価格：ベルサール神田

　「OGC 2008 (Online Game & Community servide conference)」にて開催されたセッション「お客様保護の観点から見たオンラインゲーム 最新不正対策事情とその対策費の実情」にて、株式会社パーソナル・チェック代表取締役の天野浩明氏が講演した。

　天野氏は昨年のAOGCでは、エヌ・シー・ジャパン株式会社のアドミニストレーションユニット セキュリティ担当として、「リネージュ II」などのセキュリティ対策について講演している。今年はオンラインゲームにおけるセキュリティのコンサルティングを行なうパーソナル・チェックの代表として、同社に寄せられた相談案件のデータをもとに、不正対策の現状について語った。

　天野氏は講演の冒頭、「不正対策にお金をかけすぎなのか、かけていないのかという質問が多くなっている。そのあたりを掘り下げてお話したい」と切り出し、かなり具体的な数字も出して説明をしていった。

　同社に寄せられる不正対策に関する相談内容の傾向は、数カ月単位で変わってきているという。以前は「不正対策はどうすればいいか」というものだったが、ここ最近では、「今こういう対策をしているが効果が薄いので、もっと効果を上げるにはどうすればいいか」という話が増えているそうだ。「98%の事業者で不正対策を実施中だが、どこをどうすれば効果が上がり、どこに対策をするのかが難しいのでは」と天野氏は語っている。

　それに対する答えとしては、「対策に順位付けをすることが大切だ」という。一言に不正行為といっても、不正アクセスやなりすまし、BOTやチートなども不正行為とくくられる。「どれもこれもいっぺんにやっても難しい。まず何からやっていくのかという優先順位付けをする必要がある」としている。

　ここで第1に考えるべきだとされたのが、講演タイトルにもあるお客様保護。ユーザーのID/パスワードを盗まれないようにするにはどうするか、BOTやチートをどうするか……と順番に対応していく。1つずつ確実に対処していくことはもちろん「ユーザーの声を聞いて重点を決めていくので、ユーザーが求めるものがよく耳に入るようになる」という副産物もあるという。

企業の不正対策が進んでいるにも関わらず、件数が減っていないのは、若年層によるソーシャルエンジニアリングが原因として考えられる

　次に、総務省が発表した2007年の不正操作事案(なりすまし)に関する件数のデータを公開した。2007年度は246件で、2006年度の257件からあまり変わっていないという。上記の通り、大半の企業において不正対策を導入しているにも関わらず、不正事案件数が大幅には減っていない。

　この要因として考えられるものには、「対策が後手に回り、常に新しい手口が出てくる」、「対策が追いつかない」、「対策費予算が取れない」といったものが挙げられた。企業としても難しい問題ではあるのだが、天野氏はここで目線を変え、「不正行為が『オンラインゲームだからしょうがない』、『このゲームだからしょうがない』という声がお客様から上がりだしたら末期的。これで被害報告が減ったら、ユーザーが減っているのでは。こういったことがないかを今一度考えてみていただきたい」と警鐘を鳴らした。

　続いて最近の不正行為の手口についても紹介された。不正行為というと、ハッキングやウイルス、バックドアによるID盗用がイメージされるところだが、実際に相談件数が多いのは、ソーシャルエンジニアリングだという。これは友人や家族など、実社会で繋がっている人が、入力を盗み見たり、IDとパスワードが書かれたものを見たりすることで発生するアカウント盗用である。

　中でも、中高生などの若年層が面白半分でやってしまい、罪になっているというケースがほとんどで、友達にID・パスワードを教えたり、友達が知っているIDやパスワードをゲームで使って不正アクセスされた、というのが最も多い事案だという。他にも、ゲーム内で信用していたキャラクタにIDを教えたことで被害にあうこともある。天野氏は「こういう事例は以前からあるが、一向に減らない」と語った。

　これはゲーム会社に非があるとはいえないが、事実トラブルがあり、被害者から報告が上がる以上は放置できない。これに対する一番の対策は、ユーザーに対してより強い啓蒙活動をすることだという。さらに天野氏は、「啓蒙活動を積極的に行なことにかかる経費は年間何百万。件数が減る確率は一番高い。根本的な経費が減り、これまでかかっていた経費を圧縮できる。今以上に啓蒙活動を強化していただくのがコストパフォーマンスがよく、根本的解決につながる」と、その重要性を強調した。

　不正対策には、ほかにもワンタイムパスワードやセキュリティカードの導入、不正対策チームを置く人海戦術などが考えられる。ただこれらの対策について天野氏は、「不正行為も日進月歩で、完璧な対策はない」という大前提を立て、「うまくバランスをとりつつ効率よく対策をすることが重要。中小のゲーム会社は、人や予算が取れないというのがほとんどだと思う。とっかかりとして啓蒙活動やログ解析から入っていかないといけないのかなと思う」と述べた。

　不正対策のまとめとして天野氏は、「ファイアウォールやウイルス対策のように、入ってくるものを排除するシステムは、ゲーム内の不正アクセス事案については100%はできない。お客様が家の鍵を持っているようなもので、どんな鍵を用意してもそれを誰かに渡したら入られてしまう。お客様の根本的な意識を変えるのが大切」と述べ、啓蒙活動の重要性を再度強調した。

ソーシャルエンジニアリングによるID盗用が、特に若年層で増えているという。「他人にわかるところにパスワードを書かない」、「他人にパスワードを教えない」といった実に当たり前のことを、若年層ユーザーにまで周知させることが求められている

不正利用者の心理にまで踏み込んだユニークなソリューション。セキュリティの観点から全容は語られていないが、その仕組みから考えれば非常に強力なものであることが推察できる

　次に、「セキュリティ対策の観点からは詳しくお話できませんが……」と前置きされた上で、パーソナル・チェックが持っているセキュリティソリューションが紹介された。地域認識技術とログ解析を組み合わせた手法で、確実に不正利用者を判別できるものだという。

　現在の不正アクセス対策は、ユーザーが不正アクセスをされて、その報告があってから対応するのが一般的。しかしこのシステムでは、運営側は事前に不正アクセスされている該当アカウントをピックアップできるという。また「ある一定の動きをする行為をピックアップするシステムがある。やましいことをする人間は特徴的な動きをする」という面白い発想も組みこまれている。これにゲーム内ログと地域認識技術を組み合わせて判別するのだという。

　天野氏は「不正アクセスと、約款上の不正利用者という2点に対して効率よく対応できる。また現場対応では、GMの長年の勘が役に立つもの。このシステムならそういうものが必要ない。新人でも効率よく対応できる」と、特徴をアピールした。

　次に不正対策費について、いくらぐらいかければいいのかという指標として、同社が調査した企業のセキュリティ対策費とユーザー数の具体的な数字をグラフ化したものが提示された。1万ユーザーならば年間1,000万円程度で、ユーザー数が増えるごとに対策コストが上がる。特に10万ユーザーに近づく辺りから対策費がかさむ傾向があるという。天野氏はこの要因として、「盗むほうからすれば、言葉は悪いが『カモがたくさんいる』という風に見える」と語った。

　費用対効果については、アイテム課金ベースでは40%前後、月額課金では20%程度の効果があるとした。「お金をかけても100%の対策はできない。ゲームでアイテムを他人に渡せないとか、同時接続数によっても変わるが、これくらいの数字が普通。自社の不正対策がどの程度の効果があるのかを計算してみてほしい」と述べた。

　最後にまとめとして、「不正対策においては、お客様が安心していただける環境を作ることが大切。また不正行為は犯罪。その証拠になるのはログだけなので、日頃からログを確認するようにすべき」と語った。締めとしては随分当たり前な話であるが、それを手抜きなくやることが大切だということなのだろう。

　ユーザーへの啓蒙活動というのは、ウイルス対策とも似たところがある。いくらOSがアップデートされ、優秀なウイルス対策ソフトが登場しても、ユーザーが全く関心を持っていなければ、アップデートもされないし対策もされない。いくら企業が努力しても完全には防げない問題であることを理解し、ユーザー自身が警戒しなければならないことを知っておく必要があるだろう。

セキュリティ対策費は「これだけかければ大丈夫」というものではない。現状いくらかけていて、どの程度の効果が上がっていて、ユーザー数に合っただけの対策を取れているのか、きちんと分析するべきだと天野氏は述べている

□OGC 2008のホームページ
http://www.bba.or.jp/ogc/2008/
□パーソナル・チェックのホームページ
http://www.personalcheck.jp/
□関連情報
【2007年2月24日】巧妙化する犯罪行為、狙われるユーザーアカウント
求められるユーザの意識の向上と、メーカーの対策
http://game.watch.impress.co.jp/docs/20070224/security.htm

(2008年3月15日)

[Reported by 石田賀津男]