外部セキュリティ研究者との連携

Adrian Stone, Sr.EA製品セキュリティディレクター

2019年12月10日

以前に検出されたセキュリティ上の脆弱性に対処するために、Originクライアントの最新バージョンがリリースされました。この問題は特定の状況下で、権限が制限された正当なユーザーに、Originがインストールされたコンピュータに対する権限を超越したアクセスを許してしまう可能性がありました。

このアップデートはすでにOriginクライアントで実施されており、こちらから直接ダウンロードすることもできます。 今回の調査と本アップデートの開発を通じて、脆弱性が利用されている証拠は確認されませんでした。

この問題は、製品セキュリティ脆弱性報告プログラムを通じて最初に報告されました。協調的な惰弱性の公開の慣例に従って、調査と修正の実施作業を通じて緊密に連携してくれたAMonitoringのVasily Kravetz、およびMatt Nelsonの両氏にはこの場を借りてお礼を申し上げます。

EAでは、惰弱性の詳細を説明したセキュリティ勧告と、アップデートの詳細を案内するヘルプ記事を公開しています。

これは非常に特殊な問題であり、ゲーム業界の他方面に影響を与えるものと考えています。 そのため、この問題の経緯に関する背景情報を詳しく公開する価値があると判断しました。

Originクライアントのユーザーには、ゲーム専用PCを所有しハイエンドのゲームノートPCを使用しているプレイヤーが多いため、Originクライアントは全ユーザーが強力な権限を有しており、常にシステムの完全な管理権限を希望していることを前提として設計されていました。 しかし、それ以降に業界の慣例が変化し始めたのです。一部のプレイヤーを含む多くの人々が、コンピューターを限定的な権限で使用するようになりました。 また、複数の人とシステムを共有するために、その他の制限ユーザーのアカウントを作成することが珍しくなりました。この監修はセキュリティ業界では「最小権限」と呼ばれ、セキュリティ上の問題が発生した場合のセキュリティ上の影響を制限することができます。 現在、オペレーティングシステムの提供者はこのような変化を認識し始め、そのオペレーティングシステムに変更を加えることで、環境の変化に対処しています。

攻撃者はこの脆弱性を悪用する場合、有効な管理者ではないユーザーアカウントでコンピューターにログインする必要があります。さらに、特別な細工を施したプログラムをインストールするか、ソフトウェアの一部を変更してアクセスレベルを高めるコードを実行する必要があります。

現在のOriginを使用しているユーザーの大半は、すでに管理者レベルのアクセス権を持ち、PC上で自分以外のユーザーアカウントを設定していません（管理者レベルのアクセス権を持たないユーザーの数は、Origin の全ユーザーベースの5%未満）。これによりほとんどのユーザーにとっては、平時以上のアクセスや権限が得られないため、この脆弱性が起こりにくいことになります。

Originクライアントをインストールした一部のプレイヤーの方に問題が発生していました。たとえ一部であっても、各ユーザーの皆様の安全性とセキュリティは私達にとって非常に重要なことです。本日のアップデートでアクセス制限モードを実装し、この問題に対処したことを皆様に報告いたします。Originとアクセス制限モードの今後のバージョンにおいても、知り得た洞察をベースとし、最小権限の原則に対するアプローチを改善していくことをお約束いたします。また今回と同じように、セキュリティリサーチコミュニティとゲームパブリッシャー間で良好な連携を取り、すべての方々に対してセキュリティ基準をさらに高めていきます。