11月10日、「Akamai EDGE」という大規模なユーザーカンファレンスで、「ゲーム業界から学ぶ! 今取り組むべきセキュリティ対策とは」というトークセッションが開催された。
Akamai(アカマイ)は、自社のCDN(Contents Delivery Network)を経由してコンテンツ配信やクラウドセキュリティなどのソリューションやサービスを提供する企業。その品質と帯域性能には定評があり、膨大なトラフィックをさばいたり、大規模なDDoS攻撃にも耐える回線を持っている。ゲーム業界も高精細な3Dグラフィック、MMORPGの同時接続など、高速、高品質のネットワーク需要は高く、Akamaiを利用するゲーム事業者も少なくない。
そのAkamaiが主催するイベントで、ゲーム業界を代表する三社によって、ゲーム業界の攻撃の現状や対策について興味深い話が展開された。登壇したのは、ポケモン Pokemon Go推進室 関剛氏、DeNA セキュリティ技術グループ 汐田徹也氏、グリー 開発本部セキュリティ部 奥村祐則氏。モデレータはソフトバンク・テクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏が務めた。
Akamaiの導入事例はこちらからダウンロード
●最初のテーマはズバリ「チート」
辻:今回はネットワークエンジニアやインフラエンジニア向けのイベントなので、まずチート(ゲーム内の不正行為)について奥村さんから簡単に説明していただけますか。
奥村:ファミコンの時代は、ゲームに隠されたコマンドやプログラムのバグを発見した人が広める「裏技」がありました。このころのチートは牧歌的でさえありました。しかし、オンラインゲームやソーシャルゲームの時代になり、ゲーム内のアイテムが特別な価値をもったり、ゲーム外でもアイテムやゲーム内通貨が現実の金銭的価値を持って取引されたりする(RMT)ようになりました。
辻:現在のチートはお金以外のモチベ―ションもあるのですか? 例えば愉快犯のような。
汐田:チートの代行業者がいたりしますので、金銭は大きな目的のひとつです。その一方で、ゲーム内の制限を回避したり、ゲームアプリ自体をハッキングしたりできると、
プレーヤーの中では制限を突破したヒーローのように扱われます。突破した快感を得ることやコミュニティから賞賛されることが目的の人もいると考えています。攻撃者の中には、自分の名前(ハンドル名)をクレジットしてチートツールを公開する人もいます。
辻:なるほど。チート行為はいきなり発生することもありますが、前兆みたいなものはあるのでしょうか。
汐田:海外コミュニティで盛り上がったものが日本にくることがあるので、海外の動向を見ていると、国内の前兆がわかることがあります。
奥村:そうですね。海外の掲示板や、国内の某巨大掲示板でも、攻略法の話からチートに広がってくると要注意ですね。また、ランキングがおかしいといったユーザーからの通報がある場合もあります。
関:対戦ゲームのポケモンでもそうですね。世界ランキングがおかしいのではないか、こんな色のポケモンは出ないはずだ、といった通報はあります。
辻:ポケモンGoでは位置情報の不正などはないのですか。
関:ここで詳細を話すことはできませんが、位置情報の不正はほぼ捕捉できますので、みなさんやらないでください(笑)。
Akamaiの導入事例はこちらからダウンロード
●標的型攻撃の狙いは?
辻:次のテーマは「標的型攻撃」です。ゲーム業界に限らず問題になっている攻撃です。主にアカウント情報や個人情報を狙っているといわれていますが、自分の調査では、知財(IP)や企業秘密、外交情報などを狙ったものもかなりあると見ています。それは、標的型攻撃に利用される「おとりファイル」に、慰安婦問題や北東アジアの関する文書を装っていたり、学会の申請書、サミットの資料などを偽装したものが確認されるからです。ゲーム業界ではどのような情報が狙われているのですか。
奥村:個人情報以外も狙われているという話をさっそく否定するようで恐縮ですが(笑)、やはりユーザーの個人情報は重要です。クレジットカード情報はゲーム側では保持しないことも多いですが、課金情報などは厳重に管理しています。ユーザーの情報以外だと、ソースコードが狙われますね。プログラムファイルやソースコードに署名するためのコード署名証明書(正規アプリを装うことができるため)を狙う攻撃も多いです。
汐田:そうですね。加えて、DeNAは遺伝子情報や健康診断の検診データを扱うヘルスケアサービスもあるので、これらの情報は違うレベルで管理しています。ゲームの中だと仮想通貨にも注意を払っています。
関:うちはポケモンキャラクターを扱うので、知財情報にも特に気を使っています。たとえば未公開のキャラクターの情報を狙うユーザーが一部にはいます。これがリークされると、キャラクターの権利問題になることがあります。特定キャラクターと個別契約、独占契約をしているパートナーにとって損失につながります。
辻:標的型攻撃の対策としてはどんなことをしていますか。
奥村:一例ですが、たとえば会社の採用ページには応募のためのメールアドレスが公開されていることがあります。そこにエンジニアの履歴書を偽装した攻撃メールが着弾することあります。このようなメールは内部では複数の担当者がメーリングリストで共有することが多いですが、メーリングリストのメンバーを適宜確認するとか、バウンスしているメールについてよく調べるといった対策が必要だと思っています。うちの場合は、攻撃メールの文面を周知するため、社内で共有するようにしています。標的型攻撃メールの演習も行っています。
Akamaiの導入事例はこちらからダウンロード
●脆弱性の評価値はうのみにしない
辻:最後のテーマは脆弱性です。みなさんの会社では、脆弱性情報をどのように扱っているのでしょうか。
奥村:セキュリティのCIA(Confidentiality, Integrity, Availability)という言葉がありますが、日本は漏えい対策にフォーカスする傾向があり、CIAのうち機密性(Confidentiality)を重視しますが、ゲームでは可用性(Availability)も大事です。サービスを止めてまでパッチをあてる必要があるかも考えています。脆弱性の評価値(CVSSという脆弱性評価のスコア)だけで判断せず、自社の基準で判断するようにしています。
汐田:同感です。脆弱性が適用されるサーバーやシステムの使われ方、実際の攻撃の現実度を含めた評価は心掛けています。以前、「SSL通信の機密性を脅かす(中間者による通信の盗聴などが想定される)脆弱性」が公開されました。「通信で重要な情報を扱うサーバ」では急いで対応する必要がありますが、とりあえずHTTPS対応してみた、というサーバの優先度は低くてもいいでしょう。
関:うちは会社の規模があまり大きくないので、外部のMSP(マネージメントサービスプロバイダ)を使っています。焦らない運用を心掛けています。
辻:私は脆弱性診断を業務で行いますが、中リスク程度のものは慌ててパッチをあてなくてもいいという判断をしています。実際に侵入テストを行い、侵入できてしまい、攻撃も成功したものについては急ぎの対策を報告していますが、そうでないものは慌てる必要ないですよね。CVSSのスコアは、攻撃が成功したときのインパクトを示しているので、私はテンポラリメトリックという現状の分析値のほうを参考にするようにしています。
焦ってパニックになったり、メディアの情報だけで右往左往しないことが重要ですね。
ちょうど時間になったようです。本日はみなさんありがとうございました。
Akamaiの導入事例はこちらからダウンロード
※記事内容に一部誤りがございました。誤り部分については、訂正のうえ、掲載させていただいております。読者並びに関係者の皆様に謹んでお詫び申し上げます。
《中尾真二》