ルールのないゲーム

2013年4月12日

Kaspersky Labのアナリストたちは現在、オンラインゲーム制作会社を狙った標的型攻撃の調査を続けています。ゲーム内通貨やソースコード、さらにはデジタル証明書がサイバー犯罪者たちに狙われていることが判明しました。この記事では、オンラインゲーム利用者およびゲーム制作会社が知っておくべきことについて紹介していきます。

オンラインゲーム業界のハッキング

APT(advanced persistent threat)攻撃と呼ばれるものは、政府機関や軍機密ばかりを狙っているのではありません。サイバー犯罪者たちは、明らかに利益を得られるとわかっていれば、普通の企業も標的とし、攻撃のために時間やお金や労力をつぎこみます。この事実は、Kaspersky Labが1年以上かけて進めてきた調査からも見て取れます。調査では、オンラインゲーム開発者をスパイする犯罪者グループの存在が明らかになりました。

サイバー犯罪者が標的としたのはゲーム会社の所有するコンピューターだけでしたが、最初の感染が見つかったのはゲーム利用者のコンピューター上でした。犯罪者側がトロイの木馬を誤ってアップデートサーバーに感染させたため、ゲーム利用者のコンピューターへとダウンロードされ、一部の注意深い利用者が検知するに至ったのです。このトロイの木馬は、ただちにマルウェアアナリストが注目するところとなりました。というのも、これは本格的な機能を備えたリモート管理ツール(RAT)であり、これを通じて攻撃者は被害者のコンピューターを完全にコントロール可能だったためです。さらに、正規の有効な証明書で署名されたドライバーが含まれていたため、インストール時に警告も通知も発生しませんでした。

悪意あるアプリケーションが、公式アップデートと共にユーザーのコンピューターへインストールされた

このファイルがどのようにアップデートサーバーに入り込んだのか。調査によって、ハリウッドのアクション映画も顔負けの大規模なサイバースパイネットワークの存在が明らかになりました。まず糸口として使われたのは、ゲーム制作会社の特定の社員を狙ったフィッシングメッセージでした。「Winnti」と名付けられたこのトロイの木馬は、首尾よくコンピューターに感染すると、C&Cサーバーからリモート管理モジュールを数多くダウンロードし、状況レポートを送信しました。続いて、攻撃者の一人が感染コンピューターへ手動で接続して状況を調査し、このコンピューターの監視を続けるに値するかどうかの判断を下しました。値しないと判断された場合、このスパイウェアの痕跡はコンピューター上からすべて消去され、価値があるとの判断にいたった場合、攻撃者たちはアクセスできるものすべてをかき集めました。高い優先度がつけられていたのは、ゲームのソースコードとソフトウェア開発者の証明書です。ソースコードを手に入れた攻撃者たちは、ゲームサーバーのぜい弱性を探し出し、仮想資産の作成または偽ゲームサーバーの立ち上げを行うためのメカニズムを作り出し、これらへのアクセスを安価で売りに出しました。証明書については、新たなマルウェアプログラムの署名に使われていただけでなく、別のサイバー犯罪者へ売り渡されていた可能性が高いと見られています。というのも、盗まれた証明書は、のちに現れた別の犯罪にて見つかり、政治的サイバースパイ活動に使われていたのです。

ゲーム業界はまさにグローバルです。大手ゲーム制作会社は世界各地の支社を結ぶ広大なネットワークを所有しており、ローカライズや広告宣伝を担当する別の会社とも緊密に連携する中で互いの企業ネットワークへのアクセスを認め合っています。こうした状況で、サイバー犯罪者はひとつのネットワークを足掛かりに次々と他の企業に侵入することができました。今回の問題がどこまでの範囲におよぶのか、見積もるのは容易ではありませんが、攻撃の被害を受けた会社はロシア、ドイツ、米国、中国、韓国、その他の多数に上るのは確かです。

ハッカーはゲーム内通貨を作り出して実際の通貨に換金できる。この「偽」通貨はゲーム界のバランスを歪め、ゲームの魅力を減じてしまう

犯罪者グループはゲーム制作会社を標的としてはいますが、一般のゲーム利用者にも影響はおよぶことでしょう。理由はいくつかあります。第1に、制作会社の関知しないやりかたで慎重に計算されて生成されたゲーム内の通貨やアイテムは、ゲーム世界に不均衡を生み出します。第2に、何年にもわたる努力の成果を盗まれてしまったゲーム制作会社は、開発コストをカバーできないおそれがあります。一部プレイヤーが偽サーバーへと移行してしまっているためです。回りまわって、ゲーム全体のサポートにも深刻な影響が出る可能性があります。第3に、ハッキングされたアップデートサーバーは、全プレイヤーのコンピューターへマルウェアを送り込むのに利用可能となっています。感染したサーバーを通じてWinntiグループがプレイヤーに感染を拡げているという証拠はありませんが、その可能性を排除することはできません。第三者からそれなりの報酬を支払われれば、そういったことが行われる可能性があります。

最後に述べた脅威を避けるため、前もっていくつかの対策を講じておくことができます:

  • 多くのセキュリティソリューションに搭載されている「ゲームモード」向けの設定を、よく見直しましょう。一般的にアンチウイルス製品は、システムパフォーマンスへの影響を抑えるため、全画面モード(ゲームモード)ではアラートを表示しなかったりスキャンを最小限に留めたりしています。感染が見つかったときにブロックまたは隔離が実行されるように(スキップはしない)、設定を確認しましょう。
  • アンチウイルス、アプリケーションコントロール、ファイアウォールなど、十分な機能を備えたセキュリティ製品を使用しましょう。製品は定期的にアップデートしてください。また、いかにも信頼できそうな発信元(ゲームのアップデートサーバーなど)から受け取ったファイルであっても、アラートが表示されたら無視しないようにしましょう。
  • カスペルスキー製品は、Winnti グループが使用するマルウェアおよびその変種を「Backdoor.Win32.Winnti」、「Backdoor.Win64.Winnti」、「Rootkit.Win32.Winnti」あるいは「Rootkit.Win64.Winnti」として検知して駆除します。
ブラックマーケットを支援しない!非公式ゲームサーバーには接続しないで

最後に、一番基本的なアドバイスを。ブラックマーケットを支援するような行為は厳に慎みましょう。非公式なサーバーに接続することは、ゲーム開発者への度重なる攻撃を助長します。私たちユーザーや新しいゲーム(誰かが時間と労力をかけて作り上げたゲーム)と、攻撃者との間に、レンガでできた壁があると考えてみてください。ひとつひとつの攻撃は、その壁からレンガをひとつずつ抜き取っていくようなものなのです。