今年のAOGCのテーマの1つが「セキュリティ対策」だ。オークション詐欺や、自殺サイトの問題といったインターネット全体の問題だけでなく、アカウント情報を盗むスパイウェアや、社内関係者の不正行為などオンラインゲームに直接関わる犯罪のニュースも増えている。

　本稿ではエヌ・シー・ジャパンアドミニストレーションユニット、セキュリティ担当天野浩明氏、BBAセキュリティ専門部会部会長であり、ウェブルートソフトウェア株式会社テクニカルサポートディレクター野々下幸治氏、警察庁生活安全局情報技術犯罪対策課課長補佐 安部真氏の3つの講演を紹介したい。ネットワークユーザーに対し、どのような犯罪が行われており、どういった対策が求められているのだろうか。

■　本人認証サービスの導入が大きく効果を上げた「リネージュ II」課金における3つの不正対策

エヌ・シー・ジャパンアドミニストレーションユニット、セキュリティ担当天野浩明氏。自社がクレジットカード会社と協力して行った施策を紹介した

1回目の対策で海外発行のクレジットカードの利用停止措置を行なった前後の不正利用件数。利用停止のアナウンスを行なった日が山となっている

　エヌ・シー・ジャパンアドミニストレーションユニットセキュリティ担当の天野浩明氏は、同社がサービスする「リネージュ II」のクレジット課金決済で繰り広げられてきたクレジットカード不正使用者への対策を報告した。2005年にクレジットカード会社と協力して導入した本人認証サービスにより成りすましによる被害が1件も無くなったという報告は、会場の興味を大きくひきつけたようだった。

　カードの成りすましによる被害は、その被害が判明するのに時間がかかるのが特徴的だ。偽造されたカードで課金されると、決済代行会社を通じて不正利用から1カ月以上経って本来のカード所有者に利用明細書が届く。カード所有者は覚えが無いため、カード会社へ照会し、パブリッシャーに照会があっても対応できないため不正利用が確定し、売り上げが取り消されてしまう。さらに不正利用者は30日間のプレイ後にはアカウントを放棄してしまい、次々に新たな偽造カードを入手して決済が行なっている。不正カードが使われたアカウントはRMT等に利用するためのいわゆる「捨てアカ」が多く、照会を受けた時点で手の打ちようが無い場合がほとんどだった。

　「リネージュ II」は、2004年に6月より日本での正式サービスを開始した。エヌ・シー・ジャパンは半年後の2004年11月に成りすまし被害の照会をカード会社から受け、以降被害が伸び続けた。対策として、2005年3月に一部海外発行のカードによる課金に対して利用停止措置を講じた。結果は停止したカード会社以外のカードからの不正利用が増すこととなり、被害の照会はさらに増加した。2005年7月にはクレジットカードのブランドの制限措置をし、国内発行のカードでさえも利用できないケースが出てきたが、それでも被害は後を絶たなかった。

　2005年11月にエヌ・シー・ジャパンは3度目の対策である本人認証サービスを導入する。このサービスは、クレジットカード番号と暗証番号の他にカード会社からカード所有者本人に通知される決済用のパスワードだ。これにより、仮にクレジットカードをスキミングされてカード番号と暗証番号が抜かれてしまっても、課金に使われてしまう可能性は極めて少なくなる。その後は成りすましによる被害報告は1件も受けることは無くなったという。

　天野氏はこの結果を踏まえ「リネージュ」から姿を消した不正ユーザーはそのまま他のオンラインゲームに不正利用の場を移してしまったと推測する。そこでエヌ・シー・ジャパンは他のパブリッシャーに対しても同様の本人認証サービスの導入を提案した。カード業界からパブリッシャーに対する要請も強くなり、認証サービスが破られ不正な課金が行なわれた場合の免責契約も可能となった。

　このサービスを導入したエヌ・シー・ジャパンでは、年間数千件にも上る不正アクセスへの対応に約5千万円のコストがかかっていたが、2006年では200件以下に抑えられたことで、そのコストは約1千万円と大幅に下がったと報告された。天野氏は成りすまし被害も含めた不正に対しパブリッシャーがとるべき対応として、対処療法を積み上げていくだけでなく、アクセス履歴のログ解析や自社内での監視体制など枠組みからいち早く刷新し、ユーザーの不安を取り除いていくべきだと結んだ。

　成りすまし課金によって売り上げが消失する事態を運営会社が克服した事例は興味深く、ゲーム業界も含めて、クレジットカード決済を採用する様々なサービスにおいても注目されるところだろう。日本や欧米でサービスされるオンラインゲームにおいては、クレジットカード決済は主要な決済手段だ。しかし、不正に偽造されたカードが多く流通しているとされる東アジア・東南アジア地域では、そのセキュリティ上の懸念から課金手段として採用されないケースもあり、パブリッシャーからユーザーに利便性を提供されるメリットとリスクのバランスが取りにくくなっているのも事実だ。今後どのような対策が行なわれていくか注目したい。

今後起こりうる問題として、無料アカウントの大量取得や海外からのアクセスを中継するといった事例に対応する法令を紹介。告発してから警察に捜査令状がおりるまでの数カ月間、ISPへログの保存などを要請することになる
1枚400円程度で入手可能な偽造クレジットカード。不正ユーザーはひとつのゲームで対抗策が講じられても、他に移動するだけだ。移動先はゲーム会社に限らずISP料金への利用など様々。他業界団体や政府を巻き込んだ抜本的な改革が望まれる

■　掲示板のコメントによる誘導や罠サイトなどで、特定のゲームアカウントを狙うトロイの木馬

BBAセキュリティ専門部会部会長であり、ウェブルートソフトウェア株式会社テクニカルサポートディレクター野々下幸治氏

オンラインコミュニティのユーザーはそのネットの親和性により狙われやすい

　「オンラインのアカウントを狙ったトロイの木馬の現状」という講演を行なったのはBBAセキュリティ専門部会部会長であり、ウェブルートソフトウェア株式会社テクニカルサポートディレクター野々下幸治氏だ。

　現在ネットワークを悪用しようとする「攻撃者」のモチベーションは「金銭」に集中し始めている。かつて興味本位や個人的な名声を求めていたハッカー達は、今や専門家とそしてそれを利用する組織の犯罪に変わりつつある。ユーザーのアカウントを盗み出し、直接的、間接的に金銭を抜き出す。特にネットによる金銭が動く現在、利用価値そのものが向上している。

　野々下氏はそうした犯罪者にとって、オンラインコミュニティユーザーはターゲットにされやすいと語る。なぜならそういったユーザーはネットワークに接続している時間が長く、ネット環境が整っていて、慎重さにかけ、セキュリティ意識の低い若年層が多いからだ。アカウントが盗まれる最もポピュラーな手口は、迷惑メールの中にURLを書き込み、そこへ行った不注意なユーザーにトロイの木馬を使って様々なマルウェア(悪意あるプログラム)をインストールさせる。

　トロイの木馬の配布は巧妙化しているという。有名サイトをハッキングして訪れるユーザーのPCにウィルスを仕込んだり、あるプログラムを1,000クライアントにインストールさせれば80ドル、といったアフィリエイトによって配布される例もある。SNSの動画に仕込むという手段も報告されている。

　日本でもトロイの木馬の配布は数多く見られている。掲示板などに興味を持ちそうな言葉と共にリンクが張られており、そこからインストールされるという仕掛けや、「罠サイト」へ誘導する掲示板の書き込み、IFrameタグを使いサイト閲覧と同時にトロイの木馬が配布される。さらにトロイが仕込まれたユーザーが自身のホームページをアップデートした際、そのページまでトロイ配布ページになってしまう。また、必ずしもアンチウィルスソフトがすべてのソフトを検知してくれるわけではないという問題もある。

　マルウェアには地域ごとに特徴があり、ホスティング先としてはヨーロッパでは東ヨーロッパ、アメリカ周辺では南米、アジアでは中国が多いという。また性格としてはアジア圏はオンラインゲームをターゲットにしたものが多く、アメリカでは特定のサイトにアクセスしアフィリエイトによって利益を得る、というソフトが多いという。

　スパイウェアは国の壁を越えて浸透している。日本人のアカウントを狙うトロイの木馬はほとんどが中国、台湾などの海外でホスティングされている。「このセキュリティソフトを入れてください」といってスパイウェアを埋め込むような偽セキュリティソフトの日本語版が海外で作られているという。

　犯罪行為そのものはグローバルであるが、特定の国のユーザーやアカウント情報を狙うということはローカルである。正規のソフトを装い広告のように見せかけたり、コミュニティが使う掲示板にリンクを張ってきたり、正規のページに見えるところの裏に仕込まれていたりと、配布の手法は巧妙化している。

　ユーザー側ができる対策としては、セキュリティパッチを当て、掲示板などのリンクには注意する。自分のログイン履歴もチェックし、使っていないときにパソコンが勝手にログインするようなことがないかを調べておくことも有用だ。パスワードを定期的に変更するなど、いくつかの手段はある。

　業者側は2要素認証などユーザー認証機能を強化し、利用者へセキュリティへの教育や啓蒙を行なっていく。ユーザーの異常行動を検知するような対策も必要だろう。野々下氏は特にオンラインゲームなどのユーザーの「ログイン履歴」をユーザー自身に知らせるシステムは実現可能ではないかと提案する。ユーザーはそのログを見て、自分が覚えていない時間にログインしているようなことを発見するかもしれない。自分のアカウントが盗まれているかを監視するには有用な手段だ。

　野々下氏の講演では、特に実際のトロイが仕込まれていサイトと手口の紹介は背筋が寒くなった。ユーザーの掲示板に貼られたURL、一見ファンページに見える罠ページ、特にオンラインゲームユーザーは少しでも情報を求めてネットサーフィンをする、それこそ、特定の国、特定のゲームアカウントを盗み出そうとする攻撃者にとってターゲットを絞り込む手段になりかねない。

　ユーザーが限られることで世間ではあまり騒がれないかもしれないが、ユーザー自身の脅威は大きい。また、攻撃者は簡単に亜種のトロイを作れるのに対し、防御側はその手段1つ1つを調査し、対策していかなくてはいけない。

　セキュリティソフトの普及とユーザーのリテラシー向上によって、ネットの危険性は以前より減ったかのように筆者は思っていたのだが、実際には自分も気がつかずに何かされてしまっているかのような不安な気持ちになった。どのような脅威があるかをまず知り、きちんと対策をしていくことの重要さを改めて強く感じた。

「SecondLife」ではネズミ講を勧誘するような広告が設置されていることも	トロイの木馬はより悪質なマルウェアをインストールする働きがある	有名サイトがハッキングされ、トロイが配布されるような事件も
日本でのトロイの配布と、感染による広がり。掲示板の何気ない書き込みやユーザーを装った罠ページなど、インターネットが改めて恐くなるような巧妙な手段で配布が行なわれている
メーカー、ユーザーともに問題に対処する意識の高さが求められている。すでに悪意のある犯罪者が活動していることを認識し、警戒しなくてはならない

■　セキュリティの弱点は「人」、警視庁の立場から、改めて基本の対策の大事さを説く

警察庁生活安全局 情報技術犯罪対策課課長補佐 安部真氏。警視庁の最新のデータを使って現在のサイバー犯罪の傾向を紹介した

不正アクセス後使用されたサービス。オンラインゲームのアカウントを狙う事件も増加している

　「サイバー犯罪の現状と対策」として警視庁のサイバー犯罪の統計をもとに講演を行なったのは、警察庁生活安全局 情報技術犯罪対策課課長補佐 安部真氏だ。安部氏は最初に犯罪者にとって、サイバー空間は、身分を明かさず、証拠も残さず、国際的な規模で行なう事ができる空間だ、と語る。しかも被害は広範囲に及ぶことが多いという。

　オークションやワンクリックによる詐欺、ネズミ講や知的財産の侵害や誹謗中傷など、サイバー空間を舞台とした犯罪の他、自殺サイトや爆発物の作成情報、違法品の売買、わいせつ画像など「情報」そのものも有害なものが出回っている。手口も複雑になり、フィッシングサイトを作ったり、スパイウェア、ボットなどのプログラムを配布するといったことが行なわれている。ネット利用は年々増加しており、潜在的な脅威は一層大きくなっている。

　警視庁の資料からは最近のサイバー犯罪状況が見えてくる。ネットワーク利用犯罪の検挙状況は平成13年では1,000件ほどだったが、18年では4,000件近くになっている。詐欺で検挙される例が多く、詐欺の83%がネットオークションによるものである。不正アクセス行為の動機としては、60%が不正に金を得るためであり、30%がオンラインゲームで不正操作を行なうためだ。

　不正アクセス後に利用されたサービスとしてはインターネットオークションが全体の56%、オンラインゲームが32%である。不正アクセスをするために行なわれた犯行としてはフィッシングサイトによって情報を得たものが31%、スパイウェアによるものが28%、利用者のパスワードの管理の甘さにつけ込んだものが25%、知人や元従業員によるものも7%ある。オンラインゲーム管理者の不正アクセスや、課金アイテムをだまし取るといった事件も多くなっている。

　安部氏は実際に検挙された事例としてフィッシング詐欺を紹介。フィッシングによりオークションユーザーのアカウントを盗み出し、彼らのアカウントで架空の出品を行ない詐欺を働いた。この犯行は5名の幹部グループが「闇の職業安定所」ともいうべき場所で実行犯を募り、彼らに電子メールで指示を出す形で行なわれた。9人の実行犯はお互いに面識がなく、だからこそ気軽に犯罪に手を染められたという。

　ここで安部氏が問題にしたいのは、実際の犯行ももちろんだが、企業におけるフィッシング対策だ。金融関係はホームページ場の注意喚起などを行なっているところが多いが、全体の50%を越える企業がなんの対策も行なっておらず、自分たちの組織内の教育も充分ではない。企業の取り組みに対する認識をもう一度正すと共にユーザー自身の注意も必要だ。

　安部氏は「もちろん犯罪を起こす者が一番悪いが、セキュリティの弱点は“人”だ」と語る。パソコンの中にパスワードのデータを入れておく、不用意なメールを開く、内部犯行を許す、こういった事態を未然に防ぐためにこそ、啓蒙が必要だ。アカウント、パスワードの管理をきちんとする、利用状況を自ら管理し、アンチウィルスソフトの導入、OSのこまめなアップデートも行なっていく。

　技術面のフォローももちろん必要だ。ミスや油断の根絶は困難だ。フィッシングなどの犯罪も巧妙になっている。ツールなどはシステム側の不備を突いて攻撃してくる。対処の方法を学び、周囲の人に広め、システム面での対策をして犯罪行為による被害を受けないようにしていく。

　警視庁はサイバー犯罪プロジェクトという体制を整え、各都道府県の警察にも専用の部署を置いている。また、インターネットホットラインといった相談窓口を設け、ウェブサイトによる情報提供も行なっている。コンピューターウィルスが世界中に広がりニュースになった事があったが、現在はより対象を特定した犯罪が行なわれている。

　前述のフィッシング詐欺は100万通の誘導メールを送り、5,800人のユーザーが引っかかりアカウントを知らせてしまった。そのうち2,300件のアカウントが利用され、700のアカウントが売り払われた。現在オンラインユーザーは加速度的に増加している。ネットワークの知識がないユーザーも多い。また、コアなネットユーザーさえ引っかからないという保証はない。警視庁や企業の対策はもちろんだが、ユーザー自身の意識の向上こそ最も求められるサイバー犯罪への対策だろう。

オークション詐欺が大きく増加しているが、児童対象の犯罪も増加率が高い	フィッシングやスパイウェアを使ったものなど、手口の高度化が見られる	オンラインゲームに関連した事件。ニュースで大きく取り上げられたものも
組織的に行なわれたフィッシング詐欺。多くのオークションユーザーが偽メールを信じ、アカウント情報を盗まれた
基本を重視し、かつ問題意識を高く持つ。現在のサイバー犯罪の状況を知り、かつ周囲に知らせることで犯罪に対処していくことが求められている

□ブロードバンド推進協議会のホームページ
http://www.bba.or.jp/bba/
□「アジア オンライン ゲームカンファレンス 2007 東京」のページ
http://www.bba.or.jp/AOGC2007/
□エタシージャパンのホームページ
http://www.ncjapan.co.jp/
□ウェブルートソフトウェアのホームページ
http://www.webroot.com/jp/
□警察庁 サイバー犯罪対策のページ
http://www.npa.go.jp/cyber/

(2007年2月24日)

[Reported by 勝田哲也/三浦尋一]