ゲームとゲームサービスのセキュリティ　その1

ゲームを楽しむ前に知っておきたい危険とは？

2012年02月13日 06時00分更新

文● 富安洋介／エフセキュア

　皆さんはゲームはお好きでしょうか。私はけっこうなゲーム好きで、一通りの据え置き型ゲーム機と携帯ゲーム機を所有しています。2011年は任天堂から「ニンテンドー3DS」、ソニー・コンピュータエンタテインメント（SCE）から「PlayStation Vita」という2つの携帯ゲーム機が発売されるという明るいニュースがあった反面、ソニーの「プレイステーションネットワーク（PSN）」に不正アクセスが行なわれ過去最大の個人情報流出が発生するという暗いニュースもありました。

　高度化・多様化を続けるゲームにはどのような危険があり、私たちはどのようにそれを防げばよいのでしょうか。今月はゲームでのセキュリティについて考えてみたいと思います。

プレイステーションネットワークに起きたこと

　ご存知の方も多いとは思いますが、もう一度PSNへの不正アクセスについてまとめておきましょう。

　PSNは、ソニーが運営するデジタルメディアサービスです。プレイステーション3やプレイステーション・ポータブルなどのゲーム機を対象とし、ソニーグループ会社やサードパーティのゲーム、映像、漫画などの配信サービスを行なっています。

　事件の発端は、2010年4月21日からの接続障害として現われました。接続障害は数日間続き、その間にハッカー集団「Anonymous」が自分たちの仕業であると声明を出しています。4月27日になり、ソニーは21日からの障害が外部からの攻撃であり、PSNに登録されているユーザーアカウントの情報が全件、外部に流出した可能性があることを公表しました。PSNには、7700万人もの登録者がいるため、世界最大の個人情報流出事件となってしまいました。また、一部ユーザーのクレジットカード番号流出の可能性もあるようです。

　PSNで流出したアカウントに含まれる情報は、以下の通りです。

氏名
性別
住所
国名
メールアドレス
生年月日
ログインID／パスワード

　ソニーの発表によると、PSNへの侵入は、サーバーの脆弱性をついて行なわれたようです。PSNは、Webサーバー、アプリケーションサーバー、データベースサーバーの3段で構成されています。攻撃者は、アプリケーションサーバーにある脆弱性を利用して通信ツールを設置。そのツールでデータベースサーバーに不正アクセスを行ない、個人情報を取得したとあります。犯人としては、Anonymousの可能性が高いといわれていますが、明確な証拠は見つかっていません。

PSNへの攻撃方法

PSNの問題点はどこにあったのか

　報道によると、ソニーにはPSNの運用において明らかな問題点がいくつかあります。1つ目は、脆弱性について認識していなかったことです。脆弱性があることを知りつつも、運用の都合により対策をしていなかったのではなく、「まったく認知していなかった」のです。そのため、このような事態が起きた場合の対処も想定されていませんでした。

　2つ目は、PSNの個人情報の管理を委託されているソニーのグループ会社である米「Sony Network Entertainment International（SNEI）」に、CIOが設置されてなく緊急時の報告体制が取られていないなど、安全管理体制に大きな不備があったということです。この点は、経済産業省から行政指導が行なわれています。

　現在はこういった点は改善されていると信じたいですが、そもそもとして、本当にこのような個人情報を登録する仕組みにする必要があったのかという疑問が浮かびます。PSNで行なっているのは通販ではなくオンラインの配信です。住所・氏名という情報が本当に必要だったのでしょうか。もしかしたら、マーケティング的な観点から有用だったのかもしれませんが、少なくともPSNを使う上では不要なはずです。実際に架空の住所、あるいは偽の住所を登録して使用している例がインターネット上には報告されています。

　このような、サービスに本質的には不要な情報を登録させる例はけっこう多く見かけます。たとえば、試しにいくつかのダウンロード販売のサイトのアカウント登録の内容を見てみましたが、住所・氏名の記入欄をもっているものがいくつもありました。もしこれをご覧の読者のほうがそのようなサービスを提供している場合には、本当に必要な情報のみを登録するようにしていただきたいと思います。