第573号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 専務理事/上級分析官)
題:「人間の無自覚とバイアスにより増大する攻撃の入り口(踏み台)」

デジタルフォレンジック研究会のコラム読者の多くは、「サイバー攻撃の脅威の高まり」に関する情報をさまざまなところから入手され、必要な状況認識をされているかと思う。その前提でお伝えすると、最近、ネットで見かけるIT関連記事やサイバーセキュリティに関する調査結果に関する報告の中で、日本企業におけるサイバーセキュリティ対策の不備や状況認識の不足を訴えるものが目立ってきているかと思う。そのため、危機感を感じる方が増えている一方で、営業行為の一環と捉える方も少なからずいらっしゃるのではないかと思料している。

また、(筆者の業務の性質上)毎日のようにさまざまな領域の方々と対話させていただいている中で、サイバーセキュリティ対策の強化に向けて、献身的かつ積極的な姿勢で努力を重ねているセキュリティ担当者が多数いらっしゃることを確認している。一部の方々は、発生しうるリスクを識別し、優先付けした対策を考え、リスク発生の監視強化のための体制とプロセスに関する素晴らしいアイディアと実行力をお持ちである。

しかし、非常に残念ながら、そのようなセキュリティ担当者が直面する課題や労力の大半は、組織内の「意思決定者(部門長、経理責任者、経営層等)」に対するレクチャーや説得(理解獲得)となっており、本来サイバー攻撃対策に割り当てるべき労力の多くが、「人間の認識や判断を促す」ことに費やされる格好となっている。

さらに、「リスク管理責任者」は、サイバーセキュリティに係るリスク(サイバーリスク)を一般的なリスク管理に適用して、サイバー攻撃によるリスクの発見(特定)、分析、評価、計画、対応(実装)を正規な手順で進めようとしているが、それを立案・調整・実施する「リスク管理責任者」に、幅広いサイバー攻撃とセキュリティに関する知識が必要となることに加え、場(領域)によりサイバー空間の利活用の形態が大きく異なるために、さまざまな実務経験(業務や運用等)に基づく知見も求められる。実際には、既存の「リスク管理責任者」が理解な可能なレベルで把握した“やや抽象的な”サイバーセキュリティと“多岐に渡り相互依存する”業務の知識に基づいてリスク管理のプロセスを進めている。そのため、やむを得ずに漏れや抜けのある対応(実装)となってしまうことがあり、重箱の隅をつつく形で攻めてくるサイバー攻撃の発生を許してしまう。

このような「意思決定者(部門長、経理部門、経営層)」や「リスク管理責任者」と対話の中で、筆者が直感的に感じてしまうのは、“サイバー脅威に係る想像力の欠如”である。この言い回しは、2011年の福島第一原発事故前の津波対策に関する報告「我が国の原子力発電所の津波対策(令和元年5月21日、日本学術会議)」の中で示された“(事故前は)自然現象の脅威や事故に対する想像力が欠如していた”を想起させる。ところが、そのような方々とより深く対話を重ねていくと、想像力の欠如が主たる原因とは思えず、安定した基盤でキャリアを重ねてきた方々に共通して見られる特性のようなものが影響しているのではと強く感じる。具体的には、サイバー脅威に対する認識・判断・行動において、他者に与える可能性のある影響や結果に対する「無自覚」と、所属組織内のレガシーや文化・慣習に影響を受けた認知的及び感情的な「バイアス」である。

組織を守るために的確かつ適切な判断をするためには、そのような「無自覚」と「バイアス」を払拭する必要があるため、筆者は意思決定層に対するレクチャーや机上演習(TTX:Table Top Exercise)を通じて、増大する攻撃の入り口(踏み台)に関する状況認知(Findings)や教訓(Lessons Learned)を得ていただくように努力しているところである。

そこで、本コラムを通じて、どの領域の方々でも、容易に想像でき、かつ身近な問題として捉えていただけると思われる「オンラインゲームに関するセキュリティ」に関する状況認識を提供したいと思う。まず、今の知識と経験に基づいてオンラインゲームに関するセキュリティを想像していただきたい。その上で、以下の状況認識を通読いただくことで、それぞれの読者の「無自覚」と「バイアス」の存在を感じ取っていただけるのではないかと思う。それらがすなわち、適切なセキュリティ対策の実現を妨げるブレーキになっていると、筆者は考えている。

なぜ、サイバー犯罪者やテロリストはオンラインゲームに関心を寄せるのか?

最近のオンラインゲームの状況を理解するにあたり、次のような統計的データに注目する必要がある。

世界のオンラインゲーム市場は、2018年に1,349億ドル(約14兆6千億)の市場規模に成長した。
Global games market value rising to $134.9bn in 2018

世界中に25億人以上のビデオゲーマー(オンラインゲームを含む)が存在する。世界の人口のおよそ1/3である。
How Many Gamers Are There?

2018年及び2019年において、オンラインゲーム「Dota2」が最も高額な賞金予算を計上し、1億3,700万ドル(約148億円)に達している。
Digital Video Game Trends and Stats for 2019

このように市場を急拡大するオンラインゲーム市場は、経済的利得を追求する者、特にサイバー犯罪者や不正行為者(チートを行う者)(以下、サイバー犯罪者等)の強い関心対象となる。

オンラインゲームの中では、その特性上、現実社会の行動における一般的なルールの一部しか適用されない。そのため、サイバー犯罪者等は、他のゲーマーをハッキングして仮想資産(アイテム等)を盗み、金銭目的のためにそれらを売買することに対する罪悪感を感じにくい。そのため、彼らは、犯罪行為をエスカレートしていき、莫大な収益を得てしまうことがある。

また、不正な外貨獲得やプロパガンダを行おうとする国や犯罪/テロ集団が、オンラインゲームを活用し始めていることが確認されている。
Kim Jong Un’s cyber army raises cash for North Korea
Countering ‘Smart’ Terrorists Who Use Online Gaming Platforms

「ゲーム会社」が置かれている状況は?

オンラインゲームは娯楽の領域にあるにもかかわらず、ゲーマーは、彼らの「職場」、「オンラインショッピング(Eコマース)」、「金融機関」と同等レベルの信頼で「ゲーム会社」に、個人情報等の機微情報を預ける傾向がみられる。しかし、「ゲーム会社」は、情報管理に関する厳格な法令やガイドラインが未整備の領域が多く、かつ激しいビジネス競争がゆえにゲーマーの利便性や魅力を高めることを優先するため、他の規制の厳しい領域よりセキュリティが弱くなりやすい。

「サイバー犯罪者」がオンラインゲームで標的にする対象は?

サイバー犯罪者等が関心を寄せる主な対象は、「仮想資産(オンラインゲーム上の通過やアイテムなどで存在する無形の有価値物)」及び「ゲーマーのアカウント情報(属性情報や行動履歴等)」である。

(仮想資産)

ゲーム内の経済活動において、暗号通貨が初めて実用化された。ゲーム内で稼いだバーチャルマネーは実世界では使用できないが、ゲーマーにとって実用的な価値のあるものである。大量或いは希少のゲーム内のバーチャルマネーを保有する「アカウント」や権威あるゲーム内の「アイテム」は、実社会での高い価値をもたらす可能性がある。ゲームの経験年数を積み上げとしても、強いプレーヤーのところに価値が集まる。

2018年9月、歴史あるオンラインゲームの一つである RuneScape の Jagexモデレーター(Jagex社の従業員でオンラインゲームの品質保証を担当する)が、特権を悪用して、実社会で10万ドル(約1,100万円)に相当するバーチャルマネー(ゲーム内の45億コイン)を盗んだ。
Jagex moderator fired for stealing 45 billion coins from Old SchoolRunescape player(Updated)

多くのオンラインゲームは、Steam、Origin、GOG Galaxyなどの配信プラットフォームで公開、販売、認証されるようになっている。そのため、ゲーマーは一つのアカウントで、全て或いはほとんどを管理している。また、長期の Steam ユーザーは、数百のゲームライブラリを持っている可能性がある。Steamでは、壁紙、ステッカー、ゲーム内のコスメ(仮想的な化粧品)などの補助的な仮想アイテムをプレイヤーが保有及び取引することもできる。そのため、サイバー犯罪者が、Steamインベントリからそのようなアイテムを盗むケースや、Origin上でアカウント全体を盗んだケースがあった。
Steam stealers: your account is their target

(アカウント情報)

サイバー犯罪者等に最も価値のあるものは、ゲーマーのアカウント情報であるため、最も頻度よく標的になる。オンライン及びモバイルのゲームは、ゲーマーに関する大量の情報を収集する。個人に関するデータが多いほど、サイバー犯罪者等にとって価値が高くなる。特に、モバイルゲームは、ゲーマーの位置情報、メディアの活用(関心事項)、さらには通話履歴などの個人を特定可能な情報を追跡することがよくある。そして、ゲーム内の取引及びオンラインゲームの毎月の購読といったユーザーデータに財務データが含まれていることが多い。

「ゲーマー」が置かれている状況は?

サイバー犯罪者がゲーマーのキャラクターの仮想資産或いは実世界のデータのアカウントを乗っ取ることを目的にするかどうかに関わらず、ハッキングを成功させるための様々な方法が存在している。その方法自体は、他の分野のユーザーが直面するものとほとんど変わらないが、ゲーマーには、幾つかの特異な危険因子がある。

(脆弱な認証)

一般的にゲーマーは、総合的な配布プラットフォーム、パブリッシャー(ゲームの販売・宣伝を行う発売元)、及びゲーム自体のアカウントを管理する必要があるため、ゲーマーによるパスワード再利用の問題が共通して存在する。
SteamやOriginなどの各配信プラットフォームの認証は、アカウントとパスワードのみで可能である。
Epic GamesやRockstar Gamesなどの一部のゲーム会社のゲームプレイやソーシャル機能の認証は、アカウントとパスワードのみで可能である。

このように、多くのマルチプレーヤー型のオンラインゲームは、全てのアカウントとパスワードのみで認証可能であるため、ゲーマーは何十ものパスワードを覚えて管理する必要があり、古いゲームではアカウントの認証情報が何年も更新されずに忘れられている可能性もある。

そして、ゲーム内の他のプレーヤーを眺めるだけでアカウントと共通するユーザー名を得ることができる。例えば、Battlefield V には最大64人のプレーヤーの競争モードがある。そのため、一つのゲームで最大63人のユーザー名(アカウント)を使用して、共通のパスワード或いは初期値のパスワードを試すことができてしまう。他のゲームでは、プレイヤーのスコアにアクセスすることができ、ゲームで使用されている全てのユーザー名、または少なくともトッププレイヤーのユーザー名にアクセスできる。これは、サイバー犯罪者等にとってさらに価値があるものである。

(フィッシング)

フィッシングキャンペーンは、人気のあるゲームのプレイヤーをターゲットにする。このようなサイバー犯罪者等は、ユーザーを騙してログイン認証情報を不正取得する様々な手口を使う。よくある戦術としては、偽のログインページを作成する、或いは友達になりすましてチャットプラットフォーム経由で悪質なリンクを送信することである。特に、そのようなフィッシングには、信憑性があるように見せかける。

オンラインゲームの特性として、フィッシング攻撃に成功したサイバー犯罪者は、プレーヤーのアカウントを完全に乗っ取ることなく、SteamインベントリまたはMMO(大規模多人数同時参加型)キャラクターから価値あるものだけを窃取する。被害を受けたプレーヤーは、それに気づかずにゲームを継続するため、被害が継続或いは拡大することがある。

(マルウェア)

マルウェアをゲーマーに広めるための方法は、フィッシング手法を併用することが多い。Steamチャットを使って偽の認証ページへのリンクを広めることができれば、ドライブ・バイ・マルウェアのダウンロードのリンクを踏ませることができる。競争の激しいゲームでは、チート、ハッキング、その他の方法で他のプレイヤーより有利になることができると謳った悪意のあるアプリケーションをダウンロードさせることが期待できる。

(ゲーム及びWebサイトのセキュリティ欠陥)

ゲーム会社が提供するインフラにセキュリティ上の欠陥があることで、ゲーマーをリスクに晒すことがある。

2019年1月、Fortnite認証プロセスの欠陥が明らかになった。ログインURLが検証されない仕組みであったため、リダイレクト攻撃に対して脆弱であった。さらに悪いことに、この欠陥を発見した研究者たちは、未使用の脆弱なEpicサブドメインを発見して侵害した。現在、Epicの認証はソーシャルメディアログインを使用しているが、正規のログイン要求については、侵入先のサブドメインにリダイレクトされ、ユーザーのログイン認証情報が攻撃者に送信される可能性がある。
Critical Authentication Flaw Found in Fortnite’s Login System Leaking Private Data

これにより、正規ユーザーとサイバー犯罪者の両方が、Fortniteアカウントにアクセスするための正規ログインの認証情報を持つことになる。サイバー犯罪者は、アーティファクト(プレイヤーの作成物)とそれらに含まれる個人情報(銀行カード情報等)を悪用し、ゲーム内通貨(ゲーム外で本物のお金で売ることができるV-Bucks)を盗むことができる。そして、サイバー犯罪者が行うことは、被害者が悪意のあるリダイレクトURLを使用してログインするように誘導することだけである。これは、典型的なソーシャルエンジニアリングである。

東京オリンピック開会式まで、残り1年である。AI、ドローン、5G等の積極的利活用により、私達の「サイバー環境」は劇的に変わろうとしている。そして、それらは莫大な利益を生み出す原動力になると見られている。したがって、上述のオンラインゲームにおけるセキュリティ問題は、今後のサイバー脅威の進展の一部を示唆するところがあると考えている。一方、サイバー犯罪者は、私達の状況をつぶさに観察しており、少しでも隙があれば、すぐに不正行為や攻撃を仕掛けてくる。

そのような状況の中で、私達は、「無自覚」や「バイアス」による攻撃の入り口(踏み台)を増やしてしまう余裕はないはずである。

【著作権は、名和氏に属します】