ゲームとゲームサービスのセキュリティ　その2

ゲーム提供者やダウンロード販売サイトが狙われた理由とは？

2012年02月20日 06時00分更新

文● 富安洋介／エフセキュア

　前回は、2011年のプレイステーションネットワーク（PSN）の事例を紹介しました。類似のサービスはどのような状況なのでしょうか。

配信サービスで広がる被害

　大規模な被害があったためにソニーのPSNが取り沙汰されていますが、実際のところ多くのゲーム配信サービスが標的となり、被害が発生しています。マイクロソフトが運営するXbox LIVEでも、2012年明けからアカウント不正アクセスの被害が報告されているようです。

　ただしこの事件では、被害が徐々に拡大しているようすから、マイクロソフトのサーバーから一斉にもれたのではなく、別の情報漏えいで手に入れたID／パスワードで試行されていたり、辞書攻撃やブルートフォース攻撃によるハッキングなのではないかという推測もあります。マイクロソフト自身は、Xbox LIVEのサーバーでの問題点は認めていませんが、Xbox LIVEのアカウントハッキング被害者から、2つの問題点が指摘されています。

　1点目は、IDとなるメールアドレスが登録されているかどうかが、エラーメッセージからわかってしまうことです。

IDとして登録されていないメールアドレスと登録されているメールアドレスでメッセージが異なる

　このために、攻撃者は存在しないアカウント名に対して無駄な攻撃を繰り返すことがなくなるので、攻撃の精度が上がってしまいます。

　2点目は「CAPTCHA」を回避して、何度もログインを試せることです。Xbox LIVEでは、ログインを複数回失敗した場合、以降のログインではCAPTCHAを入力する仕組みになっています。ところが、ログイン画面にある「他のWindows Live IDを使用してサインイン」というリンクをクリックすると、CAPTCHAなしで入力できる画面になります。そのために、実質的にCAPTCHAが意味を成していない状態になってしまいます。

赤の囲み部分のリンクをクリックすることで、CAPTCHAなしのログイン画面が表示される

　Xbox LIVEのアカウントハッキングの真相は不明ですが、この2点は確かにセキュリティ上の懸念点となっています。

Steamを狙った攻撃

　PSNやXbox LIVEの例は、サービス提供者側が狙われましたが、PC用にWindowsとMac向けにゲームのダウンロード販売を行なっている「Steam」の場合、ユーザーへのソーシャルエンジニアリング的な手法での攻撃も報告されています。Steamは日本ではあまり馴染みのないサービスですが、全世界では数百万人のユーザーを抱えています。単にゲームを販売するだけでなく、PSNやXbox LIVE、Steamなどと同様に、他のプレーヤをフレンドとして登録し、メッセージのやり取りやチャット、最近やっているゲームの確認などを行なう機能もあります。

Steamのクライアント画面。さまざまなゲームが販売されている

　さらにSteamには、フレンドにプレゼントとしてコンテンツを買って送ることができます。この特性を利用し、フィッシング詐欺と同様の方法でアカウントに不正アクセスを試みる事例があったようです。

　手口としては、乗っ取ったアカウントのフレンドをチャットに誘い、「ゲームをプレゼントするのでSteamのIDとパスワードをリンクしたURLに入力してほしい」と誘いかけるものです。このURLのサイトがフィッシングサイトで、steamのサービスのように思わせる作りになっています。そのユーザーが引っかかれば、さらにそのアカウントのフレンドへという風に被害を広げていく手法となっています。

　PSNやXbox LIVE同様、Steamでもクレジットカード情報がアカウントに入力されている場合があるため、アカウントをハッキングすることで攻撃者は金儲けが行なえるというわけです。