体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

ゲーム業界から学ぶ!今取り組むべきセキュリティ対策のホントのところとは?

ゲームにつきもの、”チート”対策

「ゲーム業界から学ぶ」ということで、今回の登壇者はセキュリティの現場にいるエンジニア、インフラエンジニアの面々。

モデレーターの辻伸弘さんは侵入テストの専門家で、記事や書籍だけではなく、Twitter(@ntsuji)、ブログなどでセキュリティ関連の情報を発信している。

ソフトバンク・テクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻 伸弘さん

ポケモンの関剛さんはアプリやゲーム、プロモーションサイト、社内ITシステムなどを管理するインフラエンジニア、実際にはパートナー企業と連携して業務に携わる。グリーの奥村祐則さん、ディー・エヌ・エーの汐田徹也さんは長くセキュリティの専門部署にいる。

左から、株式会社ポケモン Pokémon GO 推進室 / 統括本部 経営企画部 テクニカルディレクター インフラエンジニア 関 剛さん、株式会社ディー・エヌ・エー セキュリティ技術グループ グループリーダー 汐田 徹也さん、グリー株式会社 開発本部 セキュリティ部 部長 奥村 祐則さん

まず、ゲームということでチートの問題からだ。
チートとはゲームプレイにおけるズルや不正な行為を指す。ゲーム業界では昔からある根深い問題の1つだ。奥村さんは、最近は悪質化していると現状を分析する。

奥村:僕は、チートをファミコンの時代からある裏技などの延長だととらえています。隠しコマンドから、ちょっとしたバグを利用してキャラを無限に増殖させるというようなものは昔は牧歌的にあったと思います。

しかし、ゲーム内の通貨が現実の世界で価値を持つようになってきたという時代の流れによって、だんだん悪質化してきているというのが最近の流れなのかなと思っています。

最近、ゲーム内の通貨を狙ってくるような攻撃であったり、ジェムを不正に取得したりしようという狙いを持った攻撃が実際に日々起こっています。

そのモチベーションはどこにあるかが気になるという辻さん。金銭に絡む犯罪なのか、愉快犯的なものなのか、これは「守る側から考えると攻撃側がどんな思考でくるのかというのをある程度知っておいたほうがいい」という観点から。

金銭目的のチートもあるとしながらも、「このゲームがチートできる」となるとやはりコミュニティが盛り上がるのだするのは汐田さんだ。

汐田:もちろん金銭目的のチートはものすごく多くて、チート代行業者もいます。お金目的の行為者がいなくなっても、世の中のコミュニティでチートしたい、誰か対策を突破してよ、という盛り上がりがあるのです。

盛り上がっているところに突破した方法、アプリなどを配ると一気にヒーローになれるというのがあって。一度、このゲームはチートできるんだとバレると、またしたいって思うんです。

:神降臨みたいな? みなさんからすると悪魔降臨かもしれませんが。

汐田:そうですね、神になりたいみたいなところもあると思います。

実際、前兆もコミュニティ発が多い。最初は海外の技術力の高いハッカー集団が掲示板などで情報をやり取りし、それが日本に持ち込まれ、徐々にその情報にアクセスできる人が増えてきて広まり、最終的に、ユーザーからの問い合わせや「おかしい」といった声があがることで、確定という流れだ。

その防御についてだが、たとえばクライアント-サーバ型であれば、クライアント側で守るのかサーバ側で守るのか? クライアント側での防御を強くするとユーザーにとっては使い勝手が悪い、不便だということになってしまう。

:最近だとクライアント-サーバ型になっているのがスタンダードだと思いますが、ユーザーが不正に操作した通信を送ってきたとき、サーバ側でチェックしなければいけないものというのもあると思います。

でも、クライアント側を制限し過ぎると不便になってしまったりする。そのときのバランス、ユーザーをどこまで信じるのかというところでせめぎ合いがあったりするものですか?

汐田:スタート地点はどんなゲームを作るか、どんな体験をさせるかというところがまずあります。それを実現するためにはどうしてもクライアントにロジックを寄せないといけないとか、開発体制的にどうしてもサーバで持ちきれなくてクライアントにロジックを寄せないといけないというところから始まることが多いです。

クライアントにどこまで権限を渡してしまったかというのが先にきて、その後に、権限がそのくらい渡っているならこれくらい対策しないといけないよねとか、あるいは全然権限を渡していないなら、別にクライアントのセキュリティ対策は要らないとか、そういった判断をしています。

辻さんは、一般的なセキュリティ対策における、
自組織の中のエンドユーザーをどこまで信じるのか
彼らにどこまでリテラシーを上げてもらうのか
任せられない部分では出口側で対策をする

といった組み立て方に似ていると指摘する。

標的型攻撃が狙うもの

辻さんが次のテーマとして、まず解説したのは「標的型攻撃の狙いは個人情報だけではない」ということ。個人情報が流出した数が多ければ多いほど、また、その組織が目立つものであればあるほど叩かれるという面があり、どうしても個人情報を目的とするものがフォーカスされてしまうが、必ずしもそうではないという。

辻さんが根拠として示すのは、攻撃に使われるメールなどで囮(おとり)として使われる「デコイファイル」だ。メール本文の内容にそった無害なファイルが表示されて、ウイルスとは思わせないテクニックが使われる。たとえば日本年金機構やJTBの情報漏えい事件でもその手のファイルが見られたという。

1 2次のページ
CodeIQ MAGAZINEの記事一覧をみる
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。