ESET/サイバーセキュリティ情報局
オンラインゲーム内で横行する詐欺から身を守る方法
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ゲームプレイヤーを標的にしたオンラインゲーム詐欺」を再編集したものです。
ゲームのプレイヤーは、ハッキングや詐欺、データ窃取といった脅威に晒されているという点で、サイバーセキュリティの担当者とは共通点がある。では、なぜゲームのプレイヤーが標的にされるのだろうか?
ここ数年、ゲーム業界ではマイクロトランザクションに対する懸念が広がっている。マイクロトランザクションとは、例えばゲーム内のイベントを早く進めたり、キャラクター向けに上位の装備やスキン(見た目を変更するアイテム)を入手したりするのに課金する仕組みのことだ。最近では、多人数向けゲームに限らず、一人用ゲームにも実装されており、攻撃者が悪用する機会が増えている。
オンラインゲーム内で詐欺が横行しているのは、ゲーム内のチャットや音声通話サービスを介して、プレイヤー同士で交流する機会が増えているからだ。多くの場合、これらのチャネルを使って詐欺師は標的への接触を試みる。オンラインゲームの特性を考えると、大人だけではなく子供たちにも脅威となり得る。
金銭の窃取
サイバー犯罪者は、金儲けの手段としてオンラインゲームを悪用している。ユーザーの情報を盗んで転売したり、銀行の口座情報を聞き出したりする手口が知られている。加えて、ランサムウェアやウイルス、トロイの木馬などを用い、標的にしたプレイヤーから金銭の窃取を試みるのだ。
ゲーム内では暗号資産やスキン、武器などが最大のリスクとなる。多くのゲーム会社からさまざまな価格帯で販売されており、その希少性から数百ドル(数万円相当)を超えるスキンもある。
詐欺師はオンラインゲームのアカウントを容易に作成できるため、盗んだクレジットカード情報を使って、先述したアイテムを購入する。そして準備が整ったら、アカウントを高額で売却する。ゲーム内のアイテムを現実世界の通貨と交換することで、数千ドル(数十万円相当)を稼ぐアカウントもある。
保護された領域さえ攻撃を受ける
当然ながらゲーム会社は、ユーザーのアカウントを保護するためにさまざまな対策を講じてきた。しかし、アカウントに含まれるデータは極めて価値が高いため、依然としてアカウントの乗っ取りは発生している。プレイヤーが蓄積してきたゲーム内の資産や、オンラインゲーム内のストアで購入した各種ライセンスに加え、電話番号や住所、メールアドレス、決済情報といった個人情報があるからだ。
推測されやすいパスワードを使用しているだけで、アカウントが完全に乗っ取られてしまう可能性がある。複雑なパスワードを使ったり、安全なパスワードマネージャーを利用したりしていれば良いのだが、例のごとく、推測されやすいパスワードを使い回している人はいる。
また、追加の認証手段を提供していないゲーム会社も多く、パスワードが漏えいした可能性のある開発元も存在するという問題もある。犯罪者とゲーム会社の関係は、ウォークラフトのような対戦型ゲームと同様に、一方が得をすれば、他方が損をする状況になっていると言える。
フレンドリー詐欺
インターネット業界ではあまり知られていない詐欺の手法かもしれないが、フレンドリー(チャージバック)詐欺の被害は深刻だ。米国だけでも、eコマース事業者から118億ドル(1兆7,500億円相当)以上の損失が報告されている。マイクロトランザクションによって、事態の深刻さは増してきている。フレンドリー詐欺は、意図的でない場合もある。例えば、子供が親のクレジットカードを使って特別なスキンやゲーム内通貨を購入してしまい、高額の請求が届く可能性がある。子供の仕業と気づかない親は、口座を保有する銀行やゲーム会社へ抗議して返金を求めるのだ。
意図的ではないとしても、抗議した当人が銀行やゲーム会社から詐欺師と見なされる恐れもある。なぜなら、意図的なフレンドリー詐欺が存在するからだ。この場合、ゲーマー、あるいはゲーマーを装った詐欺師がゲームタイトルやゲーム内通貨を購入した後、返金を受けるためにクレジットカードの請求に対して異議を唱える。これは、シャツを買って何度か着た後に返品し、払い戻しを受けようとするようなものだ。
ユーザーの部分的な過失
前述した手法のほかにも、ソーシャルメディア上の無料の限定アイテムやゲーム時間のプロモーションなどの偽オファーにより、アカウント情報を詐取しようとする攻撃者もいる。個人情報を不正に聞き出す偽のログイン画面へ誘導し、マルウェアをダウンロードさせる場合もあるのだ。
ゲーム内での取引であっても、例えばPayPalなどを介してゲーム外で決済に誘導されることもあるため、危険な場合がある。金銭を支払った後、詐欺師がその支払いに抗議した場合、目的のアイテムを手に入れられないまま、金銭的損失を被る可能性がある。実際のところ、これらの詐欺はユーザーの過失によって成り立っている点に注意してほしい。ヒューマンエラーは、サイバーセキュリティで最も深刻な課題となっている。
ゲーマーが自らの身を守る方法
ゲーマーが大切なアカウントやゲーム時間を攻撃者から守るために、以下に掲げたセキュリティ強化に関するヒントを参考にしてほしい。
・複雑なパスワードを使う:残念ながら、このアドバイスは繰り返して伝えなければならない。単純な単語と数字の組み合わせは避け、特殊文字や大文字を混ぜてほしい。あるいは、より推測されにくく、記憶しやすいパスフレーズの使用を検討すると良い。
・多要素認証を設定する:アカウントを適切に保護するため、追加の認証手段は欠かせない。Microsoft AuthenticatorやAuthyといったワンタイムコードを生成するアプリの使用が望ましい。
・公式ストア内でゲームコンテンツを購入する:ゲームの公式ストアや正規販売店を介して購入するべきだ。詐欺師に決済情報を渡してはならない。
・プレゼントに騙されない:ゲーム内コンテンツを無料でプレゼントするゲームもあるが、アカウント情報を聞き出そうとする場合は、詐欺の可能性もある。プレゼント企画が公式に許可された提供元によって行われているかどうかを必ず確認してほしい。
・絶対にアカウント情報を他者へ教えない:これは特に、ウォークラフトのゲームで繰り返されているアドバイスだ。オンラインゲームの外で、クレジットカード情報や銀行の口座情報を聞いてくるゲームの管理者や開発元はいないことを覚えておいてほしい。
Steamなどのアカウントが何らかの理由でハッキングの被害に遭った場合でも、正常に回復するための方法はある。ただし、ゲーマーは常に警戒を怠ってはならない。大きな利益をもたらすゲーム業界は常に、詐欺師やハッカーの脅威にさらされているからだ。潜在的なリスクに注意し、安全を確保してほしい。
「Steam account hacked? Here’s how to get it back (ハッキングされたSteamアカウントを回復する方法) (英語のみ)」
[引用・出典元]
Time is money, and online game scammers have lots of it by Márk Szabó 7 Aug 2023
https://www.welivesecurity.com/en/scams/time-is-money-and-online-game-scammers-have-lots-of-it/