2025年5月中旬、一部のSNSやセキュリティ関連メディアで「Steamの大規模情報漏洩」が報じられ、約8,900万件のユーザー情報がダークウェブで販売されているとの投稿が拡散しました。しかし、Steamを運営するValve社はこれらの報道を公式に否定し、「Steamシステムの侵害は確認されていない」と明言しました。
流出が指摘された情報の内容とValveの見解
報道の発端は、LinkedIn上でセキュリティ企業「Underdark.ai」が「Steamから約8,900万件の認証コード付きSMSが流出した」と投稿したことに始まります。その後、SNSやニュースサイトで一気に拡散されました。
しかし、Valveは公式声明で「これはSteamのシステムからの漏えいではない」とし、問題となっているデータは過去にSteamがユーザーに送信した15分間だけ有効なワンタイムコード付きのSMSメッセージであると説明。これらのSMSには、アカウントのパスワードや支払い情報、個人情報とは結び付かない電話番号のみが含まれており、「アカウントの乗っ取りには使えない」と明言しました。
Valveは「パスワードや電話番号の変更は不要」とし、ユーザーには未承認のセキュリティ通知には警戒するよう呼びかけています。
流出元はTwilioではないと否定
一部では、SMS送信を担うクラウド通信プロバイダー「Twilio」が漏えい元ではないかとの見方が出ましたが、Twilioは「当社のシステムに侵害の痕跡はない」とこれを否定。
実際にダークウェブに出回っているとされるデータのサンプルを確認した結果、Twilioから流出したと判断できる証拠はなかったとしています。
SMS認証の仕組み上、複数の通信プロバイダーを経由することがあり、通信内容は暗号化されていないため、正確な流出経路の特定は困難と見られています。
セキュリティ対策と今後の推奨事項
Valveは、ユーザーに対し以下の対応を推奨しています
-
Steam Guard モバイル認証の有効化
-
セキュリティ通知を定期的に確認すること
-
不審なSMSやメールには応答せず、公式チャネルで確認すること
また、Valveは今後も継続して調査を進めるとし、追加のセキュリティ対策も検討していくと述べています。
まとめ
今回の件は「Steamからのシステム侵害による情報漏えい」ではなく、外部経路からの過去のSMS認証メッセージの不正取得が疑われる事案です。Steamユーザーとしては冷静に対応しつつ、引き続き二要素認証(2FA)や不審メールへの警戒など、基本的なセキュリティ対策を徹底することが求められま
