ゲームとゲームサービスのセキュリティ　その3

高い資産価値を持つオンラインゲームのアカウントを狙う危険

2012年02月27日 06時00分更新

文● 富安洋介／エフセキュア

　第30回と第31回では、ユーザーの個人情報や金銭に直接かかわるクレジットカード情報が含まれるゲームサービスの危険について触れてきました。しかしそういった情報が含まれない、オンラインロールプレイングゲームのアカウントでも危険があるのです。

オンラインゲームの抱える問題

　オンラインロールプレイングゲームは、多くのプレーヤと同じゲームの世界を共有し、協力あるいは競争しながら進めていくゲームです。ゲームのデザインによって「MMORPG（Massively Multiplayer Online Role Playing Game）」と「MORPG（Multiplayer Online Role Playing Game）」の2種類にわかれますが、どちらのタイプのゲームも標的となり得ます。ちなみにMMOタイプのゲームとしてスクウェア・エニックスの「ファイナルファンタジーXI」やガンホー・オンライン・エンターテイメントが運用する「ラグナロクオンライン」などが有名で、MOタイプのゲームとしてはセガの「ファンタシースターユニバース」、カプコンの「モンスターハンターフロンティアオンライン」などが有名です。

　これらのゲームには他のプレーヤとアイテムのやり取りをする仕組みがあり、その際にはゲーム内の仮想通貨を使用します。いわば簡単な経済システムが存在しているわけです。ゲーム内通貨を獲得するためには、ゲームを行なう必要があるのですが、ゲームに費やせる時間の長さや、ゲームの「上手い下手」で差がついてきます。そこで生まれた格差を埋める手段として、「RMT（Real Money Trading）」という手段が一部で取られています。

　RMTは、ゲーム内の通貨やアイテムなどを実際のお金（Real Money）で取引する仕組みです。一般的には、ゲームの規約として禁止されているケースが多いですが、実情としてはほとんどすべてのゲームで行なわれています。前述の代表的なゲーム名にRMTをつけて検索を行なえば、多くのRMTの取引を行なっているサイトが見つかるかと思います。RMTの取引を行なうことを業務とした会社も存在します。

　RMTは、あくまでもゲームの規約として禁止されているのみで、法律に触れるようなものではありません。しかしながら、詐欺などのトラブルに巻き込まれることも多いため、決して推奨されるような行為ではありません。規約で禁止されている行為のため、RMTに関するトラブルにはゲームの運営会社が介入しないのが一般的です。そしてこのRMTという仕組みが存在するため、オンラインゲームのアカウントを標的とした攻撃が多く行なわれています。

　RMTで販売を行なう側には3種類のタイプがあります。1種類目は、通常のゲームプレーヤが行なう場合です。普段は一般的なプレーヤと同様にゲームをしていますが、運よく高額で取引されるアイテムを入手したのでRMTで販売しようとするケースです。ゲーム自体を辞める際に、持っているものを売り払うという場合もあるようです。2種類目は、ボットと呼ばれる自動操作ツールでゲームを操作し、組織的にRMTを行なっているケースです。日本国内だけでなく、途上国が海外から接続し、外貨獲得のために行なっている場合もあります。そして3種類目が、ゲームのアカウントそのものを乗っ取り、ユーザーからアイテムを奪ってRMTで販売するというケースです。

“MMO RMT”という検索ワードでGoogleを使い検索した結果

もっとも高価な資産価値をもつゲームは？

　アカウントのハッキングは、さまざまな手段で行なわれています。古くからの方法としては、トロイの木馬によるものです。メールにトロイの木馬を添付して大量に送付し、ゲームプレーヤが引っかかることを狙うという方法です。

　日本ではエヌ・シー・ジャパンが提供する「リネージュ」というオンラインゲームを標的とした「Nilage」、ガマニアデジタルエンターテインメントが運営するゲームを標的とした「Magania」というトロイの木馬が有名でしょうか。トロイの木馬によるハッキングは特定のゲームやゲームメーカーを標的にしますが、RMTの相場などから人気のゲームタイトルが狙われます。近年もっとも人気があるタイトルに、米ブリザード・エンターテインメントの「World of Warcraft（WoW）」があります。

　WoWは、日本ではサービスを展開していないためあまり話題になっていませんが、世界で1000万人以上のプレーヤがいるといわれています。WoWを標的としたトロイの木馬も当然ありますが、それだけでなく、WoWのアカウントをターゲットにしたフィッシングサイトも大量に報告されています。オンラインバンクを狙うフィッシングと同様に、正規のサイトに見せかけるURLとサイトの作りでだまそうとする。フィンランドで行なわれたWoWのアカウント乗っ取りに対する訴訟では、アカウントの価値が4000ユーロ（約39万円）と評価されました。十分に狙われるだけの価値があるのでしょう。

WoWのフィッシングサイトの1つ

被害を受けるのはユーザーだけではない

　ユーザー規模で攻撃の頻度は変わりますが、多くのオンラインゲームでアカウントハッキングが生じていると考えられます。ソネットエンタテインメントの子会社ゲームポットの「Wizardry Online」というゲームが、2011年10月14日にサービスが開始されましたが、そのわずか10日後には不正アクセスが行なわれていました。ゲーム運営会社の発表によれば、これは現在流出しているパスワード情報を用いて行なわれたものとのことです。私もこのゲームで遊んでいたのですが、残念なことに友人がこの不正アクセスの被害にあっていました。

　アカウントが乗っ取られた場合、もちろん乗っ取られたユーザーはゲーム内のアイテムを失うなどの大きな被害があります。それがきっかけとなり、ゲーム自体を辞めてしまうということも十分に考えられます。アカウント乗っ取りの被害が大量に発生すれば、ゲーム運営側としてもユーザー数の減少という大きな被害を受けることになるかもしれないのです。たとえばWizardry Onlineでは、不正アクセスの被害を受け、ワンタイムパスワードなどのセキュリティ対策の導入をプレイヤーに促すために、ゲーム内アイテムのプレゼントなどを行なうなど、運営側が努力している様子が伺えます。