HoYoLABで起きた公式アカウント乗っ取り騒動とカスタマーサポートの情報漏洩疑惑について

本日4/10、HoYoLABにて公式アカウントの乗っ取り騒動が起きました。その顛末と、背景にあるカスタマーサポートからの情報漏洩疑惑についてまとめたいと思います。



本投稿では、「情報漏洩があった」という複数の声明について紹介しています。
しかしながら、私は情報漏洩について確定的な証拠を何も持っていません。本投稿をソースとして「情報漏洩があった」と発言することは止めてください。

また、情報源がリーカーであるため、閲覧の際はご注意ください。
画像内にはゲームのリークがないよう注意していますが、リンク先にはリークが含まれます。

乗っ取られたとされるアカウントは「Favonius Messenger」、通称「鳩」です。

鳩は原神についてHoYoLAB内でイベントを開催しているアカウントです。公式バッジは付いていませんが、いくつかの点から公式アカウント（または準公式アカウント）であることが明らかです。

・カスタムアイコン機能の実装前からオリジナルアイコンを利用している
・閲覧者の言語設定によって表示言語が変わる
・アプリ内アイテムや原神公式グッズの配布イベントを行っている

いずれも公式アカウントにしかできないことです。

さて、本日4/10の10時〜11時頃、HoYoLAB及び鳩公式Discordサーバー「Pigeon Family」に乗っ取りにあったことを示唆する投稿がされました。

It's terrible!！Pigeon found an unfamiliar post on Pigeon Messenger's homepage.

なお、現在は編集されて消えていますが、当初は「ハッカーが鳩のアカウントを攻撃した」と書かれていました。
（HoYoLABの方はスクショ忘れました）

乗っ取り騒動自体も問題ですが、もっと問題なのは乗っ取られた時に投稿された内容です。

現在削除済みです。
昨日22時頃に投稿されたと思われます。
https://www.hoyolab.com/article/26966709

私が直接スクショしたものではなく、後からもらったものなので途中で切れているのはご了承ください。
※4/12更新
原文の全体が写ったスクショをいただいたので更新しました。

カスタマーサポートが何者かに不正アクセスされた旨が書かれています。

※これは乗っ取られてる時の投稿です。信憑性に欠けることに留意してください。

同様の情報がないか探したところ、複数の海外プレイヤーが鳩と同じ昨日22時頃に同じ内容のツイートをしているのが発見されました。
※少なくとも1人はリーカーです。他のツイートを見る際は注意してください。

// Important
Please share with everyone⚠️

Please refrain from using MiHoYo/HoYoVerse customer support services until further notice. Unauthorized individuals have gained access to MiHoYo systems, including past and present support tickets. Millions of tickets are affected, and…

— Daily Stelle (@dailystelle) April 9, 2024

⚠️ Beware of using miHoYo/HoYoVerse customer support. Threat actors have breached their systems, sending malicious emails posing as miHoYo staff (e.g., genshin_cs@hoyoverse.com). Your private info is compromised. Sadly, miHoYo hasn't taken action. #CyberSecurity #miHoYo

— stepleaker (@stepleaks) April 9, 2024

⚠️If you ever contacted miHoYo CS, you are vulnerable. Information such as IPs, email addresses, UIDs, and other are available to the bad actor.
( I have seen some people send their full credit card pictures to cs or their passwords.. why? )
- https://t.co/7GEo06v9h4

— stepleaker (@stepleaks) April 9, 2024

🔻ATTENTION🔻
Using miHoYo/HoYoverse customer support might not be the best move right now. Someone hacked into their system and are sending fake emails pretending to be miHoYo staff (like genshin_cs@hoyoverse.com). They're after your private info. #GenshinImpact #原神 #genshin

— Xbalanque (@xbalanque69) April 9, 2024

In these images, unauthorized access is shown, along with a number representing how many tickets ( email conversations n other ) the hacker has access to: 1.400.046.
Source: Step Leaks pic.twitter.com/Ddjj5PE2Pv

— Xbalanque (@xbalanque69) April 10, 2024

最後の画像は不正アクセスの証拠画像のようです。
2番目のstepleakerさんのテレグラムを見てみました。
※開くと最新投稿=情報漏洩疑惑の詳細に飛びますが、チラッとリークが映るためご注意ください。

StepLeaks

以下はDeepL翻訳です。

――――――――
こんにちは。

miHoYo / HoYoVerseのカスタマーサポートをご利用にならないでください。

悪意のある脅威者が数ヶ月前からmiHoYoのカスタマーサポートシステムにアクセスし、miHoYoのサポートスタッフを装った悪質なメールを拡散させています。

ほとんどの場合、メールの送信元は「genshin_cs@hoyoverse.com」です。
脅威行為者は、他のカスタマーサポート関連のメールも使用する可能性があるため、注意が必要です。

これは非常に深刻な問題であり、miHoYoがまだこれに対して何もしていないことは非常に残念です。

脅威者はカスタマーサポートのチケットや、カスタマーサポートスタッフがアクセスできるその他のほとんどのものにアクセスできるため、多くの個人情報が脅威者の手に渡っていることになります。
miHoYoはこの問題を気にしていないようだ。

ステップ
――――――――
(1)この画像は、Jtuiiiが1ヶ月前に前述の脅威行為者から電子メールを受信したときのものである。
――――――――
(2)この画像は、私が知っている脅威行為者の最後の活動が今日であることを示している。
――――――――
(3) & (4)

上の画像では、不正アクセスは、悪質な行為者が何枚のチケット（電子メールの会話、その他）にアクセスしたかを表す数字とともに表示されている： 1.400.046~.
――――――――

翻訳ここまで

テレグラムはブラウザだと画像保存ができませんが、最後の2枚については前述のツイートに転載されているのでそちらをご覧ください。
ここに貼ることはしません。

ここで気になるのは、鳩の投稿（4/9夜）よりも早い4/6、4/7に投稿されている点です。
この時点で、考えられるのは実際にカスタマーサポートから情報が漏洩しているか、あるいはstepleakerさんやその周囲と鳩アカウントで昨夜投稿した人物に繋がりがあるか、どちらかになると思います。

情報漏洩という話が現実味を帯びてきたように感じます。

ここまでは事実を中心に述べてきましたが、ここからは私の推測を述べます。
決して確定的な事実ではないのでご注意ください。

まず、「鳩が乗っ取られたかどうか」「カスタマーサポートが不正アクセスされたか」は別の話であることに注意が必要です。
どちらかが事実あるいは嘘（間違い）だと判明しても、もう片方が自動的に事実か嘘か判明するわけではありません。

その上で、考えられる可能性は主に4つだと思います。

・カスタマーサポートは不正アクセスされていて、鳩アカウントは乗っ取られている
→注意喚起のためにアカウントを乗っ取った人物がいる？

・カスタマーサポートは不正アクセスされていないが、鳩アカウントは乗っ取られている
→同じ嘘をついていることになるため、乗っ取った人物として一番疑わしいのはstepleakerさんまたはその周囲（確定ではない）。

・カスタマーサポートは不正アクセスされているが、鳩は乗っ取られていない
→不正アクセスの事実を隠蔽し続けたことについて、鳩担当者が内部告発した。

・カスタマーサポートは不正アクセスされておらず、鳩も乗っ取られていない。
→stepleakerさんの投稿は嘘（間違い）で、鳩担当者が何らかの理由で嘘をバラまいた。

また、乗っ取りについては大きな疑問点があります。
なぜ鳩なのか、です。

もし可能なのであれば、鳩よりも原神公式などのアカウントを使った方が遥かに拡散力も信用度も高いです。
鳩アカウントしか使えない状況にあったと考えるのが自然です。

さらに、「ハッカーに乗っ取られた」というのは、誤爆の言い訳の常套句とされています。
本当にハッカーに乗っ取られたならその文言を消す理由はないので、どうしても乗っ取られた以外の可能性を考えてしまいます。

現状では、乗っ取られたと主張しているのは鳩のみです。
原神公式など、より信用できるアカウントからの説明が待たれます。

追記4/11
なお、4/9夜に出たカスタマーサポートの件も、4/10に出た乗っ取り報告も、投稿は原神エリアに行われました。
前者はともかく、後者は確実に規約違反（エリア違い）だと言えます。

これについて、「規約違反してるってことは中身は公式ではなく、まだ乗っ取られてる？」と考える方もいるかもしれません。しかし、私としては公式、特に鳩が規約違反したくらいでは驚くべきことではないと思います。