■経過と原因調査について
2009年4月初頭よりお客様から複数のハッキング被害のご報告が寄せられた
ため調査を行ったところ、当該アカウントに不正アクセスと思われる接続
記録を確認いたしました。
このため、原因究明のための調査を行わせていただいたところ、弊社公式
サイトの一部にXSSコード上の脆弱性が確認されました。
この脆弱性を利用することで、通常の手順を経ずに、指定したアカウントに
ログインすることが可能となっておりました。
このXSSコード上の脆弱性につきましては5月14日(木) 11：00に修正いたしました。

なお、この件に関してデータベースサーバーやWEBサーバー、決済システムへの
不正なアクセスは行われておりません。また、直接不正ログインにより個別の
登録情報変更ページにアクセスされたケースを除いて、会員情報等の流出は
発生しておりません。

【実施済みの対策】
・他のPCからのアカウントへのアクセス制限やログインプロセスのセキュリティ強化。
・一定期間ごとにパスワード変更を促すダイアログ表示の導入。
・ゲーム内でのアイテム取引、販売等に入力が必要なパーソナルコードの導入
　（KNIGHT ONLINE Xross）

【実施予定の対策】
・サーバーログイン時に第二パスワード入力を必要とするシステム（ルナティア）
・推測されやすいパスワードの制限や、パスワードサーチを防ぐ等の
　ログインプロセスにおけるセキュリティの強化。
・メールによる認証追加等の会員登録・管理システムのセキュリティ強化。

XSSを利用し不正に取得した他人のセッションID用い、ログイン後ページにアクセスすることで、なりすましできてしまう状況だったということかな。
XSSが実際に悪用され、ここまでの被害が確認できたのは、もしかして国内初じゃないですか？？SQL Injectionブームの次はXSS？