SNSの最大手「mixi」上で提供されている人気ゲーム「サンシャイン牧場」で課金システムに不具合が発生し、課金ミスや、最大4200名の個人情報が漏えいした可能性があることが分かった。
「サンシャイン牧場」は、mixiアプリ(外部開発者がmixi内で独自のアプリケーションを提供できる仕組み)と称されるサービスの1つで、今年8月からスタート。実際にゲームを開発し運営しているのはmixiの運営会社であるミクシィではなく、中国の大手ソーシャルゲーム開発会社のRekoo Media社であり、課金決済もミクシィではなく、Rekoo Media社が委託した国内のクレジットカード決済代行会社が行っている。
■課金サービス開始直後からトラブル発生
「サンシャイン牧場」は開始2か月ほどで230万人の登録ユーザーを獲得し、mixiアプリのなかでも一番の人気ゲームに成長した。当初は無料だったが、10月21日からはゲーム内で使える仮想通貨「Kコイン」をクレジットカードで購入する仕組みが導入された。トラブルは、この課金導入直後に発生した。
Rekoo Media社の発表によると、課金サービスを利用したユーザーに、「誤って課金される」「購入したはずのKコインが追加されない」「メールアドレス・電話番号が第三者に閲覧可能になる」というトラブルが発生した。このトラブルは、課金開始直後の21日午後8時30分から始まり、同社が不具合を発見して課金サービスを停止する23日午前まで続いた。同社はミクシィとともに原因究明にあたり、同日中に原因の特定とその手当を完了、午後10時に課金サービスを再開した。
同社は、誤課金についてはカード決済代行会社と協力して返金の手続きを進めている。また、Kコインの追加漏れについても追加対応を行っている。最大4200名分のメールアドレスと電話番号が閲覧可能な状態になったとされる個人情報漏えいについては、「通常だれもが情報を取得できるような状況はなかった」として、とくにユーザー対応についての言及はなされていない。
■トラブル発生の原因と個人情報漏えい
Rekoo Media社の説明によると、トラブルの原因は同社が当初用いていた課金サービスの脆弱性にあり、カード決済代行会社にはなんら問題はなかったという。ユーザーのメールアドレスと電話番号が第三者より取得可能な状況も、この脆弱性を突いて「第三者のIDを許可なく利用して能動的に不正アクセスした場合」にのみ取得できるものだったと述べている。
同社の説明から考えられるのは、ユーザーに付与する「セッションID」の管理が不十分だったことだ。たとえば「足跡」などにセッションID付きURLが残されていれば、それをクリックするだけで当該ユーザーの登録情報(この場合はメールアドレスと電話番号)を閲覧することができてしまう。クッキーとは違い、ユーザー識別法としてセッションIDをURLに付けている場合には、不正アクセスなどとは無関係に外部に漏れることが想定される。予めシステム側で、別人がそのセッションIDを使った場合を想定して対処しておかなければならない。
■「mixiアプリ」課金システムの問題~ミクシィの対応
ミクシィは今回の事件に際し、事態を重く受け止め、外部課金システムを使うmixiアプリについては別途審査を行うとし、またmixiアプリ用にミクシィ独自の課金システム導入を急ぎたいとしていた。実際、同社は昨日5日、mixiアプリ向け共通課金システム「mixiペイメントAPI(モバイル)」の提供開始を発表した。これにより、アプリ内の有料アイテム・コンテンツなどの課金サービスに同社が直接対応できるようになる。今回はモバイル用でPC向けのものではないが、今後PC向けの課金システムも検討するという。
同社の今年度第2四半期決算報告書によれば、mixiアプリの成長は目覚ましく、今後への期待も高いものがある。ユーザーが安心して使える課金システムの整備を望みたい。
(2009/11/06 ネットセキュリティニュース)
■ミクシィ
http://mixi.co.jp/
■mixi,Inc 2009年度第2四半期(2009年7月~9月)決算説明資料[PDF](ミクシィ)
http://eir.eol.co.jp/EIR/View.aspx?template=announcement&sid=3768&code=2121