~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > ニュース > インタビュー > 第10回:オンラインゲームのフィッシング対策―セガ

インタビュー

第10回:オンラインゲームのフィッシング対策―セガ

2010年09月06日

2010年1月にセガの運営するオンラインゲームのフィッシングサイトが確認された。オンラインゲームにおいては「希少価値の高いアイテム」(ゲーム中の武器や道具など)や「レベルの高いキャラクターデータ」などがRMT※(リアルマネートレーディング)を通して高価に売買される事があり、その存在がフィッシングの標的になりうると指摘もされていた。そして近年の世界的な経済不況やアジア圏におけるインターネットの普及、また貨幣価値の違いなどから、日本のオンラインゲームがこういった標的にされる事例が増えてきたということだ。
このフィッシングサイトは、フィッシング対策協議会が、JPCERT/CCに当該サイトのテイクダウンの調整を依頼し、中国のCNCERT/CCや関連機関の協力もあり、すでに閉鎖されているが、今回の「フィッシング対策の現場から」は、実際に被害にあったセガの担当者の方に、同社のフィッシング対策の取り組みや注視しているセキュリティ動向について話を聞いた。

 

※RMT(リアルマネートレーディング)とは現実世界の通貨(円やウェブマネーなど)でゲーム世界内の通貨やアイテムを交換する行為

 

セガのオンラインゲームは「ドリームキャスト」から

協議会:一般的には、セガはアーケードゲームやゲーム機のソフトのイメージが強いかと思います。フィッシングとの接点が見えにくい人も少なくないと思います。まずは、セガとフィッシングの関係についてお話いただけますか。

 

セガ:セガがオンラインゲームのサービスを始めたのは、10年以上前の「ドリームキャスト」という家庭用ゲーム機までさかのぼることができます。当時、ゲーム機には珍しかったネットワーク機能を利用したゲームをリリースしました。RPGタイプのゲームで、ユーザー登録しネットワーク上の仲間と通信しながらゲームを進めていくという、現在のオンラインゲームのスタイルをすでに確立していました。
ここ数年、グローバルでは、オンラインゲームのアカウントジャックやアイテム詐欺などのセキュリティインシデントが問題になっています。以前は、ハッキングの知識のある個人が、いたずら、というと語弊があるかもしれませんが、有料ゲームを無料で楽しめるようにする、経験値やストーリーを改変するといったものが多く見られました。しかし、最近では、アカウントやアイテムを売買するために、犯罪組織や不正業者による攻撃が増えています。ゲームアカウントの窃取、クレジットカード番号など個人情報の窃取のために、海外ではオンラインゲームサイトのフィッシングサイトも確認されるようになりました。セガがフィッシング対策を考え始めたのは以上のような背景からです。

 

協議会:セガにおいて、オンラインゲームに対する攻撃はいつごろから確認されていましたか?

 

セガ:パスワードのブルートフォース攻撃のようなものは、かなり以前から常態化しているといっていいでしょう。これも、個人と思われる接続元から、犯罪組織と思われる接続元からの攻撃に主流は移ってきていると思います。組織的な攻撃と思われるものは、中国など海外からの接続が多いようです。
IDやパスワードへの攻撃は、正規サイトやサーバーのデータベースに対するものなので、さまざまなセキュリティ対策、防御手段をとることができます。しかし、正規サイトに似せた悪意のあるサイトの予防は困難です。1月には「ファンタシースターユニバース」というゲームのフィッシングサイトが確認されました。自社のオンラインゲームに関するフィッシングサイトが確認されたのは、これが最初です。

 

オンラインゲームに特化したトラフィックやデータベースを保護するガードソフト

協議会:そのセキュリティ対策への取り組みについて教えてください。例えば、パスワードに対する攻撃にはどのようにして防いでいたのですか。

 

セガ:パスワードへの攻撃については、リトライの回数制限や、頻繁なリトライを検出してアラートをあげるといった対処をしています。攻撃元のIPアドレスなどでアクセスをブロックする方法をとることもありますが、サービス提供事業者としては、オーバーブロッキングの問題も常に考えなければなりません。ログインシールや認証作業の二重化なども検討していますが、オンラインゲームの場合、ユーザーは遊ぶためにアクセスしてくるので、安全のためであってもログインの手間が増えることへの理解が得にくいという背景もあります。上記のような対策を、会員すべてに強制するわけにいかないところが難しい点です。
全体的な対策としては、ゲームサイト上やメールマガジンでのお知らせ、注意喚起を徹底することでしょうか。また、オンラインゲームごとに「ゲームマスター」と呼ばれる運営者側のスタッフを配置しています。このゲームマスターは、ゲーム上のトラブルなどに対応したりサポートを行うわけですが、詐欺被害の相談、通報など、セキュリティ上の問題も扱うことになっています。

 

協議会:他にも取られている対策はありますか。

 

セガ:はい。他にもユーザーのアクセスパターンの解析などによる不正の兆候を検出したり、サーバーのログ情報の分析など、IPアドレス以外の検出基準も導入しています。
オンラインゲームのトラフィックやサーバーのデータを保護するという視点からは、セキュリティベンダーが提供する専用ソリューションを利用しています。ゲームトラフィックの監視や保護などを統合的に提供するガードソフトウェアで、オンラインゲームサービスに特化したツールやソリューションが韓国や日本にも存在しています。セガでもこのようなガードシステムを導入しています。オンラインゲームに特化したガードシステムという点では、市場が活発な韓国のベンダーも技術力と実績があるようです。

 

協議会:アーケードゲームも、通信機能を搭載するものが増えています。フィッシングとは直接関係ないかもしれませんが、これらの対策も行っているのですか。

 

セガ:もちろんです。通信回線はインターネットを利用するものが多いので、独自のVPNと暗号化によって保護しています。最近のアーケードゲーム機は、プラットフォームのオープン化が進み、汎用OSやプロセッサを活用しています。まずは外部との接点となるネットワークの保護が基本となります。

タブナビングやHTML5の新しい機能を使った攻撃を注視している

協議会:最近注目しているセキュリティ動向などありますか。

 

セガ:フィッシングに関連する新しい攻撃手法では、タブブラウザを利用したタブナビングを挙げることができます。また一部の専門家から指摘があるように、ブラウザのプラグインに付随する脆弱性は問題だと思っています。最近話題のHTML5では、逆に複雑な機能タグやスクリプトなどを利用した、新しい攻撃が考えだされる可能性もあると思います。したがって、いろいろな動向を把握するようにしています。
また、セガでも携帯電話やスマートフォン向けのゲームアプリなど展開しているので、今後は、スマートフォンのセキュリティリスクと対策についても考えなければならないでしょう。

 

協議会:最後に、フィッシング対策協議会への要望などあればお願いします。

 

セガ:フィッシング対策協議会は、フィッシングサイトのテイクダウンで関係機関との調整窓口として対応していただきました。このような場合、海外プロバイダーへの連絡や停止などを依頼できる窓口があることは重要だと思いました。欲を言えば、業界や業界を超えたつながりが確保できるようなしくみ、活動も期待したいです。
具体的には、サイトでの情報共有だけでなく実際に人が集まるカンファレンスやセミナーのようなものです。オンライン情報や公式発表だけでは得られない情報は、そのような会場で実際に人にあって人脈を広げたりしないと得られないと思っているからです。

 

協議会:なるほど。会員向けのセミナーなどは開催しているのですが、今後の活動の参考にさせていただきます。本日はどうもありがとうございました。

 

 

 

参考情報:

オンラインゲーム「ファンタシースターユニバース」をかたるフィッシング(2010/1/21)

http://www.antiphishing.jp/news/alert/2010121.html