「アカウントハックに遭ってしまった！」の後編では、筆者のような救われない被害者が存在することに関して、業界団体はどのように考えているのかということを日本オンラインゲーム協会（JOGA）に聞くと共に、大手オンラインゲームパブリッシャーのアカウントハックに対する取り組みについて紹介したい。

　JOGAへのインタビューでは結論として「ユーザーへの対応は各社の判断であり、JOGAとしての統一的な取り組みは存在しない」という、1ユーザーとしては残念な回答しか得ることができなかったが、アカウントハックという明確な犯罪行為に対して業界団体がどう取り組んでいるのか、JOGAがどんな活動をしているのかを聞くことができたので、紹介したい。

　JOGAへのインタビューと同時並行して行なった各メーカーのアカウントハックに関する対応状況については、公式ページ、運営タイトルのページ、サポートページを調べ、表として書き出してみたところ、きちんと対応、注意喚起を行っているメーカーと、不十分なメーカーの違いがはっきりと見えてきた。

　そして最後に、当然の帰結として筆者の過失、反省点についても語っていきたい。メーカーや業界団体の対応を問う一方で、筆者自身の安全対策、そして心構えはどうだったのか、アカウントハックに対して万全だったかといえば反省点は多い。筆者の反省を語り、今後の対応策を考えることで、オンラインゲームファンへの注意喚起になってくれればと思う。

■　増加し、巧妙化する不正アクセスの手口。求められる警察などとの連携、不正アクセスへの理解と対処法

JOGAの不正アクセス分科会の会長を務めるガマニアデジタルエンターテインメント代表取締役社長浅井清氏

JOGAセキュリティワーキンググループ・リーダーのゲームオン取締役オンライン事業本部長萩原和之氏

　JOGAは、首都圏のIT・コンテンツベンチャーを支援する経済産業省の産業クラスター計画の一環として活動した「オンラインゲームフォーラム」を母体とした団体で、オンラインゲーム産業全体の振興を目的として活動している。ゲームポット代表取締役社長の植田修平氏が会長となり、NHN Japan、エヌ・シー・ジャパン、ネクソンなど多くのオンラインゲームメーカーが会員となっている。インタビューでは、現状のアカウントハッキングなど不正アクセス問題に対する現状認識と、JOGAとしての取り組み、警察などとの連携など様々な質問をぶつけてみた。

　今回、話を聞くことができたのはJOGAの不正アクセス分科会長を務めるガマニアデジタルエンターテインメント代表取締役社長浅井清氏と、JOGAセキュリティワーキンググループ・リーダーのゲームオン取締役オンライン事業本部長萩原和之氏のおふたり。

　不正アクセス分科会は、アカウントハックに限らず、クレジットカードの不正使用への対策、アカウントハッキング、セキュリティー関連、さらにBOTなどの不正ツールの使用など幅広い問題を扱っている。そこからテーマ別に取り上げていくのが、「ワーキンググループ」で、参加企業とNDA(秘密保持契約)を結び、現在起きている問題を具体的に取り上げて議論しているという。NDAを交わした上でのディスカッションであるため、残念ながら具体的な内容については公開しない方針だという。

　いちばん最初に質問をしたのは、「ユーザーのアカウントハックの被害に対し、メーカー側から十分な調査・補償が行なわれないのはJOGAとしてどのように考えているのか」というところだ。これに関して、2人の所属組織であるガマニアデジタルエンターテインメント、ゲームオンのケースとしては、ユーザーからの問い合わせにはしっかり対応しており、調査した上で被害が認められたときには補償を行なっているという。JOGAとしてはよりよい対応の「ベストプラクティス」を模索している段階だが、各社に対して強制力は持たせず、対応については各社に任せる方針だという。

　筆者はこのJOGAの回答は満足できるものではなかったが、JOGAの不正アクセス分科会が何もしていないかというとそんなことはない。JOGAが設立された2007年6月時点では「クレジットカードのなりすましによる不正使用」という問題がクローズアップされ、VISAのセキュリティーシステム「3Dセキュア」を採用することで被害を抑えることに成功した実績がある。

　本題であるアカウントハックに関しては、2009年夏から多くなったという。警察の要請によるログの提出もガマニアデジタルエンターテインメント、ゲームオンは積極的に行なっているというが、警察へのログ提出に関しては、最近は国内のサーバーをハッキングして「踏み台」に使っている業者が多いため、ログ提出に協力しても犯人を特定することは難しくなっているという。

　また、ハッキングによるサーバー使用以上に増えているのが、「ホスティングサービス」の悪用だ。サーバーをレンタルできるサービスで、現在は安価で使用できるため、このレンタルサーバーを経由して不正アクセスを行なう手口が増えている。この場合、ホスティングサービスを行なうメーカーに調査を依頼しても、「個人情報保護法」で追跡できない、ということも多い。不正アクセスを行なう犯人は、こういった手口を複数バックアップとして持っていて、仮に不正アクセスを行なっているレンタルサーバーからのIPをブロックしても、すぐに他のサーバー経由で攻撃してくるという。

　巧妙化していく犯罪に対して、最大の防御は「セキュリティーを高めて、アカウントハックを未然に防ぐこと」だ。JOGAでは、同協会が独自に開発したソリューションで、携帯電話のアプリケーションを使用してログイン時にパスワードを発行させる形での「ワンタイムパスワード」の使用を勧めている。

　ガマニアデジタルエンターテインメントはユーザーの負担は携帯電話のパケット代のみという形でこのサービスをユーザーに対して無償提供している。一方、ゲームオンは「ワンタイムパスワード」に先がけて自社でのシステムでパケット代のみユーザー負担の「ワンタイムキー」、そして使用するPCを特定することで他のPCではゲームに接続できなくする「パソコンガード」というサービスも始めている。

　「アカウントハックでは、他社で得たユーザー名とパスワードを他の会社で試す、という手口が多いです。ユーザーは様々なオンラインゲームやインターネットサービスを利用するとき、IDとパスワードを同じものにしている場合が多い。1社がセキュリティーを上げても、他の会社でIDとパスワードを盗用されてしまっては、防げない場合が多いのです。このため、2次認証を設けてブロックする方法は有効だと考えています」と萩原氏は語ってくれた。

　ただ、肝心の警察との連携はこれからの課題だということで、現在は有志による勉強会などで知識の共有を計っている段階だという。ちなみに、現在、不正アクセス関連を扱っているのは、警察の「生活安全課」となっている。この部署はその名が示すように本来家出人の捜索や、窃盗犯などの対応をしているところで、インターネットやオンラインゲームに関する専門部署ではない。いずれも一朝一夕には解決できない問題だ。

　また、オンライン上の問題にも関わらず、相談の仕方によって担当する地域も変わってしまう。ユーザーが被害を届ければユーザーの住んでいる地域の問題となるが、オンラインゲーム会社の資産の場合は、被害届はサーバーのある場所になる場合もあるという。近年インターネット犯罪を取り扱う「サイバー課」が各地方を担当する警察庁で開設されている。しかしオンラインゲームへの理解度は各地、そして担当者でバラバラというのが現状だ。足並みの揃わない現状から、警察としてJOGAが求められているのは、繰り返しになるが「まず犯罪そのものを未然に防いでくれ」ということだ。JOGAでは「ワンタイムパスワード」等でセキュリティーを上げると共に、警察との連携・情報の共有なども進めていく方針だ。

　今回のインタビューで、JOGAの活動、問題に対しての姿勢は見えてきたが、その一方で、実際に被害に遭った人達への補償がメーカーによって全く違うという実態が存在する。これについては、「ユーザーへの啓蒙なども含めてベストプラクティスを現在作成しているところ」だという。

　浅井氏は「ベストプラクティスに関しては、今のところ、提案レベルで、強制する方向では考えていませんし、公表する予定もありません。JOGAは会員企業が集まり、よりよいサービスを模索していくという目的で活動していますが、各社によって状況と経営理念は異なっています。ここは1つずつ整理しながら、改めて問いかけていきます。強制力を持って、守れない企業は除名するなど、ペナルティーを課すような性格のものではないんです。現時点で我々ができること、考えることは、各企業の情報共有と、問題対応への筋道作り、問題に対しての解決策の模索と、問いかけです」と語った。

　ユーザーへのメッセージとして浅井氏は「ユーザーさん自身が何か問題があった部分、何か被害に遭われたときに、何も言わずに終わってしまうのではなく、オンラインゲーム会社へきちんと報告してもらいたいと思います。声を上げていただくことでオンラインゲーム会社の気がつかなかった部分が明らかになる場合もあるかもしれません。すぐに解決できない問題もありますし、JOGAとして個人情報をお預かりできないので、各企業を通じて考えその動きをサポートしていきたいと思います」と語った。

　萩原氏は「お客様ご自身も、IDとパスワードだけでは、不正アクセスから身を守ることが難しい、という現状をご理解いただき、ゲームオンの携帯ワンタイムパスワードなどメーカーが提供するセキュリティー対策に積極的に協力いただければと思います。我々JOGAとしても、そういったセキュリティー対策をできるだけ安価で、企業側に提案していきます。最近の家は、1つだけでなく、2個、3個と鍵をつけるドアがありますが、ユーザーさん側も同じ感覚で、不便とは思いますが自分のIDに2つ目、3つ目の鍵をかけていただけたらなと思います」と語った。

■　各社の対応を比較。被害者に対してオンラインゲーム会社の対応・姿勢が明らかに

ネクソンは不正アクセスに関して、「よくある質問」で取り上げ、他にもユーザーの危機意識を高めるページも用意している。ただし、不正アクセスに対する被害に関しては特定や確認はせず、第3者が使ってもユーザーが使用すると見なしているという。アカウントハックにあっても保証は得られない規約となっている

今回調べた中で、最も細かく、具体的にユーザー、メーカーの対応が説明されていたガンホー・オンライン・エンターテイメントのページ。運営の姿勢、取り組みがわかりやすく説明され、被害に遭ったユーザーが何をすればいいのかもわかる

　続いてメーカーに視点を移したい。JOGAの安全な環境をユーザーに提供するための活動は、今後も期待していきたいところだが、しかしその一方で、アカウントハックに関してメーカーへの直接的な働きかけは行なっていないという。このためアカウントハックが発生した際の対応はメーカーごとにまちまちとなっている。それでは実際に、どのくらい違っているのだろうか。というわけで早速各社の対応状況を調べてみた。

　今回の調査で、最も感心させられたのがガンホー・オンライン・エンターテイメントの「ラグナロクオンライン」だ。プレイガイドにアカウントハッキング専用のページがあり、概要から、被害に遭わないための対策、そして被害に遭った場合にはどうすればいいかを詳細に説明している。調査に関しては、ユーザー、メーカー、警察の関係を図式化し、ユーザーがやるべき事、サポートが答えられることを提示している。サポート向けに必要な情報だけでなく、警察に対してもどういった情報を出せばいいかを提示している。さらにガンホーは「補償」に対してもきちんと言及している。警察の捜査が完了し、アカウントハックが確定した時点で、“データの復旧”が行なわれるという。専用のFAQで「ガンホーが何をしてくれるか」も具体的に説明している。すべてのオンラインゲームメーカーはこうあるべきだと思う。

　このガンホー・オンライン・エンターテイメントの「ラグナロクオンライン」での対応を基準として、他の会社はどんな対応をしているかを調べてみた。今回取り上げたのは、スクウェア・エニックス、コーエーテクモゲームス、ガンホー・オンライン・エンターテイメント、シーアンドシーメディア、エヌ・シー・ジャパン、ガマニアデジタルエンターテインメント、ゲームポット、ゲームオン、エレクトロニック・アーツ、NHN Japan、ネクソン、カプコン、セガ、バンダイナムコオンライン、ハンビットユビキタスエンターテインメントという15社。メーカー公式ページやゲームタイトルページからユーザーに対してどのような対応を行なっているかを比較してみた。タイトルに関してはメーカーでサービスしているタイトルのいくつかを比較し、もっとも詳しく書かれているページをピックアップした。

　不正対策ページという項目は◎、○、△、×で評価している。◎はアカウントハックを含む不正対策ページがあり、かつ防犯のための対応策をきちんと説明しているページだ。○は不正対策ページがあるか、防犯対策に関する十分な説明があるページとした。他のページに比べて情報がわかりにくい、ほとんど言及されていない場合は△とした。また、今回は該当するメーカーはいなかったが、説明のない場合は×となる。それでは以下、各社の対応状況を見ていきたい。

　総合評価で同率1位となったのがスクウェア・エニックスとコーエーテクモゲームスの2社だ。両社ともサポートページに不正アクセスへの対処法や被害が確定した場合の補償が明記されており、警察への対応もきちんと書かれている。「信長の野望Online」では警察への相談の際の提出資料も運営側が準備することが記され、不正アクセスが証明されれば補償が行なわれる。電話対応してくれる点も助かる。

　上記2社に次いで優れているのがガンホー・オンライン・エンターテイメント（「ラグナロクオンライン」）とシーアンドシーメディア（「完美世界」）。不正対策対応ページは、情報、サポートとして充実しており、不正アクセスが証明できれば補償される旨がかかれていた。ただし、電話対応は行なっていないのが残念だ。

　エヌ・シー・ジャパンの「リネージュII」のページでは、アカウントハックに対する専用のサポートページがあり、プレーヤーのアカウントを調べて、アカウントハックに遭ったかどうか調査すること、アカウントハックが確定した場合には補償を行なうこと、ユーザーの同意を得た上で警察に連絡することなどが書かれてある。NHN Japanの「ドラゴンネスト」はアカウントハッキングに対して注意を喚起、警察への連絡を推奨しているものの、補償に関しては書かれていない。ポータルサイトの「ハンゲーム」では不正アクセスの通報を「緊急ボタン」のイラストでわかりやすくしており、連絡しやすくなっている。電話応対に関しては、ハンコインに関してのみ問い合わせを受け付けている。

　ガマニアの「ルーセントハート」は、お知らせで補償を行なう旨が書かれている。不正アクセスは専用の調査依頼用のフォームも用意されており、構成としてもとても見やすい。警察への対応は短いながら触れられている。ゲームポットの「ラテール」はお知らせページで不正アクセスの補償について言及している。ただしこのページに関しては2009年7月9日周辺の実際に起きた何らかのトラブルへの対応のようで、「7月9日（木）18:00以降に1度『パスワードの変更』を行なわないと、ゲームにログインできないという認証を実装いたしました」という非常に思い切った対応をしている。他に不正アクセス専用のページなどはなく、サポートの「良くある質問」にも不正アクセスや、アカウントハックといった文字はなかった。

　ゲームオンの「Soul of the Ultimate Nation」は、「お問い合わせ」にアカウントハック専用のページがあり、きちんと対応していることは確認できたが、実際に被害に遭った時に参考にできる対応ページというものはなかった。補償に関しては、特設ページなどで明記されておらず「運営方針」で補償を行なう旨が書かれている。他には、ゲームオンのポータル「ゲームチュー」では不正アクセスを防止するためのサービス「ワンタイムキー」と、「PCガード」を積極的に奨めているのが特徴だ。

　セガの「ファンタシースターユニバース イルミナスの野望」は、メーカーに対して不正アクセス被害があったため、「ラテール」と同じようにパスワードの全面的な変更を行ない、お知らせでアカウントハックに遭わないためのパスワード設定、セキュリティー対策を紹介している。カプコンの「モンスターハンターフロンティア」は「初心者ガイド」でセキュリティーに関しては細かく紹介しているが、実際に被害に遭った人が参考にできるようなページはなかった。

　バンダイナムコオンラインは「ガンダムネットワークオペレーション3」の利用規約のプライバシーポリシーでIDの注意喚起を行なっているが、言及ページはない。ハンビットユビキタスエンターテイメントの「グラナドエスパダ」は不正アクセスが増加していることを警告しているが、補償などの言及はなかった。ハンビットユビキタスエンターテイメントのサポートページでは、質問の受付・対応時間の表記も確認できなかった

　エレクトロニック・アーツの「ウルティマオンライン」は専用ページが作られ、メーカーができること、できないことが書かれており、警察への届け出も書かれているが、調査・被害の補償は行なえないとしている。ネクソンはポータルのページで、不正対策、ユーザーへの注意喚起などは専用のページも作っている。ただし、前編でも詳しく紹介したように、不正アクセスの被害にあって、ユーザーサポートに連絡しても、その調査結果はユーザーにも知らされず、補償も行なわない。

　今回調べただけでも、補償の有無、ユーザーへ注意を促すための専用ページ、もし被害にあったときのガイドラインなど、各社によって大きな違いがあることがわかった。もちろん補償すると明記しているメーカーでも、「不正アクセスにあった」というユーザー全てが無条件に損害を回復できるわけではないだろう。それでも、ユーザーが今するべき事、再発しないためにはどうすればいいかをきちんと説明していないメーカーは、ユーザーサポートが十分だとはいえない。早急の対応が必要だと感じた。

　運営会社、そして時にはタイトルごとでもポリシーや対応は変わってくると思うが、プレーヤーは「コンテンツ」を気に入っているからこそオンラインゲームをプレイするのであり、自分がプレイしているゲームでは、安心できるサポートを受けたいと思っている。犯罪被害に対して、突き放す対応は、そこに本当にユーザーと、サービスへの配慮があるのか問いかけたい。メーカーにはユーザーが本当に安心できる体制、アカウントハックという「犯罪」に巻き込まれたときの、丁寧なよりユーザー側に立ったサポートをしてもらいたいと思う。今回の記事がユーザー・メーカ共に「サポートのあり方」を考える上でのきっかけになって欲しい。

左からスクウェア・エニックスの「ファイナルファンタジーXI」、コーエーテクモゲームスの「信長の野望Online」、エヌ・シー・ジャパンの「リネージュII」の該当ページ。不正アクセスはサポートからわかりやすく、対応のページが作られている。補償に関しても触れられている。比較すると「リネージュII」は警察への連絡などがページで触れられていない

■　筆者の最大の反省点は同じID・パスワードの利用。被害を繰り返さないために学んだこと、気をつけなければいけないこと

ゲームオンでは、ワンタイムキーに加え、ゲームにログインするPCを限定する「パソコンガード」といったセキュリティーサービスも提供している

　ここまではメーカーや業界の対応を紹介してきた。ここからは、自身への反省も含めてユーザーのひとりである筆者の対応を紹介したい。

　まず、IDとパスワードが漏れてしまった可能性については、十分あったと考えている。というのも、今回アカウントハックに遭った筆者の最大の落ち度は、仕事上様々なオンラインゲームをプレイしているが、それらで作成したユーザーアカウントと同じID、同じパスワードを、「ネクソンID」にも使っていたからだ。パスワードの定期的な変更も怠っていた。このため、いずれかのタイミングで筆者のIDとパスワードが漏れてしまっていて、それが使われてしまった可能性は大きい。今回、事件にあったときパスワードを変更し、その後も数カ月に1度は変えるようにしている。

　次にウィルスによる可能性はどうだろうか。ハッキングはコンピューターウィルスによる物も考えられる。筆者はハッキング被害に遭う前からアンチウィルスソフトを入れ、ファイアーウォールを設定し、1週間に1度ウィルス検査も行なっている。怪しいメールの添付ファイルを開けたこともないし、ウィルスに対しては注意をしてきたつもりだ。Windowsアップデートは自動アップデートに設定し、それ以外にも定期的に手動で確認していた。しかし、「安全性が確実なサイトだけを閲覧しているか」といった点など、安全対策において万全か、という意味では自信がない部分がある。

　メーカーの安全性を高める動きに呼応していたか、という部分では、6月30日に強制施行した、アカウント登録時のメールアドレスを確認する「メール認証サービス」はもちろん利用したが、ログイン画面で使えるソフトウェアキーボードは使用していなかった。仕事で未知のサイトにアクセスし続ける以上、ソフトウェアキーボードは使うべきだった。ネクソンではまだワンタイムパスワードは導入されていないが、導入されればすぐ使いたいと考えている。

　後は自らの経験からいくつかアドバイスすると、もし被害に遭った場合は、きちんと警察にも連絡することが重要だ。アカウントハックという犯罪が行なわれていること、被害者がいること、それをきちんと主張しなければ犯罪そのものがなかったことになってしまう。現状ではまだまだ犯人は捕まりにくく、被害者は救済されにくい状況だが、事態の進展のためにも警察の理解と協力をしっかり求めていきたい。

　今回、筆者が遭遇したアカウントハックに対して、なぜ納得いく調査が行なわれず、補償が得られないのか、という社会に対する一種の憤りからスタートした取材だが、実際に取材を重ね、リサーチを継続していくことでメーカー側も様々な対策・施策を行なっていることがわかった。今回、あえて苦言を申し上げたネクソンについても、今後サポート体制の見直しをしていく予定だという。

　また、警察との連携強化への模索もされているという。各社のサポートを比較すると、注意喚起は多くのメーカーで行なっており、きちんとした手順を踏まえれば補償・調査を行なっているメーカーもあることがわかってきた。その上で、「2度と被害に遭わないために、安全対策が必要だ」ということを強く感じた。筆者自身まだやれることはたくさんある。

　オンラインゲームは「日々の積み重ね」がゲームの面白さを増してくれる。ゲーム内で過ごした時間が大切な思い出となり、ゲーム内の資産はその思い出を補強してくれるものだ。アカウントハックは、そのすべてを無残にも奪ってしまう重罪であり、関係団体、メーカー、ユーザーが一丸となって克服すべき課題だと思う。

　自分のアカウント、キャラクター、資産は現在様々な脅威にさらされており、メーカーは対応を急ぎ、ユーザーも防犯意識を高めつつあるものの、それでも完全に安全な状況を作ることは難しい。今回、自分自身にも過失があった筆者が提言できることではないかもしれないが、求められるのは“犯罪のやり得”を許さない、警察と一体となった全面的な調査協力と、長年培ってきた掛け替えのない思い出を失わないための被害補償の2つだと思う。もちろん、筆者も含めユーザー自身の防犯意識ももっと高めていくことが前提となる。今後も必要十分な注意を払いながら楽しいオンラインゲームライフを歩んでいきたいと考えている。