サイバー犯罪者はどのようにWoWプレイヤーをカモにするのか

Blizzardアカウントを手に入れようと、攻撃者が『World of Warcraft』で仕掛けてきた罠とは。

Blizzardのアカウントは、攻撃者たちに注目されています。このアカウントからは、購入済みのゲームだけでなくキャラクターやゲーム内通貨やゲームアイテムにもアクセスできるので、攻撃者たちは価値を見出しているのです。プレイヤー自身がアカウントを適切に設定していれば、何かあった場合はテクニカルサポートに連絡することで、アカウントを取り戻し、盗まれた仮想財産を元に戻すことができるはずです。

そうは言っても、アカウントを乗っ取られることで多大な不都合が生じるのは間違いありません。そもそもハッキングされることのないように、今すぐ行動を起こすのが一番です。この記事では、『World of Warcraft Classic』のプレイ中に遭遇したゲーム内フィッシングによってBlizzardアカウントが乗っ取られそうになった私の経験から学んだことをお伝えしようと思います。

「Bizzard」のアカウント乗っ取り手口

フィッシング詐欺は、『World of Warcraft』ではかなり一般的に見られた問題でした。しかし、昨年リリースされた『World of Warcraft Classic』では、少なくとも私は遭遇したことがありませんでした。しかし、それは「Bizzard」という名のウォーリアが次のようなメッセージを送ってくるまでの話です。

——

(抄訳)

[Blizzard Entertainment] GM: 違反: 経済的搾取。[www.blizzardwarcraft.com]にアクセスしてください。アクセスが行われない場合、あなたのアカウントを凍結します)

——

『World of Warcraft Classic』で遭遇したゲーム内フィッシングメッセージ

『World of Warcraft Classic』で遭遇したゲーム内フィッシングメッセージ

どう見ても、このメッセージには怪しいところがあります。まず、Blizzard Entertainmentの本物のゲームマスターが「経済的搾取」の違反に反応し、会社名とよく似たキャラクター名を使って、特定のサイトへのアクセスを促す通知をプレイヤーに送るとは信じられません。さらに、はっきり言っておきますが、私は絶対に何の違反もしていません。

普段ならこのようなメッセージは無視するのですが、今回は好奇心が湧いて、この手口のしくみを調べることに決めました。最初にやったのは、このWebサイトのリンクをWHOISでチェックすることです。というのも、サイトのドメインが、Blizzardの所有するドメイン(blizzard.com、battle.net、worldofwarcraft.comなど)のどれでもないことに気付いたからです。また、セキュリティ証明書の類が一切ないことからも、サイトの正当性に疑問を感じました。

思ったとおり、偉大なる「Bizzard」氏が私にアクセスさせようとしたblizzardwarcraft.comは、登録から1週間と経っていないドメインでした。さらに、この攻撃者は、自分たちの足跡を隠す努力すらしていませんでした。このドメインは、中国安徽省内の何者かがHongkong Domain Name Information Management Co., Ltd.という香港の登録機関を通じて登録したものでした。

Blizzard Webサイト:偽物(左)と本物(右)

Blizzard Webサイト:偽物(左)と本物(右)

とはいえ、このフィッシングサイトはeu.battle.netの正規のログインページとかなり似ていて、本物らしく見えます。「Security Check」の文言に使用されているフォントと色が間違っているのが、全体の印象を少し損なっています。また、FacebookログインとGoogleログインのオプションは、ご推察のとおり機能しません。しかし、この詐欺ページにあるその他のリンクはすべて、本物のBlizzardサイトにつながっています。ただし、リンク先は欧州のサイトだったり米国のサイトだったりと、一貫性に欠けますが。

私は、攻撃者がどのように私のアカウントを乗っ取ろうとするのか確かめることにしました。そこで、この偽ページにある「Create a free Blizzard Account(無料のBlizzardアカウントを作る)」リンクをクリックし(このリンクは本物のBlizzardサイトにつながっていました)、新しいアカウントを登録しました。こうして実験の準備を整えた私は、新しく作成したアカウントの情報を攻撃者へ引き渡すステップに進みました。

偽ページにIDとパスワードを入力すると、新しいアカウントを確認するための簡単なチェックを求められました。もちろん、そのためには、メールで送られてきた確認コードの入力が必要です。このコードは、本物のBlizzardのアドレスから届きました。

これは予想どおりの展開でした。私が偽ページにIDとパスワードを入力したとき、攻撃者はこの情報をただちに本物のBlizzardのサイトへ入力したのです。しかし、アカウントへのアクセスには、確認コードの入力も必要です。確認コードはBlizzardから私のメールアドレス宛に送られているので、攻撃者はそのコードを私から手に入れなければなりません。私はだまされたふりを続けて、偽ページに確認コードを入力しました。

さらに、理由は分かりませんが、最後のページでは秘密の質問への回答も求められました。実際のところ、私は登録時に秘密の質問を設定していませんでした。でも大丈夫、回答する準備はできていました。

偽のBlizzardサイトの「セキュリティチェック」

偽のBlizzardサイトの「セキュリティチェック」

その後、私は無事に確認手順をパスしたことを知らされました。予想がつくと思いますが、それと同時に誰かが私の新しいアカウントにログインしました。IPアドレスはドイツのブランデンブルクを指していましたが、実際にそこから接続していたとは考えられません。おそらく、プロキシサーバーやVPNなど、実際の居場所を隠すための手段を使っていたのでしょう。

さて、この謎の人物は、Battle.netアプリ経由でログインした後、Webインターフェイスを見に行っています。推測ですが、攻撃者は私のBlizzardアカウントにWorld of Warcraftのキャラクターが1人も見つからなかったため、Web版のBattle.netでアカウントをもう一度チェックすることにしたのでしょう。

Blizzardの本物のWebサイトに表示された最近のログイン記録

Blizzardの本物のWebサイトに表示された最近のログイン記録

約2時間30分後、Blizzardから通知が送られてきました。不審な活動が認められたので、私のパスワードをリセットしたという内容でした。どうやら、Battle.netの内部防衛システムが、私以外の何者かが私のアカウントにアクセスしたと判断し、侵入者から私を守るための行動に出たようです。このとおり、Blizzardはユーザーの安全を守るために実に良い仕事をしています。

World of Warcraftでフィッシング攻撃の餌食にならないようにするには

私の経験が『World of Warcraft Classic』での最後のフィッシング事例である可能性は、限りなくゼロに近いと言ってよいでしょう。侵入者による損害をできる限り抑え、あなただけでなく他のプレイヤーも安全にゲームを楽しめるように、以下の点を頭の片隅に置いておくと良いと思います。

  • 『World of Warcraft』の場合、ゲームマスターの名前の隣には、特別なアイコンが必ず表示されています(「BLIZZ」という青い文字に見えるアイコン)。そのアイコンが表示されていなければ、あなたが話をしている相手はゲームマスターではありません。
  • 経済的搾取などのゲームルール違反は、必ずアカウントのブロックにつながります。アカウントの「セキュリティチェック」を行う理由にはなりません。
  • ゲームの運営側が第三者のWebサイトへのリンクを送ってくることは、まずありません。あなたがアカウントの本来の持ち主かどうかを確認する必要がある場合、運営側では、あなたのパスワードをリセットするだけでよいのです。
  • 誰かプレイヤーがあなたにこのような要求をしてきたら、battle.netのサポートページから通報しましょう。
  • Blizzardのサポートページには、アカウントの安全を守るためのアドバイスが掲載されています。安全なパスワードのヒント、2段階認証の設定、コンピューターを保護するセキュリティソフトの使用の推奨、アプリの更新が重要である理由、パスワードの取り扱い方など、必要なことがすべて、簡潔かつ正確に説明されています。ぜひ参考にしてください。

セキュリティソフトに関して付け加えると、スパイウェアから守り、フィッシング攻撃を検知するものをお勧めします。当社製品に備わっているゲームモードは、ゲームのパフォーマンスに大きく影響することなく、スパイウェアやフィッシング詐欺から保護します。

ヒント