運営会社関連/個人情報流出

# ゴンゾロッソオンライン（現・ウィローエンターテイメント）の個人情報流出事件

運営移管の作業に当たっていた社員が、アカウント情報が入ったエクセルファイルを公開FTP鯖に置いていて、それをユーザーが発見して祭りになったという話。

【概要】

• 2006/02/20、ハドソンからゴンゾロッソオンライン（現・ウィローエンターテイメント）への運営移管中に発生した個人情報流出事件のまとめ。
• MoEのゲームID移行に失敗した1373人分のゲームID、パスワード、ニックネーム、IP、携帯アドレス(任意記入欄)、生年月日、秘密の質問と答え、登録メールアドレスが詰まったファイルが公開FTP鯖（手動パッチがおいてある鯖）にアップロードされ、多くの人間が閲覧できる状態になっていた。

【関連リンク】

• 2006-02-20 「Master of Epic」で個人情報流出 -- 4Gamer.net
• 2006-02-20 ゴンゾ Investor Relations｜プレスリリース
• 2006-02-21 ゴンゾロッソオンライン 約1400人の個人情報流出 | スラッシュドット・ジャパン
• 2006-02-21 ゴンゾロッソオンライン、「Master of Epic」の個人情報1,373名分を流出
• 2006-02-21 ゴンゾロッソオンライン、MMORPG「Master of Epic」ゲームIDとパスワードを含む1,373名分の個人情報が流出
• 2006-02-28 「Master of Epic」，個人情報流出者への補償内容を発表 -- 4Gamer.net
• 2006-04-10 【公式】 Master of Epic Official WebSite - お客様登録情報の一部流出について-

# 2006/02/06～02/12　情報流出までの流れ

• 流出前に、鯖ダウンなど多くの問題が発生していた。

【参考ログ】

• 【2ch】ネットゲーム [ネトゲ実況3] - “【Moe】今回の件を正式に抗議するスレ【GRO】” より

130 ：ちょっと修正。 ：2006/02/12(日) 04:24:28.89 ID:dH8KIY6f

・2/6にOPEN予定だったものが2/9に延期

・(その間引越しをしていた？)

・2/9時間不明 MoE公式HPがttp://moepic.com/からttp://gro.moepic.com/へ移行

旧公式に新アドレスへの移行したメッセージ無し

・2/9 14:00 ゴンゾIDに登録開始するも断続的に503やサーバーダウンを繰り返す。

移行できないオンライン開始。

また認証メールのヘッダがフィッシング仕様で中継先で排除される問題も発生。

・2/9 18:00 GAME鯖open予定だったが開かず。

・2/9 19:30位 鯖停止

・2/9 22:10頃 『Master of Epic』サーバー障害復旧の進行状況について　が公式TOPになり他のPageへのリンク無し

またこのページに張られた隠しソース有り。この時点ではサポート関連一切無し

　<!-- 電話、メール、その他の手段で情報をお寄せいただいた各位と、2ちゃんねるネトゲ実況3板の皆さんの叱咤に大いなる感謝を申し上げます。 by webmaster@GRO -->

・2/9 23:00 最初の定期更新。この際もソースに

　<!-- 今回の障害に関しては、一切の責任はGRO側にあります。そのため、本ページのコピーライト表記はGRO単独のものとさせていただきました。 by webmaster@GRO -->

　というコメントが埋め込まれる。

・2/9 23:00 ～ 2/10 16:47まで曖昧な進捗内容のコピペ。

16:47分の時点で報告できることがないとして定期更新一時中断。

・2/11 2:00 アカウントに使用された文字列が認証系の原因であると発表。

　同時に認証メールのヘッダが原因でメールが届かない点もアナウンスされる。

これが「正式」にアップされる直前に何故か14時

・2/11 15:00～ から定期更新開始。11日中に再開日を報告すると発表。

・2/12 0:30 結局再開日の発表はなく、同日朝までには発表すると再々延期のアナウンス。日本語がおかしい。

　この更新の直前には、以下の文面そのままがページ内に埋め込まれていた。

　<!--<li><b>会員登録サーバー、ゲームサーバーとも、復旧は2月12日朝以降の予定です。</b></li>-->

・2/12 1:00～ 定期更新再開。 ゴンゾロッソ的には7割ほど完了しているとのこと。

　ここにきて更に2時の更新は20分遅れだった。←いまここ

# 2006/02/11　ゴンゾ社員のカキコ？

• 度重なるサーバー障害発生で責任を感じたのか、2chの本スレで、作業に当たっていた社員らしき人物からの書き込みがあった。
• 文中の BBG というのは BB Games の略で、ビー・ビー・サーブが提供するオンラインゲームのポータルサイトのこと。
  ハドソン運営時代、MoEのアカウントなどの個人情報は、こちらで取り扱っていた。

【参考ログ】

• 【2ch】ネットゲーム[ネトゲ実況3] - ■-Master of Epic- Day1516 より

123 ：名無しオンライン ：2006/02/11(土) 13:46:04.19 ID:dmXYA8e8

独り言

　

うちが請け負う時の大前提は、管理・運営・維持と言うランニングコスト(人・プログラム)をとにかく減らし、それから企画チームを立ち上げアイテム課金プランなどを企画していくと言う手順です。

　

そこでご存じのように、投稿ギルド等の Web パブリッシングチームの人員削減、および GM 常駐体制が圧縮されました。人月の工数で見るとこれは劇的でした。

　

さて、元々認証機構は BBG 認証後接続すると言う仕組みになっていましたから、キャラデータサーバと認証管理サーバは完全に切り離されていました。

しかし、運営を全面請負するにあたり、この認証も管理することになりました。

　

そこで、今回認証 DB とキャラデータ DB を同じサーバに入れる事になりました。

単純明快な理由で、サーバが減らせるからです。

142 ：名無しオンライン ：2006/02/11(土) 13:47:19.55 ID:dmXYA8e8

と言うことで、過去データを(BBG DB から)抽出して新 DB に入れる必要があります。

　

しかし、移行プログラムが呼ばれたタイミングで BBG の DB にアクセスし、新しい(と言っても上記のように既存のキャラ DB と同じサーバ上ですが)認証 DB にデータを挿入する、と言うのは無理でした。

　

ネットワーク的な問題もあったのですが(これはその気になれば解決するでしょうが)、何より、もう手が切れる相手の移行を行うのに、そんな激しいアクセス(BBG の認証 DB に)を行うことがまかり通るわけはなかったからです。

　

そこで方針としては、登録手続きをまず休止し、データを日を掛けて少しずつ吸い出し(これは許された)、書き出す、と言った手順が取られました。

　

これが早期に登録が休止されていたこと（吸い出し開始～完了までににデータが追加されてはダメ）、ゲームサーバを一週間以上も止めて移行する必要があったこと（キャラ DB と一緒なので、止める必要がある）の理由です。

　

通常、ハードウェアの大規模なリプレースでも無い限り、これより遙かに大きな移行でも一週間以上もサーバを止める必要はありません。基本はモジュールの上書きと、必要であればデータ移行のジョブを実行させればいいだけですから。

165 ：名無しオンライン ：2006/02/11(土) 13:48:39.66 ID:dmXYA8e8

これまでの記述でデータの流れの想像が付いた方はお分りになるかと思いますが、この場合、オープンβからのアカウントがすべて抽出されることになります。

　

移行完了しなかった場合、アカウントが失効するという、一種傍若無人な所作の理由はまさにここです。新 DB へ書き出す際、一つカラムを増やし、移行をしたかどうかのフラグを持たせています。

締め切り日後、このフラグを見て一括削除すれば、めでたく休眠中のアカウントの削除は OK と言うことになります。

　

しかし、ご存じの様に移行の際に障害が発生しました。DB(=新システムでは認証およびキャラDB)のハードウェア障害です。

179 ：名無しオンライン ：2006/02/11(土) 13:49:59.73 ID:dmXYA8e8

一部心配されているような、キャラデータの紛失はありません。バックアップがあるためです。

　

しかし、キャラデータおよび認証データが入った(運営で用いる状態の)サーバはありません。

もう一度立ち上げるには、DB サーバのミドルウェアを整えた上で、

1. キャラデータの挿入

2. 認証用データの挿入

と言う手順を踏む必要があります。このため、非常に時間が掛かっていると言う状況です。

# 2006/02/20　個人情報流出発覚！

• サーバーの復旧作業が進まない状況で、今度は個人情報の流出が発覚！

27 ：まとめた瞬間アナウンスかよ ：2006/02/20(月) 14:09:09.19 ID:SqRJg/k+

●すいません何か事件ですか？誰か3行で要約してください。

移行に失敗した人の個人情報が流失

　

●対象者は?

移行中一回でもトラブルに遭遇した人は該当する可能性があります

以下の人は、【セーフ】

・移行に一発で成功した人

・移行時期後に、新規登録した人

※移行時期後に新規で上書き登録した人はアウト

　

●流出情報は?

LOGIN_ID / PASSWORD / CHARACTER_NAME / IP_ADDRESS

MOBILE_ADDRESS / BARTHDAY / PASSWORD_QUESTION / PASSWORD_ANSWER

BBS_TIME / MOE_END_DATE / REGIST_TIME

　

●対処の方法は?

ID/パスワードを変更する方法がないので、不可能です

また、他サイト、他ゲームで、同じIDパスワードを使ってる人は、速やかに変更しましょう。

　

●流出の時期と原因は

・２月１６日から３日間ほど公開サーバーに、ごんぞが移行者リストを放置したため。

→　２月２０日１３時ようやく消えたようです

　

●現在の状況は?

・鯖ロック中　<ログイン不可　14:00前後 　→　ロックの件については公式アナウンス有り (2006.02.20)

・公式アナウンスなし

192 ：名無しオンライン ：2006/02/20(月) 14:11:55.59 ID:pS4QoW2a

今北産業株式会社提供　簡単なまとめ

　

MOEのゲームID移行失敗した1372人分のゲームID、パス、ニックネーム、IP、携帯アドレス(任意記入欄)、生年月日、秘密の質問と答え、登録メールアドレスが詰まったファイルが公開ｆｔｐ鯖（手動パッチがおいてある鯖）にうｐされ、多くの人間が閲覧できる状態にありました（現在は削除されて見れません）

　

該当者は無料化長期メンテ以前に登録し、且つ、ID移行に失敗したユーザーとされています。

　

そして現在、サーバを強制終了してLock!!!