プロサッカー選手や著名ゲーマーなど「FIFA 22」の有名アカウントが複数乗っ取られる、EAは事件を認めて公式謝罪

GIGAZINE



国際サッカー連盟公認のサッカーゲーム「FIFA 22」でプロサッカー選手や著名ゲーマーなどの有名人のアカウントが乗っ取られる事件が相次いでいます。運営元であるElectronic Arts(EA)は、一連の事件はEA社員が「ソーシャルエンジニアリング攻撃」に引っかかったことが原因との調査結果を発表しました。

FIFA 22 | Pitch Notes – Account Takeover Update – EA SPORTS
https://www.ea.com/en-gb/games/fifa/fifa-22/news/pitch-notes-fifa-22-account-takeover-update

EA: 50 high-profile FIFA 22 accounts taken over by phishing actors
https://www.bleepingcomputer.com/news/security/ea-50-high-profile-fifa-22-accounts-taken-over-by-phishing-actors/

EA says “less than 50” high-profile FIFA 22 player accounts were taken over via phishing | GamesRadar+
https://www.gamesradar.com/hackers-grabbed-multiple-high-profile-fifa-22-accounts-by-phishing-ea-support-agents/

FIFA 22 phishers tackle customer support with social engineering | Malwarebytes Labs
https://blog.malwarebytes.com/social-engineering/2022/01/fifa-22-phishers-tackle-customer-support-with-social-engineering/

EAは2022年1月11日に、悪意のある何者かがカスタマーエクスペリエンスチームのヒューマンエラーを突く「ソーシャルエンジニアリング攻撃」で有名プレイヤーのアカウントを複数乗っ取ったと発表しました。

ソーシャルエンジニアリング攻撃とは、人間の心理的な隙や行動のミスを突いて重要な情報を盗み出すという攻撃手法です。例えば肩越しにキー入力をのぞき見るといった手法やゴミとして捨てられた資料や記憶媒体からパスワードを盗み出すといった手法など、「ウイルスやスパイウェアなどを使わない非電子的な手法」がソーシャルエンジニアリング攻撃として分類されます。

ソーシャルエンジニアリングの対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト


EAは今回の一件で用いられた具体的なソーシャルエンジニアリング攻撃の手口を説明しませんでしたが、「2要素認証が突破された」と記していることから、「事前に作成した偽の公式ページでIDとパスワードを盗み出し、そのIDとパスワードを使って被害者になりすました上で、カスタマーサポートから2要素認証の突破に必要な情報を盗み出したのでは」と報じられています。

今回被害を受けたと判明しているのは、オリンピック・マルセイユに所属するプロサッカー選手のヴァランタン・ロニエ氏や「FIFA Ultimate Team」というゲームモードで首位に立っていた有名プレイヤーのFUT Donkey氏などの著名人のアカウントです。

Just got hacked boys, finally people can stop blaming me for the hacks xD

I plan to take legal action, they gave my account to a random person via the live chat, a clear breach of data protection laws

Was a fun ride, see u guys in 23 I guess❤️

— FUT Donkey (@FUTDonkey)


EAの公式発表では、被害を受けたアカウントの総数は「50未満」とのことですが、IT系ニュースサイトのBleeping Computerは有名人以外のFIFA 22アカウントについても乗っ取り事件が相次いでいるという報告を受けているため、「実際には50をはるかに超える可能性がある」と報じています。

EAは再発防止策として、アカウントに関係する社員に対してフィッシング詐欺に重点を置いた再教育を施したり、メールアドレス変更申請に上位権限者の承認を必須としたりするなどの措置を講じるとコメント。発表の末尾を「ご不便をおかけしたこと、徹底的な調査を行っていたために事件発覚時点において詳細をお知らせできなかったことについてお詫び申し上げます」という謝罪で締めくくっています。

なお、EAは今回の一件を「ソーシャルエンジニアリング攻撃によるもの」としていますが、仮にEA社員がハッカーと共謀して個人情報を流出させていた場合はEU一般データ保護規則(GDPR)違反となり、最大で年間売上の4%という巨額の罰金を科せられる可能性があると報じられています。

この記事のタイトルとURLをコピーする

Source