。よくあるご質問と回答を以下にまとめました。
Q: 再発防止策はどのようなものを検討していますか?
A: 最初の投稿で述べましたように、認証とパスワード管理の3つの主要な機能を実装する予定です。これにより、登録ユーザーと組織はUnityを利用いただくにあたり、セキュリティー機能により制御を行うことが可能になる予定です。私たちでは、不正なアクセスに対してより見識を得られるようになり、不正アクセスの検知とそれに対する対応を行いやすくなります。
Q: フォーラムは安全に使用することができますか?
A: 一般的にセキュリティーが完璧であるとかセキュリティー対策が完了する、ということはなく、公の場で運用しているフォーラムは特にリスクの高いものです。今回のケースでは、不正アクセスの入口となり、私たちで一度閉鎖しました。フォーラムサイトはバックアップをリストアして復元し、不正アクセスが行われる以前の状態に戻し、不正アクセスによって変更されたデータなどは全て削除されました。
Q: 私のEメールアドレスは流出しましたか?
A: サーバーへの不正アクセスと不正なEメール送信が行われました。つまりEメールアドレスが流出したことを意味しています。しかしながら、これは、必ずしもEメールアドレスの一部またはすべてが収集されどこか別の場所に保存されたというわけではありません。これについては現在調査中です。
Q: Unityではフォーラムにパスワードを保管していましたか?
A: フォーラムのデータベースにパスワードは保管されていませんでした。
Q: 私のパスワードは流出のリスクにさらされていますか?
A: 今回、私たちの調査結果ではパスワードは盗み取られてはいませんでした。パスワードについては絶対の安全というのは保障できませんので、パスワードの保護のためにはしかるべき対応を行うべきです。例えば、ユニークなパスワードを使いさらにパスワード管理ツールを使って、何かしらの変更が行われた際に通知を受け取るようにすれば、パスワード流出のリスクを大幅に減らすことができます。
サイトごとにユニークなパスワードを使い分け、頻繁に変更することもまたセキュリティーレベルを上げることができます。
Q: Unityは私のパスワードを守るために追加のアクションを取る予定はありますか?
A: はい、あります。「デバイス識別」の最初のフェーズでは、最初のブログ投稿にあるように、実装が開始されました。あなたの登録されたアカウントがパスワード総当たり攻撃をうけたり、過去に攻撃されたアカウントリストだとフラグが立てられた場合(既知の攻撃手法が取られた場合)、次回のログイン時にパスワード変更のメッセージが表示されます。
Q: 自分自身を守るために何をすべきでしょうか?
A: 個別のケースに対してアドバイスすることはできませんが、いくつかの一般的な推奨事項とベストプラクティスは以下の通りです:
Is this article helpful for you?
Thank you for your feedback!