ソーシャルネットワーキングサービス(SNS)向けゲーム「サンシャイン牧場」でクレジットカードを用いて「Kコイン」を購入したユーザー約4200人分の電話番号とメールアドレスが、10月21日から23日までの3日間、第三者からアクセスできる状態にあったことがわかった。
サンシャイン牧場はSNS「mixi」内で提供されている。サードパーティがmixiユーザーにアプリケーションを供給できる「mixiアプリ」という仕組みによるもので、中国のRekoo Mediaが開発した。
サンシャイン牧場ではゲーム内のアイテムを購入するために「Kコイン」という仮想通貨が用いられている。このKコインをクレジットカードで購入する際に、ユーザーは一度mixiから外部のサイトに出ることになる。そこで利用する課金システムに脆弱性があり、特殊な操作を加えるとクレジットカードでKコインを購入したユーザーの電話番号とメールアドレスが閲覧できるようになっていたという。
ミクシィは「トラブルが起きたことについては重く受け止めている。今後の対策として外部の課金システムを使うアプリケーションは別途審査することとする。mixiから外部サイトに遷移する際に1ページ挟んで注意を促しているが、さらにユーザーに対して注意喚起を重ねることも検討している。外部の課金システムを禁止することは考えていない」とコメントしている。
なお同期間中に課金サービスを利用したユーザーの一部に、誤って課金されたり、購入したコインが追加されなかったりする不具合があった。Rekoo Mediaは対象ユーザーへの返金の手続きとKコインの追加を実施しているという。サンシャイン牧場の課金システムの脆弱性はすでに改修済みとのこと。
ミクシィによれば、現在、外部の課金システムを利用するmixiアプリを提供している企業は3社あるという。同社はまもなく自社製の課金システムを公開する予定だ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス