10月28日にもAkamai主催のオンラインセミナーが開催!ミクシィやCygamesの担当者が語る新たなゲーム業界の働き方とそれにあわせたセキュリティ対策とは……? ゲーム業界が抱えるセキュリティとアカマイのビジョン
ゲーム業界が抱えている課題の一つに、ガチャを不正に回したりアカウントを転売したりする不正ユーザーへの対策があげられます。こうしたユーザーの存在はゲームバランスの崩壊に繋がり、課金ユーザーが離れる原因にもなりかねません。 河村氏はまず、そういった不正アカウントの分析・可視化を行うAkamaiのツールである「Bot Manager」を紹介。ゲームのブランドや企業価値を向上させることこそが、多くの新規ユーザーの獲得に繋がり、より多くの売り上げにも繋がると説明します。 さらに河村氏はユーザーIDの統合管理や個人情報保護については「Akamai Identity Cloud」を、ユーザーをウェブスキミングから守るためには「Page Integrity Manager」といった、ユーザーの個人情報を守るためのツールを用意していると続けます。
近年では新規リリースに伴うインターネットアクセスの集中により、一時的にサービスがメンテナンスに入ってしまうことも珍しくありません。そのようなゲームユーザーの「すぐに遊びたい」気持ちを重視したいという思いから、Akamaiではインフラの負荷試験ツールも用意しています。それ以外の業界特有の課題に対しても、様々なビジョンを提案していると続けました。 
Akamaiが捉えたゲーム業界への攻撃動向の分析とbot対策
ゲーム業界は定常的にDDoSが仕掛けられている特殊な業界だと話す中西氏。突発的にスケールが大きな攻撃が仕掛けられる可能性も非常に大きく、DDoSに関しては常に動向を掴んでおく必要があると警告します。 実際に2020年6月の第1週、世界に分散したIPから1.44Tbps(ビット毎秒)・385Mpps(パケット毎秒)の攻撃が発生したことがあり、この攻撃をAkamaiで提供している「Prolexic」というサービスでゼロ秒緩和を行った経験があるそうです。 9つの異なるベクトルを切り替えながら複数のボットネットを利用した攻撃で、手法やソースが次々と切り替えられたため、臨機応変な対応が必要だったといいます。他にも、809MppsのDDoSが行われた例を挙げ、閾値や緩和キャパシティをどこに設定するかがサービス選びの基準になっていると話しました。
また、2020年8月中旬から、「Armada Collective」および「Fancy Bear」を名乗る攻撃者から短時間のDDoSと、最大2TbpsのDDoSを行うとの脅迫(身代金要求)メールが送付されたこともありました。 Armada Collectiveからの身代金額は5BTC(ビットコイン)から始まり、設定した日時に間に合わない場合10BTCに増え、日ごとに5BTCが増加。Fancy Bearからの身代金額は20BTCから始まり、締め切り日以降は30BTCとなり、日ごとに10BTCずつ増加したそうです。 こういった脅迫は米英や日本を含むアジア太平洋地域が標的になっており、標的業種は銀行や金融業、小売業から始まり、ゲームやギャンブル、ハイテク、旅行&ホテルを含む他の業界に広がりを見せています。 指定された日程を過ぎてもDDoSが行われた形式はなかったことから、中西氏は脅迫には屈しないことを推奨。身代金を払ったとしても攻撃が止むとは限らないとも述べ、DDoSに警戒しつつ、サービスを止まらないように運営する工夫が必要だと続けました。 
こういった脅威に対応するため、Akamaiでは緩和飽和容量8.2Tbpsのプラットフォーム「Prolexic」を提供。正規のトラフィックと悪影響を与えるトラフィックをプロの目で見て判断し、ユーザーと話し合いながら内容を決定していくのが大きな特徴となっています。 ラインナップとして、BGP(Border Gateway Protocol)でトラフィックを誘導してデータセンター全体のIPサービスを守る「Prolexic Routed」と「Prolexic Connect」というサービスを用意。 新たにサービスの提供が開始された「Prolexic IP Protect」というサービスは、マルチプレイヤーオンラインゲームで必要なマルチポートUDPに対応しているなど、モバイルゲームを制作している会社向けの内容となっています。 
中西氏はモバイルゲームとWebベースのゲームについて、SQLインジェクションとLFI(ローカルファイルインクルージョン)の主要なターゲットになっているとも話します。ユーザー名やパスワードだけに限らず、アカウント情報など、サーバに保存されている情報が標的なっているそうです。 サーバ上のファイルが解析・改竄されてしまう恐れがあるなど、サーバ側の対策が必要となってくる部分でもあります。特にWebアプリケーション攻撃の標的上位国について、日本は世界で5位となっており、より注意が必要とされていることが分かります。 
中西氏はAkamaiの「Kona Site Defender(KSD)」について、APIサーバ内で対処不可能な攻撃をクラウドで防御を行う「APIプロテクション」と、ビッグデータ解析で危険度の高いIPからの通信を遮断する「クライアントレピュテーション」の機能を有していると強調。 契約しているユーザーごとにソースIPのリスクスコアを計算し、1時間毎に更新して情報を提供している。1度のみの攻撃と永続的な攻撃IPを考慮し、スコア値を素早く変更するサービスも実施していると続けました。 
ゲーム業界に対するbotによる不正ログイン試行は、全業種へ約1001兆件のうち、約9.6%にあたる約98兆件が継続的に発生しています。不正ログインしたアカウントでレアアイテムやコインをはぎ取り、RMTで現金化し、不正入手したペイメント情報を流出アカウントに紐付けして利用されることもあるそうです。 
中西氏によると、最近のアカウント取引の闇市場は、ダークウェブから1on1取引に変化しているといいます。流出したアカウントはDiscordなどのチャット上で、1件140円程度で取引されており、ログインに成功したアカウント情報の転売だけで儲ける者も出現しているそうです。 他にも、不正ログイン後にパーティメンバーにチートやRMTを販売するDiscordへの誘導メッセージを残し、離脱するコマンドをボットが実行しているケースもあるといいます。 
不正ログイン方式は、パスワードリスト型攻撃やブルートフォース(総当たり)、リバースブルートフォース、パスワードスプレー攻撃など非常に多彩で、ボットの検知がしづらくなってきている現状もあわせて伝えられました。 
多岐に渡る不正ログイン方式への対策としてAkamaiの「Bot Manager」では、botか人かといった判断を、機械学習により実施しています。中西氏はBot Managerについて、様々な情報を収集してビッグデータを解析し、botがどのような活動しているのか、ネットワーク全体からフィードバックを行うことが可能だとまとめました。 
個人情報、決済の多層防御と顧客ID統合化によるビジネス展開
続いて登壇したハレンドラ氏は、ユーザーIDの統合・管理と個人情報保護が行えるツールとして、「Akamai identity Cloud」を紹介しました。 このツールは、世界の地域ごとの個人情報保護法に準拠しており、GDPRに対応した情報の利用許諾およびオプトアウトをテンプレ化ができるという強みがあります。また、複数サービスの利用者情報の統合化し、強固な暗号化と強化されたデータのみへのアクセス制御で顧客の個人情報と認証の保護を行っているそうです。 さらに、SNSやメディア露出がきっかけでゲームやサービスへの登録が急増してもパフォーマンス低下なく処理が可能。低フリクションのユーザー登録手順やCRM&アナリティクスとの連携で顧客体験を向上し、ビジネスに大きく寄与できると説明しました。
続いてハレンドラ氏は、個人情報の保護とセキュリティについて説明。2018年にブリティッシュ・エアウェイズの情報流出が起こった例を挙げ、クレジットカードの情報が流出する危険性について警告します。 
フォームジャッキング攻撃のビジネスへのインパクトは大きく、ブリティッシュ・エアウェイズにGDPR(EU一般データ保護規則)侵害で約250億円の制裁金が発生するなど、大きな罰則の対象へと変化した。日本でも2020年6月5日に国会にて改正個人情報保護法が成立しており、個人情報保護に対する企業の責務は年々大きくなっています。 
そういった攻撃の対策として、ハレンドラ氏は「Page Integrity Manager」を紹介しています。「Page Integrity Manager」は、エンドユーザーにサイトを送る直前にAkamaiのエッジサーバ側でJavaScriptファイルをブラウザに送り、監視を実施。 ユーザーのクレジット番号や個人情報が裏側で取られていないかなど細かくチェックしAkamaiの管理コンソールまで送信します。もし攻撃があれば検知してアラートをあげ、必要であればそのままアクセスを遮断することも可能です。 
アクセス集中パフォーマンス低下の可視化と評価試験
新型コロナウイルス感染症の影響は大きく、仕事でもプライベートでも行動様式が変わったという金児氏。Akamaiのプラットフォーム上で2019年3月と2020年3月でエッジトラフィックの比較を行った結果、倍以上のピークトラフィックが確認できたといいます。 その背景として、ECサイトへのアクセスやオンラインライブイベントの視聴、オンラインゲーム、ソフトウェアダウンロードが急増したことが挙げられると金児氏は続けます。
一方、想定より多くのトラフィックが発生してしまい、結果としてサービスが提供できなくなってしまうこともあります。ゲーム業界においても、サービス障害を起こしてしまった企業が少なくありません。 パフォーマンスが落ちるとユーザーが離れてしまい、売り上げが落ちてしまう原因となることは自明のことです。パフォーマンス管理の失敗は、収益ブランド力の損失へと直結しているのが現代のサービスの宿命ともいえるでしょう。 
そこで重要となるのが負荷試験ですが、金児氏によると、負荷試験はテストシナリオの作成の困難さや結果の集計・把握が困難なこと、想定外の問題に対して対応ができないといった様々な問題を抱えているといいます。 
その対策として、金児氏次世代の負荷テストソリューションとなる「Cloud Test」を紹介。「Cloud Test」の場合、ブラウザとアプリケーションからキャプチャするプロキシを使用してテストスクリプトを素早く作成・編集ができるため、テストシナリオの作成のスピードを上げることができるといいます。 さらに、パブリックやプライベートのクラウドリソースを使用して負荷生成のサーバを選択し、様々な地域から負荷を生成することも可能です。また、ダッシュボード上に多彩なデータを集約してリアルタイムで分析ができるため、テスト中に負荷を制御し、テスト実行中に問題の修復ができると続けます。 
さらには負荷試験だけではなく、Akamaiではエッジサーバ側でパフォーマンス改善行うアプローチが可能となっていることについても言及されました。APIの管理についてはIntelligent Edge Platform上でできると話し、講演を締めくくった。 
最後に設けられた質疑応答では、セミナー受講者より製品に対する数多くの質問が寄せられていた。ゲーム業界が抱えている様々なセキュリティ課題だけでなく、Akamaiが掲げている数多くのビジョンと、各メーカーの対策に必要なソリューションが把握できるセミナーとなりました。 なおAkamaiは、10月28日にも「Gaming Leadership Summit」と題したオンラインセミナーを開催予定です。本セミナーでも語られた不正アクセスの現状などが解説されるほか、最新アフター(ウィズ)コロナ時代のゲーム業界における新たな働き方の事例がミクシィ、Cygamesの担当者から解説されるほか、2023年までのゲーム市場予測なども解説されるとのこと。業界関係者必見のセミナーとなりそうです。 セミナー申し込みはこちら!
