【特別企画】すべてのモバイルゲームアプリはチートされている！

　「すべてのモバイルゲームアプリはチートされています」。といったらあなたは信じるだろうか？　にわかには信じがたい話を力説するのはセキュリティソリューションを本業とするサイファー・テックだ。

「モンスターストライク」もハッカーに狙われたタイトルのひとつ。「モンスト」のみならず人気タイトルはもれなく狙われ、大小の被害を被っている

PC向けMMORPGで使われていたチートツール

　サイファー・テックは、2014年12月より、ゲームアプリのチートを防ぐための法人向けコンサルティングサービスを開始した。現在は、大手モバイルゲームメーカーを含む数社とクライアント契約を交わし、未発表の新規タイトルにおいてフルスクラッチでチートに強いゲームアプリの開発を手助けしているという。

　ところで冒頭の話、筆者が聞き返したところ「本当です」という。それならばと言うことで、モバイルゲームのチートの実態を取材することにした。

　小手調べに、担当者に言われたとおりにYouTubeやTwitterで検索するといくらでもチート映像が出てきた。罪の意識は微塵も感じられず、底抜けに明るく、ファミコン時代の“裏技”感覚に近い。ひたすらカジュアルな感じでチート行為が行なわれていることがわかる。試しに、「有名タイトル Android チート」で検索してみてほしい。情報サイト、YouTubeによる映像説明までいくらでも出ている。この事実をひとつもってしても、いまのモバイルゲームがどれだけチート天国かがわかる。

　話は少し脇道にそれるが、チートと言えばMMORPGという印象を持つ人も多いだろう。ネイティブアプリ仕様のモバイルゲームがまだ5年ほどの歴史しかないのに対し、クライアントサーバー型のMMORPGは20年近い歴史を誇る。その20年はまさにチーター（不正行為利用者）との戦いの歴史といっても過言ではなく、その戦いは現在進行形で継続している。（一例、「ファイナルファンタジーXIV」、「ドラゴンクエストX」）

　MMORPGをプレイしたことがある人なら、誰でも1度や2度は、同一アイテムが大量発生（アイテム複製）したり、本来あり得ない軌道でワープする（スピードハック）、信じられないような大ダメージを与える、無敵になる、姿を消すといったチート行為を見聞きしたことがあるのではないだろうか。チーターはプログラムのわずかな隙を突いて侵入し、その一部を改変し、自分だけゲームを有利に進める。

　オンラインゲームは、クライアントとサーバー間でデータのやりとりをしてゲームを進行させるという構造上、ハッキングが避けられない。まったく外とのデータをやりとりしていないサーバーですらハックされる時代、決して破られないセキュリティを構築するのは不可能に近い。

　しかし、堅牢なセキュリティを備えたオンラインゲームは確かに存在する。セキュリティ意識の甘いオンラインゲームと、堅牢なセキュリティを備えたオンラインゲームの違いは、ウィークポイントを自覚して対策を施しているかどうかだという。“ハッキングのプロ”が見れば、それは一目瞭然で、堅牢なセキュリティのプログラムに遭遇した場合、費用対効果を考え、よほどの執念に燃えたハッカーでも無い限り、退散するという。つまり、ハッキングは彼らにとって経済活動の一環であり、費用対効果に見合わないことはしないわけだ。

　翻って本題であるモバイルゲーム時代のハッキングはどうなっているのだろうか？　サイファー・テックの調べによれば、モバイルゲームは、ユーザーの母数が多く、メーカー側がチート行為なのか、正常のプレイの範囲なのかが判別できないことが非常に多くなっているため、結果としてチートの被害額は多くなっていると見ている。

　モバイルゲームのチートというと、モバイルゲーム勃興期の2012年に「探検ドリランド」（グリー）におけるレアカードの無限複製、直近では2014年の「モンスターストライク」のドロップモンスター変更チートなどが大きな話題になったが、有料通貨やレアカードの複製といった現金に直結するようなクリティカルなチート行為はほぼなくなっており、現在主流なのは、クライアントサイドだけで完結するチートだという。このチートは様々なパターンが存在するが、最も多いのが、バトルの開始時と終了時のみデータのやりとりをするゲームで、バトル内容をチートするというものだ。

　このチートを利用すると、レベル1の状態でレイドボスを倒したり、一撃で撃破することが可能となる。もっともたいていのゲームでは、あり得ない結果のデータが届くと自動的にサーバーが弾く設定になっているため、“あり得るギリギリの範囲内”でデータを操作するわけだ。

　このチートのやり方はこうだ。脱獄/ルート化したスマートフォンを用意し、対象のゲームとチートツールをインストールする。ゲームアプリ、チートツールの両方を起動した状態で、ゲームをプレイし、バトルのローディングが終わったところで、チートツールに切り替え、チートを行ない、バトル終了直前にデータを正常に戻して、バトル終了、クリアという流れになる。

　この場合、サーバー側には、何分何秒に、何をどう撃破したという情報しかいかないため、それがチートかどうかはにわかには判別が付かない。しかし実際には、クライアント側では、無敵の状態で倒していたり、バトルの駆け引きを経ずに一撃で倒したりしているわけだ。やっていることは、英Datelが販売していた「プロアクションリプレイ」のようなコードの書き換えてデータを偽装するタイプのオフラインゲーム向けのチートと同じだ。

【モバイルゲーム用チートツール】

モバイル版のチートツールは、直前にアプリを切り替えてコードを偽装するのが特徴。そのアプローチは「プロアクションリプレイ」などのオフラインゲームのチートツールに近い

今回逮捕された山本昭秀容疑者が公開していたチートツール販売サイト。この手のサイトはかなり昔から存在しているがようやく取り締まりが本格化してきた

サイファー・テックのコンサルティングサービスの概要

　なぜこういうローレベルなチートがオンライン前提のモバイルゲームで成立しているのかというと、モバイルゲーム特有の“固定的なデータ通信ポイント”の隙をついているからだ。サーバークライアント型のMMORPGのように、リアルタイムでデータをやりとりすれば、そういったプリミティブなチートは運営側で把握、即座に対処することができる。しかし、モバイルゲームでは、リアルタイムでデータをやりとりしてしまうと、通信コストがかさみ、パフォーマンスが悪くなり、結果としてゲーム性に影響が出てしまう。新興市場では、そもそもの回線速度が遅いため、リアルタイム通信のゲームはそれだけで敬遠されるという側面もある。このため、“ほどほどの通信頻度”、“必要最小限の通信頻度”でというのが、モバイルゲーム開発のデファクトスタンダードになっている。昨今のモバイルゲームのチーターはまんまとその隙を突いたわけだ。

　それにしてもよくわからないのは、チーターたちのモチベーションだ。何を目的にチートしているのか。MMORPGのチーターは≒ゴールドファーマーであり、チートを使ってライバルに先駆けることでゲームを有利に進め、アイテムを独占的に獲得し、それを売ることでお金を稼いでいる。このモチベーションは大変わかりやすい。しかし、モバイルゲームでバトルで勝ったところでお金にはならない。純粋なゲームファンの視点からすると「バトルをズルして勝ってそれでどうするのか？」と思うのだが、サイファー・テックによれば、レベルやランキング、コレクションといったコミュニティ間のヒエラルキーに繋がるパラメータを上げるためだという。

　確かに、モバイルゲームのランキング上位は、とんでもない勝率や累計スコアになっていたりして、果たしていつプレイしているのか不思議に思うことがあるが、全員ではないにせよ一定数はチートを使っている疑いはぬぐいきれない（サイファー・テック）という。ただ、それがスーパープレイの連続あるいは遊び手側の努力によって実現されている可能性もあるため、一概に決めつけられないところが、この問題の解決を難しくしている。

　ただでさえ、ほとんどのモバイルゲームは、課金によってキャラクターや部隊を実質的に強化できるため課金勢が有利な仕様なのに、さらにチート行為によってランキングすら左右されているとすれば、多くのユーザーにとってそのゲームのランキングは信用できないものになり、そのランキングによって左右されるゲーム展開や報酬の分配なども不公平感のあるものとなる。だからサイファー・テックでは、チート行為を水際でしっかり防ぐことがゲームによって非常に重要だという。

　サイファー・テックが手がけているのは、こうしたモバイルゲームのセキュリティに関するコンサルティングサービスであり、コンサルの結果、セキュリティ対策が不十分であれば、開発前、開発中、開発後の状況に応じて行うべきチート対策を総合的に支援するという。サイファー・テックの独自調査では、タイトルによってセキュリティレベルはまちまちで、初期段階でかなりセキュリティを意識したタイトルもあれば、かなり著名なタイトルなのに部分的な対策に留まっているタイトルもあったという。

　また、メジャータイトルの中にも、実はセキュリティはかなり甘いメーカーもあったという。プロが見れば、このゲームはセキュリティを意識しているかどうかはすぐわかるため、必ず最低限の対策はしておくべきだという。これはちょうど、旅行に使うバックパックのジッパーに、鍵を取り付けておくという考え方に近いと思った。鍵を付けていても丸ごと持って行かれてしまってはどうにもならないわけだが、少なくとも鍵を取り付けておくことで、盗人は「こいつは盗難に注意を払っているから避けておこう」という発想になる。それと似た考え方だと思った。

　さて、こうしたモバイルゲーム“全ハッキング”の時代に、ゲームファンはどう向き合うべきだろうか？

　大前提として理解しておくべきなのは、オフラインゲームで提供されていた「プロアクションリプレイ」のようなチートツールが、ゲームの遊び方にバリエーションを与えるものとして、賛否両論ありながらも自己責任の範囲内で存続し続けたのに対し、オンラインゲームにおけるチート行為は「不正競争防止法違反」で罪に問われる明確な犯罪行為だということだ。同じ“裏ワザ”ではあるが、オフラインかオンラインかによって法解釈がまったく異なる。

　この稿を書いている時にまさにドンピシャのがニュースが流れてきた。不正プログラムの販売行為で兵庫県の男性が逮捕されたというニュースだ。これはゲームオンのオンラインFPS「AVA」だが、「裏ワザで強くなれる！」、「金が儲かる！」とやっていると最終的にこうなるので注意したい。

　その上で考えたいのは、オンラインゲームにおけるチート行為は自己責任の範囲内では済まない行為だということだ。周りのモチベーションを下げ、ゲームをつまらなくし、最終的にゲームを腐らせる。サイファー・テックでは、チートを広げないために、チートをやっているフレンドは真っ先に切ってそれがイケない行為だということを自覚させるべきだという。またモバイルゲームを遊ぶ子を持つ親は、子供がどういうゲームをどのように遊んでいるかを注視すべきだという。アプリを絶えず切り替えながらゲームを遊んでいる、遊んでいる姿を見せようとしない場合も注意が必要だという。自分の子供が不名誉な逮捕者のひとりにならないためにも子供の動向には常に目を光らせるべきだろう。

　今回の取材を経て、モバイルゲームは、ゲームの遊び場として非常に脆弱で、ギリギリのバランスで成立しているプラットフォームだということがよくわかった。「チートをしている君は、今すぐ辞めるべきだ！」とここに書いたところで効果は一切無いこともわかっている。なぜならチートに手を染めている人は明確な意図や必要性があってやっているのであって、言われて辞めるぐらいなら最初からやっていないからだ。これは新興市場のゲームファンが海賊版に手を染めるのと同じ構造だ。

　彼らの手を止める方法は、チートをするのがバカバカしくなるようにゲームデザインを変えるか、もしくは物理的にチートできなくなるようにするしかない。モバイルゲームのチート対策は、PC向けのオンラインゲームよりさらに複雑で深刻な問題だが、関係各社が手を取って協力し合い、誰もが安心して楽しめる産業となることを期待したい。